자동화는 기업의 데이터 보안과 맞지 않습니다. 왜?
자동화는 기계의 힘을 활용하여 생산성을 높입니다. 클라우드에서는 인간 정보 근로자 한 명의 가격으로 상당수의 서버를 구매하거나 임대할 수 있습니다. 그러나 기업 데이터에 접근하는 것, 특히 기계가 작동하는 속도와 양을 고려할 때, 해당 데이터의 확산 및 노출 위험을 줄이기 위해 만들어지고 시행되는 수많은 정책이 위반됩니다. 저는 최근 자동화를 구축하는 동안 이러한 상충되는 힘에 부딪혔습니다.
자동화는 시청자 측정 항목이 포함된 일부 내부 웹 페이지를 스크래핑하여 스프레드시트에 삽입합니다. 다음으로 스프레드시트를 네트워크 폴더로 옮기면 두 번째 자동화가 새 파일을 감지하여 지정된 위치에 업로드합니다. 동료가 주의가 필요한 활동이나 추세를 기록합니다. 우리는 그것을 정말 좋아해요. 그런 다음 몇 주 동안 성공적으로 실행한 후 보안 비밀이 만료되어 실패했습니다. 당사의 데이터 접근 거버넌스 정책에서는 특정 시스템 자격 증명이 정기적으로 만료되도록 요구합니다. 보안에 좋습니다. 자격 증명이 만료되면 자동화가 중단됩니다. 생산성에 나쁘다.
보안 비밀을 정기적으로 만료시키는 것은 분명히 모범 사례이지만, 그렇게 하면 문제가 생길까요? 자동화 덕분에 팀의 시간이 상당히 절약되었지만, 사실은 한 곳에서 데이터를 읽어서 다른 곳에서 쉽게 분석할 수 있도록 다시 포맷하는 것에 불과합니다. 자동화가 실제로 나 같은 인간과 같은 수준의 권한으로 실행될 필요가 있을까요? 어딘가에 타협점이 있을 겁니다.
타협안으로 활용할 수 있는 두 가지 옵션은 다음과 같습니다.
옵션 A
만료일 5일 전에 경고를 발행하여, 무엇이든 망가지기 전에 갱신할 시간을 줍니다.
옵션 B
최소한의 권한만 필요한 자동화 작업에 맞는 서비스 자격 증명을 발급합니다.
두 옵션 모두 조직의 데이터 보안 요구 사항을 준수하며, 비즈니스와 보안 운영(SecOps) 간의 가시성과 커뮤니케이션을 약간만 높여도 신중하고 효과적인 솔루션이 가능합니다. 잘 생각된 타협으로 데이터 보안과 생산성 향상 자동화 간의 긴장을 완화할 수 있으며, 대부분의 경우 어느 쪽도 손해를 보지 않고, 결국 기업이 이익을 얻습니다.
자동화는 기계 작업자라는 새로운 사용자를 기업 거버넌스에 도입합니다. 이를 통해 보안 정책과 자동화를 구현하는 사람들이 하나로 모입니다. 이러한 새로운 사용자를 인식하고 실제 요구 사항을 보다 세부적으로 고려하는 조직은 제로섬 게임 상황에서 벗어나, 보다 안전한 데이터 사용 관행을 확립하고, 생산성 향상 기술이 제공하는 사업적 이익을 실현할 수 있을 것입니다.