Wie melde ich einen Mitarbeiter, der die Sicherheit von Mitarbeitern und Kunden gefährdet?

Ich arbeite als Softwareentwickler in einem Team von 4 Personen für eine gemeinnützige Organisation. Die Netzwerksicherheit ist schlecht, aber das obere Management ist sich dessen bewusst, und wir planen, zu einem besseren IT-Dienstleister zu wechseln.

Einer der Mitarbeiter, nennen wir ihn Bill, hat wiederholt Dinge getan, die die Netzwerksicherheit für Mitarbeiter und Kunden umfassen, und spricht offen mit anderen Teammitgliedern darüber. Bevor ich fortfahre, habe ich diese Frage gefunden , aber es geht um ein Datenleck, Bill hat nirgendwo Daten hochgeladen, er greift auf Bereiche des Netzwerks zu, die er nicht sollte.

Beispiel(e):

  • Jeder von uns bekam einen Laptop mit allen erforderlichen Programmen, und wenn wir etwas installieren mussten, mussten wir mit dem Manager sprechen, der die IT benachrichtigen würde, aber Bill brachte seinen eigenen Laptop mit (was laut Unternehmensrichtlinie verboten ist) und wurde erwischt. er hat ihnen gesagt, dass er in seiner Pause Online-Kurse macht (was stimmt), also hat der Manager es gelassen, aber weil ich direkt hinter ihm sitze, sehe ich ihn viele dumme Dinge tun, er hat seinen Laptop mit dem Firmennetzwerk verbunden, und auf Netzlaufwerke der Mitarbeiter zugegriffen.
  • Über eine LiveCD mit Ubuntu schaffte er es, das lokale Admin-Konto (IT hat es für Notfälle erstellt) auf seinem Firmen-Laptop zu aktivieren und Software zu installieren, die er nicht haben sollte.
  • Wir erlauben Studenten und Menschen in der Nachbarschaft, die keinen Zugang zu einem Kopierer/Drucker oder Fax haben, unsere zu benutzen, manchmal kopieren sie Führerscheine oder andere persönliche Dokumente, Bill konnte aus der Ferne auf den Computer der Rezeption zugreifen (der Kopierer/Drucker ist an diesen Computer angeschlossen) und bestimmte Dokumente anzeigen, die kopiert oder per E-Mail gesendet wurden und von denen einige vertraulich bleiben sollten. Wir haben wechselnde Rezeptionisten, die manchmal beschäftigt sind, sodass sie den Druckerverlauf nicht löschen oder die Dateien löschen, die wir einscannen, aber alles wird gelöscht, wenn die Computer für die Nacht heruntergefahren und neu gestartet werden (jede Datei auf der Desktop oder in Ordnern entfernt werden). Dadurch bleibt ein Zeitfenster von wenigen Stunden, das Bill nutzt.

Der Rest des Teams ist sich dessen bewusst, dreht sich aber einfach in die andere Richtung, eines der Mitglieder sagte mir, dass sie hoffen, dass Bill ohne direkte Beteiligung der anderen Teammitglieder entsprechend behandelt wird, sie wollen nicht als Whistleblower abgestempelt werden.

Unser Team steht sich nahe, also wie melde ich ihn, ohne die Beziehung/das Vertrauen, das ich zu meinen anderen Teamkollegen habe, zu beschädigen?

Bearbeiten: Ich habe einen Fehler gemacht, Bill und Bob sind dieselbe Person.

Hast du mit ihm darüber gesprochen?
Sie beziehen sich immer wieder auf Bill und Bob, gibt es zwei Mitarbeiter, die das Netzwerk Ihres Unternehmens kompromittieren?
Interessante Situation, in der Sie sich befinden. Sie sagen, Bill/Bob hat nirgendwo Daten hochgeladen, aber angesichts der anderen Dinge, die er getan hat, könnte es besser sein, zu sagen, dass er nirgendwo Daten hochgeladen hat, von denen Sie wissen . Arbeiten Sie dort länger als BillBob oder sind Sie relativ neu in der Position? Wem würden Sie ihn melden, und glauben Sie, dass Sie dieser Person vertrauen können, dass sie mit dem, was Sie sagen, vertraulich umgeht? (Wenn Ihre Teamkollegen herausfinden, dass Sie einen Ihrer Kollegen gemeldet haben, könnte dies Ihr Vertrauen zu ihnen beschädigen.)
Woher wissen Sie von den Dingen, die Bill getan hat? Hat er es jemandem erzählt oder nicht? Hat er nur damit geprahlt oder behauptet, dass Ihre Netzwerksicherheit schlecht ist, und Teamkollegen genervt, um auf eine bessere Sicherheit zu drängen? Haben Sie Beweise für Ihre Ansprüche gegen Bill?
Gibt es Prüfprotokolle, die objektiv zeigen, was Bill wann getan hat?
Bei einem tatsächlichen Schaden: Melden Sie den Schaden, nicht die Person. Wenn es keinen Schaden gibt: Warum kümmert es dich?
Vielleicht gibt es keinen Schaden.... noch ?

Antworten (4)

Theoretisch ist es, wenn Sie mit Ihrem Vorgesetzten, der IT oder der Personalabteilung oder einem anderen Verantwortlichen in Ihrem Unternehmen über solche Dinge sprechen, deren Pflicht, Ihren Namen gegenüber der Person, über die Sie berichten, nicht zu nennen. Ob sie sich tatsächlich daran halten werden, weiß nur Gott. Es kann also passieren, dass Sie alles nach Vorschrift machen und der Manager Bill trotzdem sagt, dass Sie ihm etwas vorgeworfen haben.

Der beste reguläre Ansatz wäre, sich an Dinge zu halten, die absolut illegal sind und nicht plausibel verteidigt werden können. Zum Beispiel ist es selten kritisch, ein lokales Administratorkonto auf dem Laptop zu haben, den er ohnehin verwendet, und Dinge darauf zu installieren, solange diese Dinge tatsächlich für seine Arbeit benötigt werden, und viele Unternehmen werden das ignorieren. Verdammt, ich mache es manchmal, wenn ich weiß, dass es einen Monat dauern wird, um etwas zu tun, das ich an einem Tag erledigen kann. Aber das ist für Software, die für die Unternehmensprojekte, an denen ich arbeite, tatsächlich benötigt oder nützlich ist.

(Wenn er etwas installiert, das nichts mit der Arbeit zu tun hat, ist das natürlich eine andere Geschichte)

Aber auf der anderen Seite ist das Kopieren von persönlichen Dokumenten, Ausweisdokumenten wie Führerscheinen und so weiter möglicherweise illegal. Das ist etwas, wogegen das Management etwas unternehmen sollte.

Eine nicht standardmäßige Lösung, aber es könnte vielleicht funktionieren, wäre, wenn das Unternehmen Bill anbietet, den neuen IT-Dienstleister zu testen – versuchen Sie, Sachen zu hacken, und erhalten Sie eine finanzielle Belohnung für jeden erfolgreichen Hack, den er dem Unternehmen meldet, das gewinnt ihm Zugriff auf Dateien, die er nicht sehen sollte. Auf diese Weise, naja... "wenn dir das Leben Zitronen gibt, mach Limonade daraus". Benutze ihn für das, wofür er gut ist. Er kann so spielen, wie er will, das Unternehmen bekommt eine bessere Sicherheit (indem es Lücken findet und dann den IT-Anbieter bittet, sie zu patchen), alle sind zufrieden.

+1, das Herumspielen mit Ihrem eigenen Laptop mag gegen die Richtlinien verstoßen, aber es ist nichts, worüber Sie sich ärgern sollten - es ist verrückt, sich die gedruckten / gefaxten / kopierten Dokumente der Leute anzusehen, und es ist ein schwerwiegendes Problem, das gemeldet werden muss Management.

Sie sollten erwägen, sowohl mit Ihrem Kollegen zu sprechen als auch Ihren Vorgesetzten oder den Cyber-Risiko-Manager der Organisation zu benachrichtigen. Das Cyber-Risiko ist ein ernstes Anliegen jeder einigermaßen informierten Organisation.

Sie riskieren Ihre Beziehungen zu Ihren Kollegen, indem Sie die Situation unprofessionell oder unsensibel behandeln, und nicht, indem Sie nur Ihre Bedenken melden. Beachten Sie Folgendes, und Sie können davon ausgehen, dass Sie den Respekt und das Vertrauen Ihrer Kollegen erhalten:

  • Besprechen Sie Ihre Beobachtungen mit niemandem außer mit einem vertrauenswürdigen Vorgesetzten und Ihrem Kollegen , den Sie beim Erstellen von Sicherheitsproblemen beobachtet haben. Dies ist kein Thema, das für Klatsch oder Geplänkel unter Ihren Teamkollegen oder zu Hause verwendet werden sollte.
  • Führen Sie ein offenes, aber freundliches Gespräch mit Ihrem Kollegen über Ihre Bedenken. Stellen Sie sicher, dass sie verstehen, dass Sie sich wirklich um das Wohlergehen der Firma sorgen. Seien Sie offen, wenn Sie einen Vorgesetzten benachrichtigt haben.
  • Geben Sie Ihrem Kollegen den Vorteil des Zweifels. Es ist vernünftig anzunehmen, dass er/sie die Risiken seiner/ihrer Handlungen wirklich nicht versteht. Konzentrieren Sie sich auf Ihre spezifischen Beobachtungen – urteilen Sie nicht über die Person.
  • Nicht pingelig. Identifizieren und melden Sie große Probleme. Es ist in Ordnung, einige Dinge loszulassen (z. B. die Installation von Spotify auf einem Firmen-Laptop gegen die Richtlinie). Überlassen Sie die Überwachung dem IT-Team.
  • Nach der Meldung lass es. Wenn die zuständigen Personen in der Organisation nicht eingreifen, um die Probleme zu beheben, lassen Sie es. Sie haben Ihren Teil getan.
  • Hören Sie auf die Gefühle und das Feedback Ihres Kollegen und des restlichen Teams. Zumindest wird es Ihrem Kollegen peinlich sein. Nicht belehren oder züchtigen. Hören Sie zu, was Ihr Kollege zu sagen hat, entschuldigen Sie sich für verletzte Gefühle und lassen Sie ihn/sie wissen, dass Sie ihn/sie gerne als Kollegen haben und weiter zusammenarbeiten möchten.
Das liest sich für mich wie eine generische Cookie-Cutter-Antwort. Welcher Teil der Frage des OP lässt Sie glauben, dass sein Unternehmen einen Cyber-Risiko-Manager hat? Welcher Teil des Zugriffs auf vertrauliche Dokumente durch den Kollegen ist Ihrer Meinung nach anständig und verdient einen Zweifelsfall?

Seien wir ehrlich, Sie können Bill anonym melden, aber Sie arbeiten für eine kleine Organisation. Ich würde erwarten, dass sich das herumspricht. Ich würde Ihre Bedenken dokumentieren und in die Befehlskette aufnehmen. Bill ist kein Teamplayer.

Wenn Kollegen Sie bitten, zu erklären, warum Sie Bill gemeldet haben, sind Sie nicht verpflichtet, dies zu erklären. Wenn Sie sich für eine einfache Erklärung entscheiden, wie er die Netzwerksicherheit ernsthaft und wiederholt gefährdet, sollte dies ausreichen.

Bill stellt sich über die Organisation. Du solltest ihn nicht beschützen.

Willkommen am Arbeitsplatz! Dies ist eine gute Antwort. Es besteht die implizite Erwartung, dass sich die Mitarbeiter nicht an Verhaltensweisen beteiligen, die den besten Interessen des Unternehmens schaden, und Bill tut genau das. Dem OP vorzuschlagen, sich Bills Einfluss zu entziehen und dem Management Bericht zu erstatten, ist ein ausgezeichneter Ratschlag

Ich arbeite in der Cybersicherheit als Sicherheitsanalyst / Ingenieur. Ich werde damit beginnen, auf einen der Punkte einzugehen, die Jay in seinem Beitrag angesprochen hat -

Gehen Sie zunächst nicht davon aus, dass die Handlungen von Bill böswillig sind .

Aus meiner Erfahrung bei der Untersuchung und Verwaltung von Sicherheitsvorfällen im Sicherheitsbetriebsteam meines Unternehmens ereignen sich die meisten Vorfälle nicht, weil ein Mitarbeiter böswillige Absichten hat, sondern weil den Mitarbeitern nicht die geeigneten Tools zur Verfügung gestellt werden, damit sie ihre Arbeit effizient erledigen können, oder aus Unwissenheit des Mitarbeiters, was das Risiko seiner Handlungen in Bezug auf die Haftung für das Unternehmen ist.

Zum Management zu gehen und davon auszugehen, dass Bill böswillige Absichten hat, wird höchstwahrscheinlich nicht gut enden. Aus Ihrem Beitrag geht hervor, dass Sie einige Kenntnisse über Netzwerksicherheit haben, was großartig ist. Daher ist es ein guter erster Schritt , Ihre Bedenken mit Bill zu besprechen und dem Unternehmen die Risiken seines Handelns zu erläutern . Lassen Sie wissen, dass einige mögliche Folgen seiner Handlungen nicht in seinem besten Interesse sind. Zum Beispiel,

  • Durch das Anschließen seines eigenen Computers an die Netzwerkports des Unternehmens kann bösartige Software auf die IT-Ressourcen des Unternehmens übertragen werden. Wenn die IT-Infrastruktur des Unternehmens ausfällt, kann er möglicherweise seine Arbeit nicht mehr abschließen oder seine Online-Kurse nicht mehr besuchen.

Sie haben nicht darum gebeten, aber ich werde Ihnen einige Best Practices für die Cybersicherheit mitteilen, die im Zuge des weiteren Wachstums Ihres Unternehmens die negativen Auswirkungen von Bills Verhalten abmildern sollten.

Schlagen Sie Ihrem Management vor, Richtlinien und Richtlinien für die akzeptable Nutzung der IT-Ressourcen des Unternehmens festzulegen und zu dokumentieren

Es ist derzeit nicht klar, ob Ihr Unternehmen über dokumentierte Richtlinien verfügt, z. B. zur akzeptablen Nutzung der IT-Ressourcen des Unternehmens oder zur Reaktion auf Sicherheitsvorfälle. Der Vorteil standardisierter Richtlinien besteht darin, dass sich die Mitarbeiter weniger als „Bösewicht“ fühlen und einen Kollegen ärgern, sondern sich einfach an die Unternehmensrichtlinien halten . Mit anderen Worten, alles, was „berichtet“ wird, wird insgesamt weniger persönlich . Man macht einfach seinen Job.

Ein weiterer Vorteil besteht darin, dass die Erwartungen an sicheres Verhalten universell und allen Mitarbeitern bekannt sind. Sicherheit ist kein „Ratespiel“ mehr und die Durchsetzung von Sicherheitsverhalten wird weniger willkürlich. Die Mitarbeiter wissen, was von ihnen erwartet wird, sodass Antworten wie „Ich wusste nicht, was die Richtlinie ist“ weniger glaubwürdig sind. Der Ton der Sicherheit muss im gesamten Unternehmen einheitlich sein, sonst wird Cybersicherheit zu einer bedeutungslosen Phrase.

Schlagen Sie die Implementierung eines Plans zur Reaktion auf Sicherheitsvorfälle und damit einhergehend einen Überwachungsplan für IT-Ressourcen vor

Im Moment scheint es kein endgültiges, dokumentiertes Verfahren zu geben, wie auf Bills beobachtete Handlungen reagiert werden soll. Dies scheint Ihre Unentschlossenheit zu treiben, ob Sie Bill dem Management "melden" sollen oder nicht. Mit anderen Worten, Sie scheinen sich nicht sicher zu sein, welche Auswirkungen die Meldung von Bill haben könnte.

Ich weiß, dass Ihr Team klein ist und es scheint, dass Ihr Unternehmen auch klein ist. Der Vorteil einer dokumentierten Richtlinie zur Reaktion auf Sicherheitsvorfälle besteht jedoch mit zunehmendem Wachstum darin, dass es einen konsistenten, transparenten Satz von Verfahren gibt, wie mit gemeldeten Vorfällen umgegangen wird und was als Sicherheitsvorfall gilt.

Um Hand in Hand mit der Richtlinie zur Reaktion auf Sicherheitsvorfälle zu gehen, schlagen Sie die Implementierung einer Richtlinie zur Ressourcenüberwachung vor. Sie sagten, Bill habe keine Unternehmensdaten durchsickern lassen, aber wie können Sie wirklich sicher sein, dass dies nicht der Fall ist , wenn kein Überwachungsprozess vorhanden ist, beispielsweise durch DLP-Technologie? Bill könnte seine Handlungen ohne objektive Beweise wie Audit-Protokolldaten leicht leugnen. Schlimmer noch, wenn Sie Bill kündigen oder gerichtlich gegen ihn vorgehen müssen, würde die Verteidigung höchstwahrscheinlich fragen, woher Sie wussten, dass Bill die Person war, die die Daten durchsickern ließ. Was werden Sie ohne Beweise tun oder sagen?

Wie melde ich einen Mitarbeiter, der die Sicherheit von Mitarbeitern und Kunden gefährdet?
AntwortenHierDatenschutz-Bestimmungen1y, 0v