Как мне сообщить о сотруднике, который ставит под угрозу безопасность сотрудников и клиентов?

Я работаю разработчиком программного обеспечения в команде из 4 человек в общественной организации. Сетевая безопасность плохая, но высшее руководство знает об этом, и мы планируем переключиться на более качественного поставщика ИТ-услуг.

Один из сотрудников, назовем его Билл, неоднократно делал вещи, связанные с сетевой безопасностью для сотрудников и клиентов, и открыто говорит об этом с другими членами команды. Прежде чем я продолжу, я нашел этот вопрос , но он касается утечки данных, Билл никуда не загружал никаких данных, он получает доступ к областям сети, к которым он не должен.

Примеры):

  • Каждому из нас дали ноутбук со всеми необходимыми программами, и если нам нужно было что-то установить, мы должны были поговорить с менеджером, который уведомит об этом ИТ-отдел, но Билл принес свой собственный ноутбук (что запрещено политикой компании) и был пойман, он сказал им, что во время перерыва занимается онлайн-занятиями (это правда), поэтому менеджер пропустил это, но, поскольку я сижу прямо за ним, я вижу, как он делает много глупостей, он подключил свой ноутбук к сети компании, и получили доступ к сетевым дискам сотрудников.
  • Используя LiveCD с Ubuntu, ему удалось активировать учетную запись локального администратора (ИТ-специалисты создали ее на случай чрезвычайных ситуаций) на своем корпоративном ноутбуке и установить программное обеспечение, которого у него не должно было быть.
  • Мы разрешаем студентам и соседям, у которых нет доступа к копировальному аппарату/принтеру или факсу, использовать наш, иногда они ксерокопируют водительские права или другие личные документы. Билл смог получить удаленный доступ к компьютеру администратора (копировальный аппарат/принтер подключен к этому компьютеру) и просматривать определенные документы, которые были скопированы или отправлены по электронной почте, некоторые из которых должны были оставаться конфиденциальными. У нас чередуются секретари, которые иногда бывают заняты, поэтому они не очищают историю принтеров и не удаляют файлы, в которые мы сканируем, но все это очищается, когда компьютеры выключаются на ночь и перезагружаются (любой файл на рабочем столе или в папках удаляются). Это оставляет окна в несколько часов, которые использует Билл.

Остальная часть команды знает, но просто отворачивается. Один из членов сказал мне, что они надеются, что с Биллом будут обращаться соответствующим образом без прямого участия других членов команды, они не хотят, чтобы их называли разоблачителями.

Наша команда близка, так как мне сообщить о нем, не нарушив отношения/доверие, которые у меня есть с другими моими товарищами по команде?

Редактировать: я сделал ошибку, Билл и Боб - один и тот же человек.

Вы говорили с ним об этом?
Вы продолжаете ссылаться на Билла и Боба, есть ли два сотрудника, которые компрометируют сеть вашей компании?
Интересная ситуация, в которой вы находитесь. Вы говорите, что Билл/Боб никуда не загружал данные, но, учитывая другие вещи, которые он делал, было бы лучше сказать, что он нигде не загружал данные, о которых вы знаете . Вы работали там дольше, чем БиллБоб, или вы относительно новичок в этой должности? Кому бы вы сообщили о нем, и чувствуете ли вы, что можете доверять этому человеку в том, что касается того, что вы говорите конфиденциально? (Если ваши товарищи по команде узнают, что вы сообщили об одном из ваших сверстников, это может подорвать ваше доверие к ним)
Откуда ты знаешь о том, что сделал Билл? Рассказал он кому-нибудь или нет? Он просто хвастался или утверждал, что ваша сетевая безопасность плоха, и подстрекал товарищей по команде, чтобы они настаивали на лучшей безопасности? У вас есть доказательства ваших претензий к Биллу?
Имеются ли журналы аудита, объективно показывающие, что и когда делал Билл?
Если есть реальный ущерб: сообщите об ущербе, а не о человеке. Если нет повреждений: зачем вам это?
Возможно, повреждений нет.... пока ?

Ответы (4)

Теоретически, когда вы говорите о таких вещах своему менеджеру, ИТ-отделу, отделу кадров или кому-то другому в вашей компании, они обязаны не упоминать ваше имя человеку, о котором вы сообщаете. Будут ли они на самом деле придерживаться этого... одному Богу известно. Так что может случиться так, что вы все делаете по инструкции, а менеджер все равно говорит Биллу, что вы его в чем-то обвинили.

Наилучшим регулярным подходом было бы придерживаться вещей, которые явно незаконны и не могут быть оправданы. Например, наличие учетной записи локального администратора на ноутбуке, который он все равно использует, и установка на него чего-то, если это действительно необходимо для его работы, редко критично, и многие компании проигнорируют это. Черт возьми, я иногда так делаю, когда знаю, что ЭТО займет месяц, чтобы сделать то, что я могу сделать за день. Но это для программного обеспечения, которое действительно необходимо или полезно для проектов компании, над которыми я работаю.

(Конечно, если он устанавливает что-то, не связанное с работой, это совсем другая история)

Но, с другой стороны, копирование личных документов людей, удостоверений личности, таких как водительские права и тому подобное... вполне возможно, незаконно. Это то, с чем руководство должно что-то делать.

Нестандартное решение, но, возможно, оно сработает, если компания предложит Биллу протестировать нового поставщика ИТ-услуг — попытаться взломать что-то и получить денежное вознаграждение за каждый успешный взлом, о котором он сообщает компании, что приносит прибыль. ему доступ к файлам, которые он не должен видеть. Таким образом, ну... "если жизнь дает тебе лимоны, делай лимонад". Используйте его для того, для чего он хорош. Он может играть так, как хочет, компания получает более высокий уровень безопасности (находя дыры, а затем обращаясь к ИТ-провайдеру за их исправлением), все довольны.

+1, возиться с собственным ноутбуком может быть нарушением политики, но это не то, чем нужно заниматься наркоманией - изо всех сил стараться смотреть на распечатанные / отправленные по факсу / скопированные документы людей - это сумасшествие и серьезная проблема, о которой нужно сообщать управление.

Вам следует подумать о том, чтобы поговорить со своим коллегой и предупредить своего руководителя или менеджера по киберрискам организации. Киберриск является серьезной проблемой для любой достаточно информированной организации.

Вы рискуете своими отношениями с коллегами, если решите ситуацию непрофессионально или невежливо, а не сообщив о своих опасениях в одиночку. Имейте в виду следующее, и вы можете рассчитывать на сохранение уважения и доверия ваших коллег:

  • Не обсуждайте свои наблюдения ни с кем, кроме заслуживающего доверия менеджера и вашего коллеги , которые, как вы заметили, создают проблемы с безопасностью. Это не та тема, которую можно использовать для сплетен или шуток среди товарищей по команде или дома.
  • Проведите откровенный, но дружеский разговор с коллегой о том, что вас беспокоит. Убедитесь, что они понимают, что вы искренне беспокоитесь о благополучии фирмы. Будьте откровенны, предупредив менеджера.
  • Дайте своему коллеге презумпцию невиновности. Разумно предположить, что он действительно не понимает рискованности своих действий. Сосредоточьтесь на своих конкретных наблюдениях — не судите о человеке.
  • Не придирайтесь. Выявляйте и сообщайте о серьезных проблемах. Можно отпустить некоторые вещи (например, установить Spotify на ноутбук компании вопреки политике). Оставьте мониторинг ИТ-команде.
  • После отчета отпустите. Если соответствующие лица в организации не вмешиваются, чтобы исправить проблемы, отпустите ситуацию. Вы сделали свою часть.
  • Прислушайтесь к чувствам и отзывам вашего коллеги и остальной команды. Как минимум, ваш коллега будет смущен. Не учите и не ругайте. Выслушайте, что говорит ваш коллега, извинитесь за любые обиды и дайте ему/ей понять, что вам нравится иметь его/ее в качестве коллеги и что вы хотите продолжать совместную работу.
Это читается как общий ответ на печенье для меня. Какая часть вопроса ОП заставляет вас думать, что в их компании есть менеджер по киберрискам? Какая часть действия коллеги по доступу к конфиденциальным документам, по вашему мнению, честна и заслуживает сомнения?

Давайте будем честными, вы можете пожаловаться на Билла анонимно, но вы работаете в небольшой организации. Я ожидаю, что молва разойдется. Я бы задокументировал ваши опасения и передал бы их по инстанциям. Билл не командный игрок.

Если коллеги просят вас объяснить, почему вы сообщили о Билле, вы не обязаны объяснять. Если вы решите объяснить простой ответ, например, он серьезно и неоднократно подвергает опасности сетевую безопасность, должно быть достаточно.

Билл ставит себя выше организации. Вы не должны защищать его.

Добро пожаловать на рабочее место! Это хороший ответ. Существует неявное ожидание того, что сотрудники не будут заниматься поведением, наносящим ущерб интересам бизнеса, и Билл делает именно это. Предложение ОП выйти из-под влияния Билла и сообщить об этом руководству - отличный совет.

Я работаю в сфере кибербезопасности аналитиком/инженером по безопасности. Я начну с расширения одного из моментов, которые Джей поднял в своем посте:

Во-первых, не считайте действия Билла злонамеренными .

Исходя из моего опыта исследования и управления инцидентами безопасности в группе операций по обеспечению безопасности в моей компании, большинство инцидентов происходит не из-за злого умысла сотрудника, а из-за того, что сотрудникам не предоставлены соответствующие инструменты для эффективного выполнения их работы, или из-за невежества . работника в том, каков риск его действий с точки зрения ответственности перед компанией.

Обращение к руководству и предположение, что у Билла злой умысел, скорее всего, ничем хорошим не кончится. Судя по вашему посту, у вас есть некоторые знания в области сетевой безопасности, и это здорово. Поэтому обсуждение ваших опасений с Биллом и объяснение риска его действий компании — хороший первый шаг. Да будет известно, что некоторые возможные последствия его действий не в его интересах. Например,

  • Подключение собственной машины к сетевым портам компании может привести к распространению вредоносного ПО на ИТ-ресурсы компании. Если ИТ-инфраструктура компании выйдет из строя, он, возможно, больше не сможет выполнять свою работу или продолжать посещать онлайн-занятия.

Вы не просили об этом, но я поделюсь с вами некоторыми передовыми методами кибербезопасности, которые по мере роста вашей компании должны смягчить негативный эффект поведения Билла.

Предложите своему руководству установить и задокументировать политики и руководящие принципы в отношении приемлемого использования ИТ-ресурсов компании.

В настоящее время неясно, есть ли в вашей компании задокументированные политики, такие как допустимое использование ИТ-ресурсов компании или реагирование на инциденты безопасности. Преимущество стандартизированных политик заключается в том, что сотрудники меньше чувствуют себя «плохим парнем» и придираются к коллеге, а просто придерживаются политики компании . Другими словами, все, о чем «сообщают», становится в целом менее личным . Один просто делает свою работу.

Еще одно преимущество заключается в том, что требования к безопасному поведению делаются универсальными и известными всем сотрудникам. Безопасность больше не является «игрой в догадки», и обеспечение безопасного поведения становится менее произвольным. Сотрудники знают, чего от них ожидают, поэтому такие ответы, как «Я не знал, что такое политика», становятся менее достоверными. Тон безопасности должен быть универсальным для всей компании, иначе кибербезопасность станет бессмысленной фразой.

Предложите реализацию плана реагирования на инциденты безопасности, а также план мониторинга ИТ-ресурсов.

На данный момент кажется, что нет окончательной, задокументированной процедуры, как реагировать на наблюдаемые действия Билла. Это, кажется, приводит к вашей нерешительности относительно того, «докладывать» о Билле руководству. Другими словами, вы, похоже, не уверены, к каким последствиям может привести сообщение о Билле.

Я знаю, что у вас небольшая команда, и, кажется, ваша компания тоже маленькая. Однако по мере роста преимущество наличия задокументированной политики реагирования на инциденты безопасности заключается в том, что существует согласованный, прозрачный набор процедур для обработки зарегистрированных инцидентов и того, что квалифицируется как инцидент безопасности.

Чтобы идти рука об руку с политикой реагирования на инциденты безопасности, предложите реализовать политику мониторинга ресурсов. Вы сказали, что Билл не сливал никаких данных компании, но как вы можете быть уверены, что он этого не сделал, если нет процесса мониторинга, например, с помощью технологии DLP? Билл мог легко отрицать свои действия без объективных доказательств, таких как данные журнала аудита. Хуже того, если вам нужно будет уволить Билла или возбудить против него иск в суде, защита наверняка спросит, откуда вы узнали, что Билл был тем, кто слил данные. Без доказательств, что вы собираетесь делать или говорить?

Как мне сообщить о сотруднике, который ставит под угрозу безопасность сотрудников и клиентов?
СпросиСетьПолитика конфиденциальности1y, 0v