Ich arbeite als Softwareentwickler in einem Team von 4 Personen für eine gemeinnützige Organisation. Die Netzwerksicherheit ist schlecht, aber das obere Management ist sich dessen bewusst, und wir planen, zu einem besseren IT-Dienstleister zu wechseln.
Einer der Mitarbeiter, nennen wir ihn Bill, hat wiederholt Dinge getan, die die Netzwerksicherheit für Mitarbeiter und Kunden umfassen, und spricht offen mit anderen Teammitgliedern darüber. Bevor ich fortfahre, habe ich diese Frage gefunden , aber es geht um ein Datenleck, Bill hat nirgendwo Daten hochgeladen, er greift auf Bereiche des Netzwerks zu, die er nicht sollte.
Beispiel(e):
Der Rest des Teams ist sich dessen bewusst, dreht sich aber einfach in die andere Richtung, eines der Mitglieder sagte mir, dass sie hoffen, dass Bill ohne direkte Beteiligung der anderen Teammitglieder entsprechend behandelt wird, sie wollen nicht als Whistleblower abgestempelt werden.
Unser Team steht sich nahe, also wie melde ich ihn, ohne die Beziehung/das Vertrauen, das ich zu meinen anderen Teamkollegen habe, zu beschädigen?
Bearbeiten: Ich habe einen Fehler gemacht, Bill und Bob sind dieselbe Person.
Theoretisch ist es, wenn Sie mit Ihrem Vorgesetzten, der IT oder der Personalabteilung oder einem anderen Verantwortlichen in Ihrem Unternehmen über solche Dinge sprechen, deren Pflicht, Ihren Namen gegenüber der Person, über die Sie berichten, nicht zu nennen. Ob sie sich tatsächlich daran halten werden, weiß nur Gott. Es kann also passieren, dass Sie alles nach Vorschrift machen und der Manager Bill trotzdem sagt, dass Sie ihm etwas vorgeworfen haben.
Der beste reguläre Ansatz wäre, sich an Dinge zu halten, die absolut illegal sind und nicht plausibel verteidigt werden können. Zum Beispiel ist es selten kritisch, ein lokales Administratorkonto auf dem Laptop zu haben, den er ohnehin verwendet, und Dinge darauf zu installieren, solange diese Dinge tatsächlich für seine Arbeit benötigt werden, und viele Unternehmen werden das ignorieren. Verdammt, ich mache es manchmal, wenn ich weiß, dass es einen Monat dauern wird, um etwas zu tun, das ich an einem Tag erledigen kann. Aber das ist für Software, die für die Unternehmensprojekte, an denen ich arbeite, tatsächlich benötigt oder nützlich ist.
(Wenn er etwas installiert, das nichts mit der Arbeit zu tun hat, ist das natürlich eine andere Geschichte)
Aber auf der anderen Seite ist das Kopieren von persönlichen Dokumenten, Ausweisdokumenten wie Führerscheinen und so weiter möglicherweise illegal. Das ist etwas, wogegen das Management etwas unternehmen sollte.
Eine nicht standardmäßige Lösung, aber es könnte vielleicht funktionieren, wäre, wenn das Unternehmen Bill anbietet, den neuen IT-Dienstleister zu testen – versuchen Sie, Sachen zu hacken, und erhalten Sie eine finanzielle Belohnung für jeden erfolgreichen Hack, den er dem Unternehmen meldet, das gewinnt ihm Zugriff auf Dateien, die er nicht sehen sollte. Auf diese Weise, naja... "wenn dir das Leben Zitronen gibt, mach Limonade daraus". Benutze ihn für das, wofür er gut ist. Er kann so spielen, wie er will, das Unternehmen bekommt eine bessere Sicherheit (indem es Lücken findet und dann den IT-Anbieter bittet, sie zu patchen), alle sind zufrieden.
Sie sollten erwägen, sowohl mit Ihrem Kollegen zu sprechen als auch Ihren Vorgesetzten oder den Cyber-Risiko-Manager der Organisation zu benachrichtigen. Das Cyber-Risiko ist ein ernstes Anliegen jeder einigermaßen informierten Organisation.
Sie riskieren Ihre Beziehungen zu Ihren Kollegen, indem Sie die Situation unprofessionell oder unsensibel behandeln, und nicht, indem Sie nur Ihre Bedenken melden. Beachten Sie Folgendes, und Sie können davon ausgehen, dass Sie den Respekt und das Vertrauen Ihrer Kollegen erhalten:
Seien wir ehrlich, Sie können Bill anonym melden, aber Sie arbeiten für eine kleine Organisation. Ich würde erwarten, dass sich das herumspricht. Ich würde Ihre Bedenken dokumentieren und in die Befehlskette aufnehmen. Bill ist kein Teamplayer.
Wenn Kollegen Sie bitten, zu erklären, warum Sie Bill gemeldet haben, sind Sie nicht verpflichtet, dies zu erklären. Wenn Sie sich für eine einfache Erklärung entscheiden, wie er die Netzwerksicherheit ernsthaft und wiederholt gefährdet, sollte dies ausreichen.
Bill stellt sich über die Organisation. Du solltest ihn nicht beschützen.
Ich arbeite in der Cybersicherheit als Sicherheitsanalyst / Ingenieur. Ich werde damit beginnen, auf einen der Punkte einzugehen, die Jay in seinem Beitrag angesprochen hat -
Gehen Sie zunächst nicht davon aus, dass die Handlungen von Bill böswillig sind .
Aus meiner Erfahrung bei der Untersuchung und Verwaltung von Sicherheitsvorfällen im Sicherheitsbetriebsteam meines Unternehmens ereignen sich die meisten Vorfälle nicht, weil ein Mitarbeiter böswillige Absichten hat, sondern weil den Mitarbeitern nicht die geeigneten Tools zur Verfügung gestellt werden, damit sie ihre Arbeit effizient erledigen können, oder aus Unwissenheit des Mitarbeiters, was das Risiko seiner Handlungen in Bezug auf die Haftung für das Unternehmen ist.
Zum Management zu gehen und davon auszugehen, dass Bill böswillige Absichten hat, wird höchstwahrscheinlich nicht gut enden. Aus Ihrem Beitrag geht hervor, dass Sie einige Kenntnisse über Netzwerksicherheit haben, was großartig ist. Daher ist es ein guter erster Schritt , Ihre Bedenken mit Bill zu besprechen und dem Unternehmen die Risiken seines Handelns zu erläutern . Lassen Sie wissen, dass einige mögliche Folgen seiner Handlungen nicht in seinem besten Interesse sind. Zum Beispiel,
Sie haben nicht darum gebeten, aber ich werde Ihnen einige Best Practices für die Cybersicherheit mitteilen, die im Zuge des weiteren Wachstums Ihres Unternehmens die negativen Auswirkungen von Bills Verhalten abmildern sollten.
Schlagen Sie Ihrem Management vor, Richtlinien und Richtlinien für die akzeptable Nutzung der IT-Ressourcen des Unternehmens festzulegen und zu dokumentieren
Es ist derzeit nicht klar, ob Ihr Unternehmen über dokumentierte Richtlinien verfügt, z. B. zur akzeptablen Nutzung der IT-Ressourcen des Unternehmens oder zur Reaktion auf Sicherheitsvorfälle. Der Vorteil standardisierter Richtlinien besteht darin, dass sich die Mitarbeiter weniger als „Bösewicht“ fühlen und einen Kollegen ärgern, sondern sich einfach an die Unternehmensrichtlinien halten . Mit anderen Worten, alles, was „berichtet“ wird, wird insgesamt weniger persönlich . Man macht einfach seinen Job.
Ein weiterer Vorteil besteht darin, dass die Erwartungen an sicheres Verhalten universell und allen Mitarbeitern bekannt sind. Sicherheit ist kein „Ratespiel“ mehr und die Durchsetzung von Sicherheitsverhalten wird weniger willkürlich. Die Mitarbeiter wissen, was von ihnen erwartet wird, sodass Antworten wie „Ich wusste nicht, was die Richtlinie ist“ weniger glaubwürdig sind. Der Ton der Sicherheit muss im gesamten Unternehmen einheitlich sein, sonst wird Cybersicherheit zu einer bedeutungslosen Phrase.
Schlagen Sie die Implementierung eines Plans zur Reaktion auf Sicherheitsvorfälle und damit einhergehend einen Überwachungsplan für IT-Ressourcen vor
Im Moment scheint es kein endgültiges, dokumentiertes Verfahren zu geben, wie auf Bills beobachtete Handlungen reagiert werden soll. Dies scheint Ihre Unentschlossenheit zu treiben, ob Sie Bill dem Management "melden" sollen oder nicht. Mit anderen Worten, Sie scheinen sich nicht sicher zu sein, welche Auswirkungen die Meldung von Bill haben könnte.
Ich weiß, dass Ihr Team klein ist und es scheint, dass Ihr Unternehmen auch klein ist. Der Vorteil einer dokumentierten Richtlinie zur Reaktion auf Sicherheitsvorfälle besteht jedoch mit zunehmendem Wachstum darin, dass es einen konsistenten, transparenten Satz von Verfahren gibt, wie mit gemeldeten Vorfällen umgegangen wird und was als Sicherheitsvorfall gilt.
Um Hand in Hand mit der Richtlinie zur Reaktion auf Sicherheitsvorfälle zu gehen, schlagen Sie die Implementierung einer Richtlinie zur Ressourcenüberwachung vor. Sie sagten, Bill habe keine Unternehmensdaten durchsickern lassen, aber wie können Sie wirklich sicher sein, dass dies nicht der Fall ist , wenn kein Überwachungsprozess vorhanden ist, beispielsweise durch DLP-Technologie? Bill könnte seine Handlungen ohne objektive Beweise wie Audit-Protokolldaten leicht leugnen. Schlimmer noch, wenn Sie Bill kündigen oder gerichtlich gegen ihn vorgehen müssen, würde die Verteidigung höchstwahrscheinlich fragen, woher Sie wussten, dass Bill die Person war, die die Daten durchsickern ließ. Was werden Sie ohne Beweise tun oder sagen?
M3RS
sf02
Aaron F
AlexanderM
Antonius
Hilmar
Mawg sagt, Monica wieder einzusetzen