Я работаю старшим разработчиком в небольшой/средней британской компании с несколькими офисами. Персонал редко ходит между разными офисами. В нашем офисе есть общедоступная приемная, но различные отделы защищены дверями с кодовым замком. Младшие сотрудники получают коды только тех отделов, к которым они должны регулярно обращаться. Мы не носим никаких пропусков или удостоверений личности.
В это время случилось только новое начало — «Джеймс» — и я работаю в ИТ-отделе. Остальные ушли домой на день. Меня позвали помочь с заданием, которое, как я знал, займет всего несколько минут, поэтому я был уверен, что Джеймса можно оставить без присмотра на такое короткое время. Однако в это время кто-то пытался получить доступ к ИТ-комнате. Они попытались ввести код от двери, он был неправильным, а затем все равно попытались взломать дверь, прежде чем постучать. Джеймс открыл дверь, но не впустил посетителя внутрь. Посетитель сказал, что ищет меня. Джеймс объяснил, что я скоро вернусь, но посетитель просто ответил: «Тогда я подожду его здесь». Затем он попытался пройти мимо Джеймса в комнату, но Джеймс так и не впустил его. По словам Джеймса, он снова спросил, кто он такой, но посетитель просто повторил: «Я просто подожду Козаки». Однако Джеймс стоял на своем, и посетитель ушел в плохом настроении. Когда я вернулся, Джеймс объяснил ситуацию и описал посетителя. Я действительно знал его как менеджера из другого офиса, который технически выше нас, но не тот, кому мы когда-либо напрямую подчинялись. Визит также был незапланированным.
Мой в настоящее время отсутствующий менеджер прислал мне сообщение по электронной почте примерно следующего содержания: «Неужели Джеймс действительно не пустил этого парня в ИТ-отдел? Он действительно не знал, кто он такой?» Я объяснил, что все это правда, но что посетитель даже не назвал своего имени. Я также упомянул, что ненадолго вышел из комнаты, что если бы я не узнал его, то, вероятно, сделал бы то же самое, и что если Джеймса накажут за это, я должен взять на себя часть вины за то, что оставил его в покое. Я предполагаю, что есть менее 20 человек на более высоких ролях, чем моя, но даже я не встречал их всех и, вероятно, не узнал бы их.
Мои вопросы:
Мне кажется, что Джеймс поступил правильно: он отказал кому-то, кого он не знал, во входе в охраняемую зону, когда они не знали дверного кода и не представились. Все это абсолютно разумно и является лучшей практикой в данных обстоятельствах.
Что касается того, должен ли он узнавать этого человека, то вполне разумно, чтобы кто-то относительно новичок в организации не узнавал кого-то из совершенно другой должности. Особенно, когда этот человек не находится в их прямой подчиненности. Наказывать его за это было бы нелепо в моей книге.
Неважно, кто он, даже если я узнаю его. Если он не знает код двери, то ему не место внутри. Если предполагается, что он знает код двери, он должен выполнить соответствующие процедуры, чтобы получить его.
Следует ли наказывать сотрудника за то, что он не признает тех, кто находится выше по иерархической лестнице?
Нет, не должны, Джеймс поступил правильно, и ваш менеджер будет/должен поддержать его теперь, когда у него есть факты. Но жизнь не всегда справедлива. Это довольно просто, и даже недовольный менеджер это знает.
Джеймс поступил правильно. На самом деле, Джеймс доказал свою устойчивость к уловке социальной инженерии, которую часто называют « баварской пожарной тренировкой ».
ЕСЛИ что-нибудь, Джеймса следует похвалить, поскольку он продемонстрировал, что будет придерживаться политики и не будет запуган кем-то, кто использует уловки социальной инженерии.
Похожая история случилась с моим другом, когда он служил в армии. Ему было приказано охранять территорию. Офицер какого-то звания решил попытаться прорваться внутрь и чуть не был застрелен. Официально его выругали, но неофициально поздравили и сказали «хорошая работа». Его рекорд остался нетронутым.
Я просто собираюсь ответить на вопросы, как указано здесь, поскольку аспект процесса безопасности здесь ясно понятен и обработан должным образом.
Следует ли наказывать сотрудника за то, что он не признает тех, кто находится выше по иерархической лестнице?
нет . Если они не идентифицируют себя или не имеют учетных данных безопасности (визитная карточка, кодовый номер ключа, пропуск безопасности), то существующие меры безопасности важнее всего.
Следует ли побуждать сотрудников узнавать, кто стоит над ними, даже если они никогда не будут отчитываться перед ними напрямую?
Да . Сотрудникам имеет смысл знать об управленческой иерархии компании, особенно в цепочке подчинения, находящейся непосредственно над ними. Знание их имен очень важно для того, чтобы знать, как с ними обращаться, если они свяжутся с вами.
В идеале, Джеймс даже не открыл бы дверь, так что если и можно чему-то научиться из этого с его стороны, так это этому. Я бы сказал, что всем есть чему поучиться, но наказывать этого сотрудника не только неправильно, но и создает ответственность для компании.
Урок для высшего руководства заключается в том, что в этом вопросе должна быть политика, и ее необходимо согласовать во всех областях и понять, как Джеймс должен был справиться с этим. Без такой политики, которая содержится в справочнике для сотрудников или среди набора политик, которые все сотрудники должны прочитать, понять и подписать, ожидается, что сотрудник будет справляться с ситуациями в соответствии с тем, что общепринято в отрасли, и что это то, что он сделал.
Даже если он формально не дисциплинирован, похоже, что культура в этой компании действительно нехорошая. Если даже предполагается наказать нового сотрудника за это, и / или другие руководители высшего звена считают, что их эго должно преобладать над передовыми методами ИТ-безопасности.
Компания заплатила деньги, чтобы установить кодовый замок на этой двери, поэтому кто-то сделал экономическое обоснование того, что то, что находится в этой комнате, должно быть защищено и доступно только для уполномоченных лиц и в случае необходимости. Я уверен, что аргумент старшего менеджера звучит так: «Но я уполномочен и не плохой парень!» Тогда зачем тратить деньги на безопасность этой двери? Если все сотрудники должны лично знать, какие другие сотрудники в данный момент являются активными сотрудниками и имеют деловую потребность в этой комнате, то зачем были потрачены деньги?
Я работал в компании, входящей в список Fortune 50, и их интеллектуальная собственность — это то, что оплачивает работу и жизнь более 100 000 человек. В этой компании нет обстоятельств, при которых допускается использование личного признания. Независимо от того, кто, им нужны учетные данные и физическое удостоверение личности.
Если у вашей компании есть интеллектуальная собственность, несанкционированное раскрытие которой может привести к серьезным последствиям, то здесь должны быть наказаны все руководители, которые несут ответственность за защиту этой ИС. Они должны быть наказаны за то, что не смогли создать культуру, которая ставит защиту интеллектуальной собственности на первое место всех остальных, включая эго высшего руководства.
Лично я бы искал новую работу на вашем месте. Извиняюсь.
Отредактировано для добавления: Еще одна бизнес-причина, по которой на этой двери есть кодовый замок, заключается в том, что, возможно, существует юридическое или нормативное требование иметь контрольный журнал всех, кто входит в эту комнату. Если это так, то ваша компания рассматривает возможность дисциплинарного взыскания сотрудника за то, что он не нарушал закон.
Их быть не должно. Сотрудник «Джеймс» (при условии, что его описание событий является точным) сделал именно то, что должен был сделать.
Конечно, возможно, что Джеймс был более грубым или более резким в тот момент, чем позже, когда описывал вам это. В таком случае, возможно, он был вне линии.
т.е. разница между "извините, я не могу вас пустить без пропуска или кода" и "проваливай, лох" довольно велика.
Сказав это, даже если Джеймс полностью прав - некоторые люди мелочны и мстительны. Вполне возможно, что этот менеджер решит принять все на свой счет и нападет из-за этого на Джеймса. Сейчас стоило бы подробно зафиксировать инцидент. Запишите время, место и то, что произошло. Если есть видеонаблюдение, вы могли бы даже записать это.
Теперь, если менеджер начнет усложнять жизнь Джеймсу, у него будут боеприпасы, чтобы передать их в отдел кадров и/или использовать для судебного иска, если это потребуется.
Подобная эскалация маловероятна, но некоторые люди просто достаточно мелочны и мстительны, чтобы сделать это, поэтому стоит иметь какое-то освещение.
Мой в настоящее время отсутствующий менеджер прислал мне сообщение по электронной почте примерно следующего содержания: «Неужели Джеймс действительно не пустил этого парня в ИТ-отдел? Он действительно не знал, кто он такой?»
Извините, босс, но даже система безопасности за миллион долларов, которую установила наша компания, не узнала этого парня, как мог узнать Джеймс? Этот парень неправильно назвал себя ни одному из них. Джеймс, кажется, следовал книге.
Джеймс поступил правильно, но он мог или не мог сделать это правильно. Политика вашей компании может быть или не быть достаточно хорошей и/или достаточно ясной, и он может знать или не знать эту политику. Это возможность пересмотреть (с вашим начальником) и улучшить процессы компании и/или то, как они доводятся до сведения новых сотрудников. В качестве преимущества, чем больше вы это делаете, тем меньше вероятность того, что Джеймс может быть признан виновным в совершении чего- либо неправильного, и тем больше вероятность того, что посетитель будет обнаружен в совершении чего-то, что либо противоречит текущей политике, либо этой политике. нужно изменить, чтобы запретить. Что касается Джеймса, основные вопросы, вызывающие озабоченность, кажутся:
Посетитель, похоже, подумал, что его лицо должно работать как пропуск безопасности, то есть каждый сотрудник (даже новый) должен узнать его и пропустить. Если это политика компании, то это достаточно необычно (и неразумно, ИМХО) . ), что это нужно правильно сообщить, чего здесь не произошло, так как даже вы не знаете об этом. Если это не политика компании, то в идеале менеджерам следует сообщить, что их лицо не является пропуском для доступа ко всем областям, и они не должны ворчать, когда сотрудники не обращаются с ним как с таковым.
Следует ли наказывать сотрудника за то, что он не признает тех, кто находится выше по иерархической лестнице?
Нет, если их босс (вы) не сказал им, что это важно. Даже если компания предпочла бы, чтобы он признавал менеджеров, было бы несоразмерно привлекать к дисциплинарной ответственности за первое нарушение в начале его работы, если ему никогда не говорили, что это важно.
Следует ли побуждать сотрудников узнавать, кто стоит над ними, даже если они никогда не будут отчитываться перед ними напрямую?
Если у них нет полезной работы, то я так полагаю. Признание собственной субординации, даже вплоть до C-уровня, вероятно, полезно и является хорошей идеей из уважения к их положению. Британскому малому и среднему бизнесу (то есть до 250 сотрудников), в котором слишком много людей в вашей цепочке подчинения, чтобы распознать их всех, необходимо разобраться в своей организационной структуре с помощью сорняков! Напротив, признавать всех во всей организации, кто выше вас по рангу, часто нецелесообразно, хотя это и не вредит, если вы не тратите на это много времени.
Если на то пошло, как Джеймс должен был действовать по-другому, если бы узнал этого парня? Одно дело узнать его, другое дело впустить его в зону, на которую он явно (из-за незнания кода двери) может не иметь права. Учитывая, что у каждого офиса есть свой код, кажется естественным предположить, что тех, кто не знает кода, там быть не должно, даже если вы их узнаете.
Что касается этого и других вопросов безопасности, вы знаете больше, чем мы, о деталях события и общих правилах вашего офиса, но есть различные второстепенные вещи, которые могли бы пойти по-другому.
Лилиенталь
Человек в маске
приветливый инопланетянин
Дэн Хендерсон
пользователь71715
WGroleau
Джоэл Этертон