제 데이터와 비밀번호는 누가 소유하나요?

귀하의 비즈니스는 비즈니스 데이터, 클라우드 계정, 회사 명의로 구매한 소프트웨어 라이선스, 그리고 이를 제어하는 데 필요한 비밀번호 또는 비밀번호 관리자 레코드를 소유해야 합니다. 관리형 IT 서비스 제공자, 즉 MSP를 고용하면 세팅과 일상 업무 관리를 도와줄 수는 있지만, 그렇다고 그들이 소유자가 되는 것은 아닙니다.

좋은 제공자는 시스템을 지원하기 위해 기술적으로 제한된 접근 권한만 가질 수 있습니다. 하지만 접근 권한은 소유권과 다릅니다. 제공자를 바꿔도 귀하의 비즈니스는 이메일, 파일, 기기, 인터넷 서비스, 백업, 그리고 비즈니스가 비용을 지불하는 도구에 대한 관리자 접근 권한을 그대로 유지할 수 있어야 합니다.

예외가 있을 수 있습니다. 일부 도구는 제공자의 자체 플랫폼 일부이거나 번들 서비스로 제공될 수 있습니다. 그 자체가 항상 나쁜 것은 아니지만, 명확하게 설명되어야 합니다. 어떤 것이 귀하의 비즈니스에 속하고, 어떤 것이 제공자에 속하는지, 그리고 관계가 끝났을 때 무엇이 어떻게 되는지 알아야 합니다.

소유권이 불명확하면, 간단한 변경도 비용이 크게 드는 문제로 바뀔 수 있습니다. 한 기업이 제공자를 바꾸려다 보면, 이메일 관리자 계정이 기존 제공자 이름으로 되어 있거나, 백업 레코드, 소프트웨어 라이선스, 인터넷 계정을 쉽게 이전할 수 없다는 것을 알게 될 수 있습니다. 그러면 지연, 혼란, 추가 비용이 발생할 수 있습니다.

비밀번호도 같은 이유로 중요합니다. 제공자만 키 관리자 비밀번호를 알고 있다면, 귀하의 비즈니스는 긴급 변경을 하기 위해 도움을 받는 데 시간을 기다리게 될 수 있습니다. 좋은 지원은 일을 더 쉽게 만들어야지, 특정 외부 회사에 대한 의존을 만들면 안 됩니다.

이 문제는 또한 통제와 책임에 관한 것입니다. 소유자나 사무 관리자(오피스 매니저)는 기술 작업을 직접 다 할 필요는 없습니다. 하지만 기업 내부의 누군가는 중요한 시스템에 대한 마스터 접근 권한을 누가 쥐고 있는지 알아야 합니다. 여기에는 이메일, 파일 저장, 회계 도구, 도메인 이름, 웹사이트 호스팅, 급여(페이롤) 시스템, 전화 시스템, 방화벽 계정, 백업 시스템이 포함됩니다.

정직한 제공자라면 ‘무중단(0 다운타임) 보장’이나 ‘해킹 불가능한 네트워크’를 약속하지는 않습니다. 다만 소유권과 접근 규칙이 명확하면, 직원 변경, 벤더 변경, 또는 긴급 이슈가 생겼을 때 혼란을 줄일 수 있습니다.

건강한 구성은 설명하기 쉬워야 합니다. 귀하의 비즈니스가 핵심 서비스의 명시된 소유자 또는 주요 계정 보유자여야 합니다. 해당 서비스의 청구는 귀하의 비즈니스 명의로 이루어지거나, 문서로 명확히 기록되어 있어야 합니다. 중요한 관리자 계정은 비즈니스가 알고 있고 안전하게 보관되며, 단 한 명의 외부 사람만이 통제해서는 안 됩니다.

많은 비즈니스는 비밀번호 관리자를 사용해 회사 비밀번호를 한 곳에 안전하게 저장합니다. 모든 것을 외울 필요는 없지만, 누가 그 금고(vault)에 접근할 수 있는지에 대한 절차가 있어야 하며, 직원이나 제공자가 바뀔 때 소유권이 어떻게 이전되는지 알아야 합니다. NodeBridge IT는 비밀번호, 네트워크 자격 증명, 시스템 접근 권한을 결코 요청하지 않습니다. 우리는 독립적인 제공자를 찾는 것을 돕는 과정에서 기본적인 비즈니스 및 연락처 정보만 수집합니다.

보안을 위해 많은 비즈니스는 다중 인증, 즉 MFA(멀티 팩터 인증)를 사용합니다. 이는 비밀번호와 함께 앱 코드나 알림(prompt) 같은 두 번째 단계로 로그인하는 것을 의미합니다. 비즈니스는 소유자급 또는 관리자급 계정에 대한 MFA를 통제해야 하며, 최소한 그것이 어떻게 관리되는지 정확히 알아야 합니다.

MSP가 관여한다면, 계정이 어디에 있는지, 법적 소유자가 누구인지, 그리고 어떤 자격 증명이 비즈니스와 공유되는지를 문서로 남겨 달라고 요청하세요. 이는 정상적이고 합리적인 요구입니다.

기술 용어가 필요 없습니다. 평이한 질문이 대체로 가장 좋습니다. 계정을 누가 소유하는지, 누가 주요 관리자(프라이머리 애드민)인지, 누가 비밀번호를 보관하는지, 서비스를 중단하면 어떻게 되는지 물어보세요.

또한 어떤 도구들이 제공자의 자체 시스템과 연결되어 있는지 확인하세요. 일부 제공자는 기기 상태를 모니터링하고 일상 작업을 처리하기 위해 원격 모니터링 및 관리 도구( RMM 도구 )를 사용합니다. 그들은 EDR(Endpoint Detection and Response, 엔드포인트 탐지 및 대응)이라는 보안 소프트웨어도 사용할 수 있는데, 이는 컴퓨터와 서버를 의심스러운 활동에 대해 관찰하는 보안 소프트웨어입니다. 이러한 도구는 제공자가 설치하고 관리할 수 있지만, 귀하가 그 도구를 통해 어떤 데이터를 접근할 수 있는지, 그리고 보고서나 설정이 이전될 수 있는지(전송 가능한지)를 여전히 이해해야 합니다.

퇴장(이탈) 절차를 문서로 요청하세요. 여기에는 관리자 접근 권한 반환, 문서 이전, 제공자 소유 도구 제거, 현재 기록의 인수(핸드오버)가 포함되어야 합니다. 간단한 목록만 있어도 앞으로 많은 문제를 예방할 수 있습니다.

옵션을 비교 중이라면, 먼저 자주 쓰이는 용어를 이해하는 데 도움이 되도록 answers 페이지를 참고할 수 있고, services 페이지에서는 기업이 보통 MSP에게 처리해 달라고 요청하는 내용을 설명합니다.