Umgang mit leitenden Mitarbeitern, die Sicherheitstests unterlaufen [geschlossen]

Ich arbeite als IT-Auftragnehmer für eine große Versicherungsgesellschaft in Großbritannien.

Von Zeit zu Zeit versendet unser Sicherheitsteam eine gefälschte E-Mail in unserem Büro, um zu testen, ob Personen Phishing-/Spam-E-Mails erkennen und kennzeichnen können.

Das Problem ist, dass in den 8 Monaten, in denen ich für dieses Unternehmen gearbeitet habe, jedes Mal, wenn einer dieser Phishing-Tests gesendet wurde, jemand das gesamte Büro innerhalb von Minuten nach dem Senden gewarnt hat. Dies ist in der Regel ein Manager/Teamleiter, der Zugriff auf die Mailinglisten der Abteilung hat.

Für mich ist das unverantwortlich und eigentlich ein ziemlich großes Sicherheitsproblem. Meine Argumentation ist, dass die Sicherheit diesen Test in der Erwartung geschickt hat, genaue Daten zurück zu erhalten, was von jemandem verzerrt wird, der das gesamte Büro warnt, nicht auf den Trick hereinzufallen. Hinzu kommt, dass Mitarbeiter, die vielleicht auf den Trick hereingefallen sind, nichts lernen. Es ist leicht, sich hinzusetzen und zu denken: „Oh ja, diese etwas andere E-Mail-Adresse wäre mir kein Problem aufgefallen!“, wenn in der Praxis ziemlich viele Leute definitiv auf den Phishing-Angriff hereinfallen würden, zumindest genug, um die E-Mail zu öffnen. Wir haben sogar eine E-Mail erhalten, in der wir unseren niedrigen Prozentsatz an Fehlern lobten und sagten, er sei unerwartet niedrig .

Ich beschloss, die letzte Person zu befragen, um alle davor zu warnen, und gab meine Gründe wie oben an. Diese Person ist sehr weit oben im Unternehmen, vielleicht auf der Ebene eines Bereichs-/Abteilungsleiters. Die Antwort, die sie gaben, war „Mir geht es um Bildung, Anon “, dann erklärten sie, dass dies wie das Training eines Hundes sei und dass es sowohl positive als auch negative Maßnahmen geben müsse.

Mir ist klar, dass diese Person sich entweder des Schadens, den sie anrichten könnte, nicht bewusst ist, sich weigert, darüber nachzudenken, oder so arrogant ist, dass sie glaubt, es besser zu wissen als eine ganze Sicherheitsabteilung. Oder sie könnten einfach daran interessiert sein, eine hohe Erfolgsquote für ihre Abteilung zu haben.

Ich bin nur ein einfacher Angestellter, und als Auftragnehmer hat meine Stimme gegenüber jemandem mit diesem Dienstalter noch weniger Gewicht, und ich mache mir Sorgen, dass dies ein schlechtes Licht auf mich werfen wird, wenn ich weiter mit dieser Person argumentiere.

Meine Frage ist:

  • Ist das ein so großes Problem, wie ich es darstelle?
  • Lohnt es sich, die Situation dem Sicherheitsdienst zu melden? Sowohl die Einstellung dieses Managers zur Sicherheit als auch das breitere Thema im Allgemeinen?
Ich denke nicht, dass dies hier vom Thema abweicht, aber Sie erhalten möglicherweise eine bessere Antwort bei Information Security . Sie können ansprechen, ob die Aktionen des Managers Ihren Sicherheitstest ungültig machen oder nicht.
Ja, es ist ein großes Problem, aber es ist nicht Ihr Problem.
Stimme @Paparazzi zu, nicht dein Problem.
somebody has warned the entire officeJunge, ich wäre sauer, wenn ich du wäre. Jemand kann besser erklären, warum er Firmengelder verschwendet, indem er 1) Sie dazu bringt, Ihre Zeit zu verschwenden, 2) eine enorme Verbindlichkeit verursacht
to test that people can recognize and flag phishing/spam emails- Was ist das erwartete Verhalten, wenn sie eine echte Phishing-Mail erhalten? Sollten sie nicht warn the entiere office ? Sollten sie es stattdessen nur der IT melden, ohne es jemand anderem zu sagen? Dies scheint zu unnötigen Verzögerungen zu führen und das Risiko zu erhöhen, dass jemand auf die Phishing-Mail antwortet. Mir scheint, Ihr Prozess ist fehlerhaft und Sie wollen Leute bestrafen, die sich tatsächlich korrekt verhalten - wenn mir eine E-Mail faul erscheint, werde ich alle meine Kollegen so schnell wie möglich warnen, um Schaden zu vermeiden.
@GeorgPatscheider Das Problem war, dass die Sicherheit Statistiken zurückbekam und behauptete, dass wir eine extrem niedrige Phishing-Erfolgsrate hatten. Dies war damals nicht korrekt, da echte Phishing-E-Mails nicht an das gesamte Unternehmen gesendet werden. Leider habe ich nie eine Anleitung von der Sicherheit zurückbekommen, als ich das bei ihnen angesprochen habe, und ich bin seitdem gegangen.

Antworten (2)

ALLES DOKUMENTIEREN

Sie haben recht mit Ihrer Einschätzung Ihrer Macht- und Einflusslosigkeit. Daher können und müssen Sie nur Schwachstellen dokumentieren und Ihren unmittelbaren Vorgesetzten über Ihre Entdeckung informieren. Lassen Sie es dann sein, während Sie weiterhin Ihre Aufzeichnungen führen, damit Sie nicht beschuldigt werden, wenn eine Sicherheitsverletzung auftritt.

Wenn Sie ein fest angestellter Vollzeitbeschäftigter wären, würde ich sagen, dass Sie dies ein bisschen mehr vorantreiben sollten, aber als Auftragnehmer erreichen Sie nur, dass Ihr Vertrag gekündigt wird.

DOKUMENTIEREN, ESKALIEREN, ZURÜCKZIEHEN

Ich finde deine Reaktion unangebracht. Die Vorgesetzten, die die Untergebenen warnen, sind Teil Ihrer organisatorischen Reaktion auf Phishing-E-Mails. Im häufigsten realen Szenario trifft ein spezifischer Angriff jeden, den er in einer Organisation erreicht, innerhalb eines relativ kurzen Zeitraums; wollen Sie dann nicht, dass die klügeren Mitarbeiter die anderen warnen?

Wenn Sie nur die weniger IT-affinen Leute testen wollen, dann entwickeln Sie eine Art Ausschlusskriterien und schließen Sie die „Reporter“ aus Ihrem Mailing aus. Aber ehrlich gesagt sehe ich den Wert nicht.

Diese Antwort. Der OPS-Fehler besteht darin, den Phishing-Test an alle gleichzeitig zu senden. Es ist unrealistisch. Senden Sie es an ein paar Leute, dann ein bisschen später noch ein paar mehr.
Umgang mit leitenden Mitarbeitern, die Sicherheitstests unterlaufen [geschlossen]
AntwortenHierDatenschutz-Bestimmungen1y, 0v