Ich arbeite als leitender Entwickler in einem kleinen/mittleren Unternehmen mit Sitz in Großbritannien und mehreren Niederlassungen. Personal wechselt selten zwischen den verschiedenen Büros. Unser Büro verfügt über einen öffentlich zugänglichen Empfangsbereich, die verschiedenen Abteilungen sind jedoch mit Schlüsselcode-verschlossenen Türen gesichert. Nachwuchskräfte erhalten nur Codes für Abteilungen, auf die sie regelmäßig zugreifen sollen. Wir tragen keine Ausweise oder Ausweise.
Zu diesem Zeitpunkt gab es zufällig nur einen Neuanfang – „James“ – und ich arbeitete in der IT-Abteilung. Der Rest war für den Tag nach Hause gegangen. Ich wurde gerufen, um bei einer Aufgabe zu helfen, von der ich wusste, dass sie nur ein paar Minuten dauern würde, also war ich zuversichtlich, dass James für so kurze Zeit unbeaufsichtigt bleiben konnte. Während dieser Zeit versuchte jedoch jemand, in den IT-Raum einzudringen. Sie versuchten, einen Code für die Tür einzugeben, der falsch war, und versuchten dann, die Tür trotzdem zu öffnen, bevor sie klopften. James öffnete die Tür, ließ den Besucher aber nicht hinein. Der Besucher sagte, er suche mich. James erklärte, dass ich bald zurück sein würde, aber der Besucher antwortete nur mit „Ich werde dann einfach hier drin auf ihn warten“. Dann versuchte er, an James vorbei in den Raum zu gelangen, aber James ließ ihn immer noch nicht herein. Laut James er fragte noch einmal, wer er sei, aber der Besucher wiederholte nur "Ich werde nur auf Kozaky warten". James hielt jedoch stand und der Besucher ging mit schlechter Laune. Als ich zurückkam, erklärte James die Situation und beschrieb den Besucher. Ich kannte ihn zwar als Manager aus einem anderen Büro, der uns technisch überlegen ist, aber niemand, dem wir jemals direkt unterstellt wären. Der Besuch war auch ungeplant.
Mein derzeit abwesender Manager schickte mir eine E-Mail mit einer Nachricht wie „Hat James diesen Typen wirklich nicht in die IT-Abteilung gelassen? Wusste er wirklich nicht, wer er war?“ Ich erklärte, dass alles wahr sei, aber dass der Besucher nicht einmal seinen Namen nannte. Ich erwähnte auch, dass ich kurz aus dem Raum war, dass ich wahrscheinlich dasselbe getan hätte, wenn ich ihn nicht erkannt hätte, und dass ich, wenn James dafür bestraft wird, einen Teil der Schuld dafür übernehmen sollte, dass ich ihn in Ruhe gelassen habe. Ich schätze, es gibt weniger als 20 Leute in höheren Rollen als ich, aber nicht einmal ich habe sie alle getroffen und würde sie wahrscheinlich nicht wiedererkennen.
Meine Fragen sind:
Klingt für mich so, als hätte James das Richtige getan: Er hat jemandem, den er nicht kannte, den Zutritt zu einem gesicherten Bereich verweigert, wenn er den Türcode nicht kannte und sich nicht auswies. All dies ist unter den gegebenen Umständen absolut angemessen und bewährte Vorgehensweise.
Ob er die Person hätte erkennen sollen – es ist nicht unvernünftig, wenn jemand, der relativ neu in der Organisation ist, jemanden aus einem ganz anderen Büro nicht erkennt. Vor allem, wenn diese Person nicht in ihrer direkten Berichtslinie steht. Ihn dafür zu disziplinieren, wäre meiner Meinung nach lächerlich.
Egal wer er ist, auch wenn ich ihn erkenne. Wenn er den Türcode nicht kennt, gehört er nicht hinein. Wenn er den Türcode kennen soll, sollte er die entsprechenden Verfahren befolgen, um ihn zu erhalten.
Sollte ein Mitarbeiter dafür bestraft werden, dass er die weiter oben in der Befehlskette nicht anerkennt?
Nein, sollten sie nicht, James hat das Richtige getan und Ihr Vorgesetzter wird/sollte ihn jetzt unterstützen, da er die Fakten hat. Aber das Leben ist nicht immer fair. Dies ist jedoch ziemlich einfach und selbst der verärgerte Manager weiß es.
James hat das Richtige getan. Tatsächlich erwies sich James als resistent gegen einen Social-Engineering-Trick, der oft als „ bayerische Feuerwehrübung “ bezeichnet wird.
Wenn überhaupt, sollte James gelobt werden, da er gezeigt hat, dass er sich an die Richtlinien hält und sich nicht von jemandem einschüchtern lässt, der Social-Engineering-Tricks anwendet.
Einem Freund von mir ging es ähnlich, als er beim Militär war. Ihm wurde befohlen, ein Gebiet zu bewachen. Ein hochrangiger Beamter beschloss, sich seinen Weg hineinzuschikanieren, und wurde fast erschossen. Er wurde offiziell heruntergeputzt, aber inoffiziell gratulierte er und sagte „gute Arbeit“. Sein Rekord blieb intakt.
Ich werde die Fragen nur so beantworten, wie sie hier angegeben sind, da der Sicherheitsaspekt der Frage hier klar verstanden und angemessen gehandhabt wurde.
Sollte ein Mitarbeiter dafür bestraft werden, dass er die weiter oben in der Befehlskette nicht anerkennt?
Nein . Wenn sie sich nicht ausweisen oder Sicherheitsmerkmale (Visitenkarte, Schlüsselnummer, Sicherheitsausweis) mit sich führen, übertrumpfen die bestehenden Sicherheitsmaßnahmen alles.
Sollten Mitarbeiter ermutigt werden, zu erfahren, wer über ihnen steht, auch wenn sie ihnen nie direkt unterstellt sind?
Ja . Es ist sinnvoll, dass sich die Mitarbeiter der Führungshierarchie des Unternehmens bewusst sind, insbesondere in der unmittelbaren Befehlskette über ihnen. Ihre Namen zu kennen ist ziemlich wichtig, um zu wissen, wie man mit ihnen umgeht, wenn sie zufällig mit Ihnen zu tun haben.
Im Idealfall hätte James nicht einmal die Tür geöffnet, also wenn es seinerseits etwas zu lernen gibt, dann das. Ich würde sagen, es gibt Lehren für alle, aber die Disziplinierung dieses Mitarbeiters ist nicht nur nicht richtig, sondern schafft eine Haftung für das Unternehmen.
Eine Lektion für die Geschäftsleitung ist, dass es diesbezüglich eine Richtlinie geben muss, und es muss in allen Bereichen vereinbart und verstanden werden, wie dies von James hätte gehandhabt werden sollen. Ohne eine solche Richtlinie und die im Mitarbeiterhandbuch oder in einem Stapel von Richtlinien, die alle Mitarbeiter lesen, verstehen und unterschreiben müssen, wird vom Mitarbeiter erwartet, dass er Situationen gemäß dem handhabt, was in der Branche allgemein anerkannt ist – und das hat er getan.
Auch wenn er formal nicht diszipliniert ist, klingt es so, als ob die Kultur in diesem Unternehmen wirklich nicht gut ist. Wenn überhaupt in Erwägung gezogen wird, einen neuen Mitarbeiter dafür zu disziplinieren, und/oder andere Führungskräfte der Meinung sind, dass ihr Ego die Best Practices der IT-Sicherheit übertrumpfen sollte.
Das Unternehmen zahlte Geld, um ein codiertes Schloss an dieser Tür anzubringen, also machte jemand irgendwo den Geschäftsfall, dass das, was sich in diesem Raum befindet, geschützt werden muss und nur von autorisierten Personen mit Bedarf zugänglich sein muss. Ich bin mir sicher, dass das Argument des Senior Managers lautet: "Aber ich bin berechtigt und kein Bösewicht!" Warum dann das Geld für diese Türsicherheit ausgeben? Wenn von allen Mitarbeitern erwartet wird, dass sie persönlich wissen, welche anderen Mitarbeiter zu diesem Zeitpunkt aktive Mitarbeiter sind und einen geschäftlichen Bedarf an diesem Raum haben, warum wurde dann das Geld ausgegeben?
Ich habe für ein Unternehmen gearbeitet, das ein globales Fortune-50-Unternehmen ist und dessen geistiges Eigentum die Arbeitsplätze und das Leben von über 100.000 Menschen bezahlt. Bei diesem Unternehmen gibt es keinen Umstand, in dem die persönliche Anerkennung verwendet werden darf. Egal wer, sie benötigen die Anmeldeinformationen und den physischen Personalausweis.
Wenn Ihr Unternehmen über geistiges Eigentum verfügt, dessen unbefugte Offenlegung schwerwiegende Folgen haben würde, müssen hier alle Führungskräfte diszipliniert werden, die für die Sicherung dieses geistigen Eigentums verantwortlich sind. Sie sollten diszipliniert werden, weil sie es versäumt haben, eine Kultur zu schaffen, die den Schutz dieses geistigen Eigentums in die allererste Verantwortung aller stellt – einschließlich des Egos der leitenden Manager.
Ich persönlich würde mir an deiner Stelle einen neuen Job suchen. Es tut uns leid.
Bearbeitet, um hinzuzufügen: Ein weiterer geschäftlicher Grund dafür, dass sich an dieser Tür ein codiertes Schloss befindet, besteht darin, dass möglicherweise eine gesetzliche oder behördliche Anforderung besteht, einen Prüfpfad für alle Personen zu führen, die diesen Raum betreten. Wenn dies der Fall ist, erwägt Ihr Unternehmen, einen Mitarbeiter zu disziplinieren, weil er nicht gegen das Gesetz verstoßen hat.
Sie sollten nicht sein. Der Angestellte "James" (vorausgesetzt, ihre Beschreibung der Ereignisse ist korrekt) hat genau das getan, was er hätte tun sollen.
Natürlich ist es möglich, dass James in dem Moment etwas ruppiger oder abrupter war, als er es später war, als er es dir beschrieb. In diesem Fall war er möglicherweise aus der Reihe.
dh der Unterschied zwischen "sorry, I can't let you in without a pass or code" und "get lost sucker" ist ziemlich groß.
Abgesehen davon, auch wenn James völlig im Recht ist - manche Leute sind kleinlich und rachsüchtig. Es ist durchaus möglich, dass dieser Manager beschließt, die Dinge persönlich zu nehmen und James deswegen anzugreifen. Es würde sich lohnen, den Vorfall jetzt detailliert zu protokollieren. Notieren Sie die Zeit, den Ort und was passiert ist. Wenn es CCTV gibt, könnten Sie das sogar aufzeichnen.
Sollte der Manager jetzt anfangen, James das Leben schwer zu machen, hat er Munition, die er der Personalabteilung geben und/oder für rechtliche Schritte verwenden kann, falls dies erforderlich sein sollte.
Eine Eskalation wie diese ist nicht wahrscheinlich, aber einige Leute sind einfach kleinlich und rachsüchtig genug, um es zu tun, also lohnt es sich, eine gewisse Berichterstattung zu haben.
Mein derzeit abwesender Manager schickte mir eine E-Mail mit einer Nachricht wie „Hat James diesen Typen wirklich nicht in die IT-Abteilung gelassen? Wusste er wirklich nicht, wer er war?“
Es tut mir leid, Boss, aber selbst das Millionen-Dollar-Sicherheitssystem, das unsere Firma installiert hatte, erkannte den Kerl nicht, wie konnte James das auch haben? Dieser Typ hat sich keinem von beiden gegenüber richtig identifiziert. James scheint dem Buch gefolgt zu sein.
James hat das Richtige getan, aber vielleicht hat er es richtig gemacht oder auch nicht. Ihre Unternehmensrichtlinie kann gut genug und/oder klar genug sein oder nicht, und er kann die Richtlinie gekannt haben oder nicht. Dies ist eine Gelegenheit, die Unternehmensprozesse und/oder die Art und Weise, wie sie neuen Mitarbeitern mitgeteilt werden, (mit Ihrem Chef) zu überprüfen und zu verbessern. Je öfter Sie dies tun, desto unwahrscheinlicher ist es, dass James für etwas Falsches verantwortlich gemacht wird, und desto wahrscheinlicher ist es, dass der Besucher etwas getan hat, das entweder gegen die aktuelle Richtlinie oder gegen diese Richtlinie verstößt muss auf verbieten geändert werden. Was James angeht, scheinen die Hauptanliegen folgende zu sein:
Der Besucher scheint gedacht zu haben, dass sein Gesicht als Sicherheitsausweis dienen sollte – das heißt, jeder Mitarbeiter (auch neue) sollte es erkennen und ihn hereinlassen. Wenn das Unternehmenspolitik ist, dann ist es ausreichend ungewöhnlich (und meiner Meinung nach unklug ), dass es richtig kommuniziert werden muss, was hier nicht passiert ist, da nicht einmal Sie davon wissen. Wenn es keine Unternehmensrichtlinie ist, dann sollte den Managern idealerweise mitgeteilt werden, dass ihr Gesicht kein Zugangsausweis für alle Bereiche ist, und sie sollten nicht mürrisch werden, wenn Mitarbeiter es nicht so behandeln.
Sollte ein Mitarbeiter dafür bestraft werden, dass er die weiter oben in der Befehlskette nicht anerkennt?
Es sei denn, ihr Chef (Sie) hat ihnen gesagt, dass dies wichtig ist. Selbst wenn das Unternehmen es vorziehen würde, dass er Manager anerkennt, wäre es ziemlich unverhältnismäßig, gleich beim ersten Vergehen, früh in seiner Anstellung, disziplinarische Maßnahmen zu ergreifen, wenn ihm nie gesagt wurde, dass es wichtig ist.
Sollten Mitarbeiter ermutigt werden, zu erfahren, wer über ihnen steht, auch wenn sie ihnen nie direkt unterstellt sind?
Wenn sie keine nützliche Arbeit zu tun haben, dann nehme ich das an. Die Anerkennung Ihrer eigenen Befehlskette, sogar bis zur C-Ebene, ist wahrscheinlich nützlich und eine gute Idee aus Höflichkeit gegenüber ihrer Position. Ein britisches KMU (also bis zu 250 Mitarbeiter), in dem Sie zu viele Leute in Ihrer Befehlskette haben, um sie alle zu erkennen, muss sein Organigramm mit einem Unkrautvernichter sortieren! Im Gegensatz dazu ist es oft unpraktisch, jeden in der gesamten Organisation zu erkennen, der einem überlegen ist, obwohl es nicht schadet, solange man nicht viel Zeit damit verschwendet.
Wie hätte James anders handeln sollen, wenn er den Typen erkannt hätte ? Es ist eine Sache, ihn zu erkennen, eine andere, ihn in einen Bereich zu lassen, für den er anscheinend (weil er keinen Türcode kennt) möglicherweise nicht berechtigt ist. Angesichts der Tatsache, dass jedes Büro seinen eigenen Code hat, scheint es naheliegend anzunehmen, dass diejenigen, die den Code nicht kennen, nicht dort sein sollten, selbst wenn Sie sie erkennen.
In Bezug auf diese und andere Sicherheitsangelegenheiten wissen Sie mehr als wir über die Einzelheiten des Ereignisses und die allgemeinen Richtlinien Ihres Büros, aber es gibt verschiedene sekundäre Dinge, die anders hätten verlaufen können.
Lilienthal
Maskierter Mann
Freundlicher Ambler
Dan Henderson
Benutzer71715
WGroleau
Joel Etherton