Я работаю разработчиком программного обеспечения в команде из 4 человек в общественной организации. Сетевая безопасность плохая, но высшее руководство знает об этом, и мы планируем переключиться на более качественного поставщика ИТ-услуг.
Один из сотрудников, назовем его Билл, неоднократно делал вещи, связанные с сетевой безопасностью для сотрудников и клиентов, и открыто говорит об этом с другими членами команды. Прежде чем я продолжу, я нашел этот вопрос , но он касается утечки данных, Билл никуда не загружал никаких данных, он получает доступ к областям сети, к которым он не должен.
Примеры):
Остальная часть команды знает, но просто отворачивается. Один из членов сказал мне, что они надеются, что с Биллом будут обращаться соответствующим образом без прямого участия других членов команды, они не хотят, чтобы их называли разоблачителями.
Наша команда близка, так как мне сообщить о нем, не нарушив отношения/доверие, которые у меня есть с другими моими товарищами по команде?
Редактировать: я сделал ошибку, Билл и Боб - один и тот же человек.
Теоретически, когда вы говорите о таких вещах своему менеджеру, ИТ-отделу, отделу кадров или кому-то другому в вашей компании, они обязаны не упоминать ваше имя человеку, о котором вы сообщаете. Будут ли они на самом деле придерживаться этого... одному Богу известно. Так что может случиться так, что вы все делаете по инструкции, а менеджер все равно говорит Биллу, что вы его в чем-то обвинили.
Наилучшим регулярным подходом было бы придерживаться вещей, которые явно незаконны и не могут быть оправданы. Например, наличие учетной записи локального администратора на ноутбуке, который он все равно использует, и установка на него чего-то, если это действительно необходимо для его работы, редко критично, и многие компании проигнорируют это. Черт возьми, я иногда так делаю, когда знаю, что ЭТО займет месяц, чтобы сделать то, что я могу сделать за день. Но это для программного обеспечения, которое действительно необходимо или полезно для проектов компании, над которыми я работаю.
(Конечно, если он устанавливает что-то, не связанное с работой, это совсем другая история)
Но, с другой стороны, копирование личных документов людей, удостоверений личности, таких как водительские права и тому подобное... вполне возможно, незаконно. Это то, с чем руководство должно что-то делать.
Нестандартное решение, но, возможно, оно сработает, если компания предложит Биллу протестировать нового поставщика ИТ-услуг — попытаться взломать что-то и получить денежное вознаграждение за каждый успешный взлом, о котором он сообщает компании, что приносит прибыль. ему доступ к файлам, которые он не должен видеть. Таким образом, ну... "если жизнь дает тебе лимоны, делай лимонад". Используйте его для того, для чего он хорош. Он может играть так, как хочет, компания получает более высокий уровень безопасности (находя дыры, а затем обращаясь к ИТ-провайдеру за их исправлением), все довольны.
Вам следует подумать о том, чтобы поговорить со своим коллегой и предупредить своего руководителя или менеджера по киберрискам организации. Киберриск является серьезной проблемой для любой достаточно информированной организации.
Вы рискуете своими отношениями с коллегами, если решите ситуацию непрофессионально или невежливо, а не сообщив о своих опасениях в одиночку. Имейте в виду следующее, и вы можете рассчитывать на сохранение уважения и доверия ваших коллег:
Давайте будем честными, вы можете пожаловаться на Билла анонимно, но вы работаете в небольшой организации. Я ожидаю, что молва разойдется. Я бы задокументировал ваши опасения и передал бы их по инстанциям. Билл не командный игрок.
Если коллеги просят вас объяснить, почему вы сообщили о Билле, вы не обязаны объяснять. Если вы решите объяснить простой ответ, например, он серьезно и неоднократно подвергает опасности сетевую безопасность, должно быть достаточно.
Билл ставит себя выше организации. Вы не должны защищать его.
Я работаю в сфере кибербезопасности аналитиком/инженером по безопасности. Я начну с расширения одного из моментов, которые Джей поднял в своем посте:
Во-первых, не считайте действия Билла злонамеренными .
Исходя из моего опыта исследования и управления инцидентами безопасности в группе операций по обеспечению безопасности в моей компании, большинство инцидентов происходит не из-за злого умысла сотрудника, а из-за того, что сотрудникам не предоставлены соответствующие инструменты для эффективного выполнения их работы, или из-за невежества . работника в том, каков риск его действий с точки зрения ответственности перед компанией.
Обращение к руководству и предположение, что у Билла злой умысел, скорее всего, ничем хорошим не кончится. Судя по вашему посту, у вас есть некоторые знания в области сетевой безопасности, и это здорово. Поэтому обсуждение ваших опасений с Биллом и объяснение риска его действий компании — хороший первый шаг. Да будет известно, что некоторые возможные последствия его действий не в его интересах. Например,
Вы не просили об этом, но я поделюсь с вами некоторыми передовыми методами кибербезопасности, которые по мере роста вашей компании должны смягчить негативный эффект поведения Билла.
Предложите своему руководству установить и задокументировать политики и руководящие принципы в отношении приемлемого использования ИТ-ресурсов компании.
В настоящее время неясно, есть ли в вашей компании задокументированные политики, такие как допустимое использование ИТ-ресурсов компании или реагирование на инциденты безопасности. Преимущество стандартизированных политик заключается в том, что сотрудники меньше чувствуют себя «плохим парнем» и придираются к коллеге, а просто придерживаются политики компании . Другими словами, все, о чем «сообщают», становится в целом менее личным . Один просто делает свою работу.
Еще одно преимущество заключается в том, что требования к безопасному поведению делаются универсальными и известными всем сотрудникам. Безопасность больше не является «игрой в догадки», и обеспечение безопасного поведения становится менее произвольным. Сотрудники знают, чего от них ожидают, поэтому такие ответы, как «Я не знал, что такое политика», становятся менее достоверными. Тон безопасности должен быть универсальным для всей компании, иначе кибербезопасность станет бессмысленной фразой.
Предложите реализацию плана реагирования на инциденты безопасности, а также план мониторинга ИТ-ресурсов.
На данный момент кажется, что нет окончательной, задокументированной процедуры, как реагировать на наблюдаемые действия Билла. Это, кажется, приводит к вашей нерешительности относительно того, «докладывать» о Билле руководству. Другими словами, вы, похоже, не уверены, к каким последствиям может привести сообщение о Билле.
Я знаю, что у вас небольшая команда, и, кажется, ваша компания тоже маленькая. Однако по мере роста преимущество наличия задокументированной политики реагирования на инциденты безопасности заключается в том, что существует согласованный, прозрачный набор процедур для обработки зарегистрированных инцидентов и того, что квалифицируется как инцидент безопасности.
Чтобы идти рука об руку с политикой реагирования на инциденты безопасности, предложите реализовать политику мониторинга ресурсов. Вы сказали, что Билл не сливал никаких данных компании, но как вы можете быть уверены, что он этого не сделал, если нет процесса мониторинга, например, с помощью технологии DLP? Билл мог легко отрицать свои действия без объективных доказательств, таких как данные журнала аудита. Хуже того, если вам нужно будет уволить Билла или возбудить против него иск в суде, защита наверняка спросит, откуда вы узнали, что Билл был тем, кто слил данные. Без доказательств, что вы собираетесь делать или говорить?
М3РС
sf02
Аарон Ф
АлександрМ
Энтони
Хильмар
Мог говорит восстановить Монику