Anfrage des Managements, der ich nicht zustimme

Buchung jetzt von echtem Konto

Ich arbeite im IT-Sicherheitsteam bei meinem Arbeitgeber als Senior Analyst / Engineer. Ein Teil meiner Aufgaben ist die Leistungsberichterstattung an die Geschäftsleitung über bestimmte Cybersicherheitskennzahlen. Soweit ich weiß und mir vom Management, das direkt dem CISO unterstellt ist, mitgeteilt wurde, sollen diese hauptsächlich für die Verbesserung interner betrieblicher Prozesse verwendet werden, nicht um mit dem Finger auf jemanden zu zeigen oder Einzelpersonen wegen Schwächen in ihrer Rolle anzuprangern.

Heute habe ich von der Geschäftsleitung eine Anfrage für Personen erhalten, die Schwächen bei der Phishing-Berichterstellung und der Erkennung bösartiger E-Mails gezeigt haben. Ich verstehe, dass das Management, das diese Namen hat, bei der Einschätzung unserer Social-Engineering-Risiken helfen wird, aber ich bin der Meinung, dass es unnötig ist und das Vertrauen zu anderen Mitarbeitern untergräbt. Die Leute denken vielleicht, dass dies ein Rückenstich ist, und eine Anfrage erscheint mir unvernünftig.

Aufgrund meiner früheren Arbeitserfahrung im Bereich Cybersicherheit ist der Aufbau von Vertrauen bei Endbenutzern entscheidend für das Erreichen von Geschäftszielen. Ich bin ein angesehenes Senior-Mitglied des Teams und habe einen großen Entscheidungsspielraum.

Bearbeiten, um Antworten auf Kommentare einzufügen:

@ThursdaysGeek , wir führen jetzt "zusätzliche Schulungen" für Benutzer durch, die ständig Probleme haben, indem wir sie persönlich nachverfolgen. Entweder ich oder ein Kollege würde direkt mit dem Endbenutzer zusammenarbeiten. Bei hochwertigen Walen (z. B. Führungskräfte und Senior Management) kommuniziert der SecOps-Manager mit ihnen.

@JcMack – Alle Mitarbeiter müssen eine jährliche Sicherheitsschulung absolvieren. Wenn nicht abgeschlossen, wird der Zugriff auf die IT-Ressourcen des Unternehmens für Nicht-Compliance-Personen vor Jahresende entfernt. Clicker in der Vergangenheit haben bestimmte Trends gezeigt und die Art von Mitarbeitern, die diese Probleme haben, ist eher zu erwarten.

Wenn es hier andere Sicherheitspraktiker gibt, würde ich gerne hören, was Sie getan haben, wenn Sie schon einmal mit ähnlichen Umständen konfrontiert waren. Speziell:

Wenn gezielte Schulungen durchgeführt werden sollten, wie würden Sie erfahren, welche Social-Engineering-Exploits derzeit in der Wildnis kursieren?

Wie würden solche gezielten Übungen funktionieren? Wir haben bereits Top-Management-Buy-in (CISO)

Ist meine Annahme, dass die angeforderten Daten unnötig sind, angemessen?

Wie kann ich die Erfüllung meiner Pflicht in meiner Rolle, das Unternehmensvermögen zu schützen, gegen die Unterstützung meiner Kollegen in dieser Situation abwägen?

Wenn das Anbieten von anonymisierten Verwaltungsdaten angemessen ist, wie kann ich diese Anfrage am besten professionell stellen?

Würden Personen, die Phishing-Tests regelmäßig nicht bestehen, zusätzliche Schulungen erhalten? Wäre das nützlich?
Ja, je nach Schweregrad und Häufigkeit. Wenn wir Wale fangen, sprechen wir natürlich mit Endverbrauchern
Die Daten stammen aus simulierten Phishing-E-Mails, die wir versenden. Wie ich auf infosec stack exchange gepostet habe, bekommen wir bereits einige Beschwerden von Endbenutzern, daher zögere ich wirklich, individualisierte Daten zu veröffentlichen
Einige Teile nach "Wenn es hier Sicherheitskollegen gibt" sind nicht zum Thema, ich empfehle, sie zu entfernen. security.stackexchange.com ist der richtige Ort, um das zu fragen
Was hält Ihr SecOps-Manager von der Anfrage?

Antworten (4)

Vertrauen aufzubauen ist wichtig. So schützen Sie Ihr Unternehmen.

Wenn bestimmte Mitarbeiter Phishing-Tests wiederholt nicht bestehen, ist es für das Unternehmen von Vorteil, sie zusätzlich zu schulen, damit sie lernen können. Oder ein gewisses Maß an Bestrafung bieten, damit sie lernen können. Oder nehmen Sie ihnen die Möglichkeit, auf E-Mails oder das Internet zuzugreifen, um das Unternehmen zu schützen.

Generalisiertes Training ist gut. Aber wenn 99 % der Leute gelernt haben und 1 % der Leute weiterhin klickfreudig sind, ist es nicht so gut, mit allgemeinem Training fortzufahren. An diesem Punkt ist etwas Richtigeres erforderlich.

Als Arbeitnehmer habe ich mehr Vertrauen, wenn sich mein Arbeitgeber um spezifische Probleme kümmert, anstatt pauschal zu beraten und das Problem weiterlaufen zu lassen.

Aber um deine Frage zu beantworten. Wenn es angemessen ist, anonymisierte Managementdaten anzubieten, dann finden Sie Gründe, warum die anonymisierten Daten für das Unternehmen wertvoller sind als die oben genannten Gründe. Dann erklärst du das. Wenn sie zustimmen, stellen Sie nur die allgemeinen Informationen bereit. Wenn Ihr Argument sie nicht überzeugt, müssen Sie trotzdem tun, was sie verlangen.

Das ist immer der professionelle Weg, um jedes* Problem anzugehen, wenn Sie mit dem Management nicht einverstanden sind: Geben Sie überzeugende Gründe für Ihre Haltung und befolgen Sie dann die Anweisungen, die möglicherweise aufgrund Ihrer Gründe geändert wurden.

*Natürlich alles, was als legal definiert ist. Wenn Sie aufgefordert werden, etwas zu tun, das illegal oder unethisch ist, ist es nicht immer angemessen, einfach Gründe anzugeben und dann das zu tun, was Ihnen gesagt wird.

Ich stimme Joe zu, dieser Satz ist Gold wert. Die Sache mit Phishing-Angriffen ist, dass es nur einen Fehler braucht. Es spielt buchstäblich keine Rolle , ob 9.999 Menschen in einem Unternehmen mit 10.000 Mitarbeitern es richtig machen, wenn diese eine Person es falsch macht. In Bezug auf Ihren Absatz „Beantworten Sie Ihre Frage“ – die Gefahr beim Versuch, das obere Management davon zu überzeugen, eine Alternative zu akzeptieren, besteht darin, dass Sie den Wert Ihrer Alternative wahrscheinlich falsch einschätzen, wenn Sie deren Beweggründe nicht kennen. Mit anderen Worten, selbst wenn Sie der Meinung sind, dass anonyme Daten hilfreich sind, ist dies möglicherweise nicht der Fall, und der Versuch, zu erklären, warum dies der Fall ist, kann sehr umständlich enden.
Ich habe einmal auf einen Phishing-Test geklickt. Und es beeinflusste meinen Rückblick in diesem Jahr. Aus diesem Grund habe ich zusätzliche Sicherheitsvorkehrungen getroffen, damit so etwas nie wieder passiert – es ist nicht nur zum Vorteil des Unternehmens, dass ich nicht klicke, es ist auch zu meinem Vorteil.

Die vorhandenen Antworten stimmen mit Ihrer Ansicht überein, dass dies eine unangemessene Bitte ist. Es ist völlig akzeptabel, nach der Liste der Personen zu fragen - es ist wichtig für die Sicherheit Ihres Unternehmens.

Wenn Sie mit der Anfrage nicht einverstanden sind, äußern Sie Ihren Widerspruch und führen Sie Ihre Rolle gemäß der Entscheidung des Managements aus.

Sie sollten keine anderen als die angeforderten Informationen verzögern oder anbieten, wenn Sie in der Lage sind, die Anfrage rechtzeitig und in einer Weise zu erfüllen, die den Erwartungen entspricht.

Phishing ist eine der Hauptquellen für Sicherheitsverletzungen für Unternehmen. Das Identifizieren und Führen konstruktiver Gespräche mit Personen, die in Simulationen kontinuierlich schlechte Leistungen erbringen, ist in Organisationen aller Größen üblich. Diese Aktivität ist im besten Interesse Ihrer Organisation, auch wenn es einigen Leuten vielleicht etwas peinlich ist.

Ist meine Annahme, dass die angeforderten Daten unnötig sind, angemessen?

Die genaue Liste der Personen, die die Quelle bösartiger E-Mail-Sicherheitsvorfälle sind, erscheint mir nicht vernünftig. Es fühlt sich bis zu einem gewissen Grad wie ein Fingerzeig an und was passiert, wenn jemand anderes, der nicht auf der Liste steht, morgen auf einen schädlichen Link klickt? Es löst das Sicherheitsproblem nicht an der Wurzel. Ich halte die Bereitstellung aggregierter Statistiken über diese Personen für angemessen. Zum Beispiel die Gesamtzahl der Personen auf der Liste Monat für Monat und ob diese zunimmt oder abnimmt. Ich würde gerne die Anzahl der Manager, Führungskräfte oder Personen mit hohem Zugriff auf dieser Liste sehen oder ob bestimmte Stellen mit größerer Wahrscheinlichkeit auf den schädlichen Link klicken.

Jeder muss jährlich ein Security Awareness Training absolvieren. Würde es Ihnen etwas ausmachen, Ihre Antwort zu aktualisieren? Es gibt Trends unter Clickern und Entwickler sind häufig unter ihnen. Können Sie als Entwickler Ihre Gedanken zu diesem speziellen Mitarbeitertyp äußern?
Interessant. Liegt es daran, dass Ihr Unternehmen eine höhere Anzahl von Entwicklern im Vergleich zu Nicht-Entwicklern hat (daher insgesamt mehr Klicks von Entwicklern)? Ich trage meinen Entwicklerhut und kann nur sagen, dass einige unserer internen Systeme falsche Sicherheitseinstellungen haben und ich jeden Tag Warnungen ignorieren muss, um meine Arbeit zu erledigen. Überträgt sich das auf das eigentliche System, wo ich mir Sorgen um die Sicherheit machen sollte? Wahrscheinlich.
Es gibt Trends unter Clickern und Entwickler sind häufig unter ihnen Huch. Entwickler haben oft erhöhte Sicherheitsrechte. Das ist der schlimmste Ort, um zu scheitern. Ich verstehe die Besorgnis über den Schutz von Einzelpersonen, aber es kommt eine Zeit, in der sich ein Arbeitgeber zum Wohle der Allgemeinheit schützen muss .

Ich stimme anderen Antworten im Allgemeinen zu: Es ist Ihre Aufgabe, den Anweisungen des Managements Folge zu leisten (natürlich im Rahmen des gesetzlichen Rahmens).

Es ist auch Ihre Aufgabe, Ihre Aufgaben professionell und mit den besten Fähigkeiten auszuführen . In dieser besonderen Situation betrachten Sie die Anfrage als gegen Ihr professionelles Urteilsvermögen. Du hast gesagt:

Aufgrund meiner früheren Arbeitserfahrung im Bereich Cybersicherheit ist der Aufbau von Vertrauen bei Endbenutzern entscheidend für das Erreichen von Geschäftszielen. Ich bin ein angesehenes Senior-Mitglied des Teams und habe einen großen Entscheidungsspielraum.

Stellen Sie sich vor, Sie wurden aufgefordert, einige Ports zu öffnen, die für die Software des CEO (khm, Spiele) erforderlich sind. Sie müssen sich daran halten, aber Sie wissen auch, dass es Sie und Ihr Unternehmen zurückwerfen wird.

Als Ingenieur ist es nicht Ihre Aufgabe, blind den Anweisungen zu folgen (nicht in der Armee), sondern es ist Ihre Aufgabe, Probleme zu lösen. Welches Problem wollen Ihre Manager lösen? Sie wurden eingestellt, um die beste Lösung anzubieten. Sie sollten es verstehen.

Wenn sie es nicht verstehen, tun Sie besser, was Ihnen gesagt wurde, und aktualisieren Sie Ihren Lebenslauf: Ihr Management vertraut Ihnen nicht oder schätzt Sie nicht, und Ihre Benutzer könnten Ihr Leben sehr bald verschlimmern.

PS: Sie können dem Management auch vorschlagen, zu überlegen, was sie tun, wenn ihre Namen auf der Liste stehen

Nein, unangemessenen Aufforderungen muss man absolut NICHT Folge leisten. Aufgrund meiner früheren Erfahrung in InfoSec und der Entwicklung vertrauenswürdiger Systeme steht meine Karriere – Zukunftsform – auf dem Spiel, wenn mich jemand bittet, etwas falsch zu machen. Bei einem früheren Job hatte ich routinemäßige Anfragen, mich in eine Maschine zu "hacken", "weil der oder die das Passwort vergessen hat / im Urlaub war / etc." Meine Haltung war, dass ich es mit der Unterschrift eines Managers auf einem Stück Papier machen werde. Ich habe nie, nicht ein einziges Mal, dieses Stück Papier bekommen.
Anfrage des Managements, der ich nicht zustimme
AntwortenHierDatenschutz-Bestimmungen1y, 0v