Запрос от руководства, с которым я не согласен

Публикация с реального аккаунта сейчас

Я работаю в команде ИТ-безопасности у своего работодателя в качестве старшего аналитика/инженера. В мои должностные обязанности входит отчетность по определенным показателям кибербезопасности перед высшим руководством. Насколько я понимаю, и мне сказали руководители, подчиняющиеся непосредственно Директору по информационной безопасности, они должны использоваться в основном для улучшения внутренних операционных процессов, а не для того, чтобы указывать на кого-либо пальцем или указывать людям на слабые места в их роли.

Сегодня я получил запрос от высшего руководства о лицах, которые демонстрировали слабые места в сообщениях о фишинге и распознавании вредоносных электронных писем. Я понимаю, что руководство, имеющее эти имена, поможет в оценке подверженности нашей социальной инженерии рискам, но считаю, что это не нужно и подрывает доверие других сотрудников. Люди могут подумать, что это удар в спину, и просьба кажется мне необоснованной.

Исходя из моего предыдущего опыта работы в области кибербезопасности, построение доверительных отношений с конечными пользователями имеет решающее значение для достижения бизнес-целей. Я уважаемый старший член команды и имею значительную свободу действий в принятии решений.

Изменить, чтобы включить ответы на комментарии:

@ThursdaysGeek , мы проводим «дополнительное обучение» для пользователей, у которых постоянно возникают проблемы при личном наблюдении. Либо я, либо коллега будут работать с конечным пользователем напрямую. С наиболее ценными китами (т. е. с руководителями и высшим руководством) общается менеджер службы безопасности.

@JcMack - Все сотрудники обязаны проходить ежегодное обучение по безопасности. Если не будет выполнено, то до конца года доступ к ИТ-ресурсам компании для лиц, не соблюдающих требования, будет удален. Кликеры в прошлом демонстрировали определенные тенденции, и вполне ожидаемо, что у сотрудников возникнут такие проблемы.

Если здесь есть коллеги-практики безопасности, я хотел бы услышать, что вы делали, сталкиваясь с подобными обстоятельствами раньше. Конкретно:

Если бы было реализовано целевое обучение, как бы вы узнали, какие эксплойты социальной инженерии сейчас в дикой природе?

Как будут работать такие целенаправленные упражнения? У нас уже есть поддержка высшего руководства (CISO)

Является ли мое убеждение в том, что запрошенные данные не нужны, разумно?

Как я могу сбалансировать выполнение своих обязанностей в своей роли по защите активов компании и поддержку моих коллег в этой ситуации?

Если предложение анонимных данных для руководства является уместным, как мне лучше всего сделать этот запрос профессионально?

Будут ли люди, которые постоянно не проходят фишинговые тесты, проходить дополнительное обучение? Было бы это полезно?
Да, в зависимости от тяжести и частоты. Если мы поймаем китов, конечно, мы поговорим с конечными пользователями.
Данные поступают из смоделированных фишинговых писем, которые мы отправляем. Как я уже писал в разделе обмена стеками информационной безопасности, конечные пользователи уже ворчат, поэтому я очень не решаюсь публиковать индивидуальные данные.
Некоторые части после «Если здесь есть коллеги-практики безопасности» не относятся к теме, я рекомендую удалить их. security.stackexchange.com — это место, где можно задать этот вопрос
Что ваш менеджер по безопасности думает о запросе?

Ответы (4)

Важно построить доверие. Как и защита вашей компании.

Если определенные сотрудники неоднократно не проходят фишинговые тесты, то компании выгодно предоставить им дополнительное обучение, чтобы они могли учиться. Или предусмотрите определенный уровень наказания, чтобы они могли учиться. Или лишить их возможности доступа к электронной почте или Интернету, чтобы обезопасить компанию.

Общая тренировка — это хорошо. Но когда 99% людей научились, а 1% людей продолжают получать удовольствие от кликов, продолжать обобщенное обучение не так уж хорошо. В этот момент нужно что-то более целенаправленное.

Как сотрудник, я больше доверяю, если мой работодатель занимается конкретными проблемами, а не дает общие советы и позволяет решить проблему.

Но, чтобы ответить на ваш вопрос. Если предлагать руководству анонимные данные уместно, то вы придумываете причины, по которым анонимные данные представляют для компании большую ценность, чем приведенные выше рассуждения. Тогда вы объясните это. Если они согласны, то вы предоставляете только обобщенную информацию. Если ваши аргументы их не убеждают, вам все равно придется делать то, что они просят.

Это всегда профессиональный подход к любому* вопросу, когда вы не согласны с руководством: приведите им веские доводы в пользу своей позиции, а затем следуйте указаниям, которые, возможно, изменились по вашим причинам.

*Любое существо, определяемое как законное, разумеется. Когда вас просят сделать что-то незаконное или неэтичное, то простое объяснение причин, а затем выполнение того, что вам говорят, не всегда уместно.

Я согласен с Джо, это предложение — золото. Дело в том, что фишинговые атаки требуют только одного отказа. Буквально не имеет значения , если 9 999 человек в компании из 10 000 человек понимают это правильно, если этот человек ошибается. Что касается вашего абзаца «ответьте на ваш вопрос» — опасность попытки убедить высшее руководство принять альтернативу заключается в том, что если вы не знаете их мотивов, вы, вероятно, неверно присвоите ценность своей альтернативы. Другими словами, даже если вы думаете, что анонимные данные будут полезны, это может быть не так, и попытка объяснить, почему это так, может закончиться очень неловко.
Однажды я нажал на фишинговый тест. И это повлияло на мой обзор в том году. Из-за этого я ввел дополнительные меры предосторожности, чтобы это никогда не повторилось — то, что я не нажимаю, выгодно не только компании, но и мне.

Существующие ответы согласны с вашим мнением о том, что это неуместный запрос. Запрашивать список лиц вполне приемлемо — это важно для безопасности вашей фирмы.

Если вы не согласны с запросом, выразите свое несогласие и выполняйте свою роль в соответствии с решением, принятым руководством.

Вы не должны задерживать или предлагать информацию, отличную от запрошенной, если вы можете выполнить запрос вовремя и способом, который соответствует ожиданиям.

Фишинг является основным источником нарушений безопасности для компаний. Выявление и конструктивные беседы с людьми, которые постоянно плохо работают в симуляциях, распространены в организациях любого размера. Это действие отвечает интересам вашей организации, даже если некоторые люди могут быть немного смущены.

Является ли мое убеждение в том, что запрошенные данные не нужны, разумно?

Точный список лиц, которые являются источником злонамеренных инцидентов безопасности электронной почты, не кажется мне разумным. В какой-то степени это похоже на указание пальцем, и что произойдет, если завтра кто-то, не включенный в список, нажмет на вредоносную ссылку? Это не решает проблему безопасности в корне. Я думаю, что предоставление сводной статистики по этим лицам является разумным. Например, общее количество людей в списке по месяцам и увеличивается оно или уменьшается. Я хотел бы увидеть количество менеджеров, руководителей или лиц с высоким уровнем доступа в этом списке, а также узнать, с большей вероятностью будут ли определенные роли нажимать на вредоносную ссылку.

Каждый должен ежегодно проходить обучение по вопросам безопасности. Не могли бы вы обновить свой ответ? Среди кликеров есть тенденции, и среди них часто встречаются разработчики. Как разработчик, можете ли вы высказать свое мнение об этом конкретном типе сотрудников?
Интересный. Это потому, что в вашей компании больше разработчиков, чем тех, кто не является разработчиками (отсюда и больше кликов от разработчиков в целом)? Надев шляпу разработчика, я могу просто сказать, что ряд наших внутренних систем имеет неправильные настройки безопасности, и мне приходится игнорировать предупреждения, чтобы выполнять свою работу каждый день. Перетекает ли это в реальную систему, где я должен беспокоиться о безопасности? Вероятно.
Среди кликеров есть тенденции, и среди них часто встречаются разработчики . Разработчики часто имеют повышенные права безопасности. Это худшее место для неудачи. Я понимаю озабоченность по поводу защиты отдельных лиц, но наступает время, когда работодателю необходимо защищать себя для общего блага.

В целом я согласен с другими ответами: ваша работа - следовать инструкциям руководства (конечно, в рамках закона)

Кроме того, ваша работа заключается в том, чтобы выполнять свои обязанности профессионально и с наилучшими способностями. В этой конкретной ситуации вы считаете, что запрос противоречит вашему профессиональному суждению. Ты говоришь:

Исходя из моего предыдущего опыта работы в области кибербезопасности, построение доверительных отношений с конечными пользователями имеет решающее значение для достижения бизнес-целей. Я уважаемый старший член команды и имею значительную свободу действий в принятии решений.

Представьте, если вас попросили открыть некоторые порты, необходимые для программного обеспечения генерального директора (кхм, игры). Вы должны подчиниться, но вы также знаете, что это ударит по вам и вашей компании.

Если вы инженер, то не слепо следовать инструкциям (не в армии), а решать проблемы. Какую проблему хотят решить ваши менеджеры? Вас наняли, чтобы предоставить лучшее решение. Они должны это понимать.

если они этого не понимают, вам лучше сделать то, что вам сказали, и обновить свое резюме: ваше руководство не доверяет вам и не ценит вас, а ваши пользователи могут очень скоро ухудшить вашу жизнь.

PS: вы также можете предложить руководству подумать, что они будут делать, если их имена будут в списке.

Нет, совершенно НЕ ОБЯЗАТЕЛЬНО выполнять неправомерные просьбы. Исходя из моего предыдущего опыта в области информационной безопасности и разработки доверенных систем, если кто-то попросит меня сделать что-то не так, моя карьера (будущее время) окажется под угрозой. На предыдущей работе у меня были рутинные просьбы "взломать" машину "потому что такой-то забыл пароль/был в отпуске/и т.д." Моя позиция заключалась в том, что я сделаю это с подписью менеджеров на листе бумаги. Я ни разу, ни разу, не получил эту бумажку.
Запрос от руководства, с которым я не согласен
СпросиСетьПолитика конфиденциальности1y, 0v