Trabajo como desarrollador sénior en una pequeña o mediana empresa con varias oficinas en el Reino Unido. Rara vez el personal se desplaza entre las diferentes oficinas. Nuestra oficina tiene un área de recepción de acceso público, pero los distintos departamentos están asegurados con puertas cerradas con llave. Los empleados junior solo reciben códigos para los departamentos a los que se espera que accedan regularmente. No usamos pases ni tarjetas de identificación.
En este momento, solo había un nuevo comienzo, "James", y yo trabajaba en el departamento de TI. El resto se había ido a casa por el día. Me llamaron para ayudar en una tarea que sabía que solo tomaría unos minutos, así que confiaba en que James podría quedarse sin supervisión por tan poco tiempo. Sin embargo, durante este tiempo, alguien intentó acceder a la sala de TI. Intentaron ingresar un código para la puerta, era incorrecto, y luego intentaron forzar la puerta para que se abriera antes de tocar. James abrió la puerta pero no dejó entrar al visitante. El visitante dijo que me estaba buscando. James explicó que regresaría pronto, pero el visitante simplemente respondió: "Entonces lo esperaré aquí". Luego trató de pasar a James a la habitación, pero James todavía no lo dejó entrar. Según James, volvió a preguntar quién era, pero el visitante solo repitió "Estaré esperando a Kozaky". Sin embargo, James se mantuvo firme y el visitante se fue de mal humor. Cuando regresé, James explicó la situación y describió al visitante. De hecho, lo conocí como un gerente de otra oficina que es técnicamente superior a nosotros, pero no alguien a quien le reportaríamos directamente. La visita tampoco fue planeada.
Mi gerente actualmente fuera de la oficina me envió un correo electrónico con un mensaje como "¿James realmente no dejó que ese tipo ingresara al departamento de TI? ¿Realmente no sabía quién era?" Le expliqué que todo era cierto, pero que el visitante ni siquiera dio su nombre. También mencioné que estuve fuera de la habitación brevemente, que si no lo hubiera reconocido, probablemente habría hecho lo mismo, y que si James es disciplinado por esto, debería asumir parte de la culpa por dejarlo solo. Supongo que hay menos de 20 personas en roles superiores a los míos, pero incluso yo no los he conocido a todos y probablemente no los reconozca.
Mis preguntas son:
Me parece que James hizo lo correcto: le negó a alguien que no conocía la entrada a un área segura cuando no conocían el código de la puerta y no se identificaron. Todo lo cual es totalmente razonable y la mejor práctica dadas las circunstancias.
En cuanto a si debería haber reconocido a la persona, no es descabellado que alguien que es relativamente nuevo en la organización no reconozca a alguien de una oficina completamente diferente. Especialmente cuando esa persona no está en su línea directa de informes. Disciplinarlo por esto sería ridículo en mi libro.
No importa quién sea, incluso si lo reconozco. Si no conoce el código de la puerta, entonces no pertenece al interior. Si se supone que debe conocer el código de la puerta, debe seguir los procedimientos adecuados para obtenerlo.
¿Se debe disciplinar a un empleado por no reconocer a los que están más arriba en la cadena de mando?
No, no deberían, James hizo lo correcto y su gerente lo apoyará ahora que conoce los hechos. Pero la vida no siempre es justa. Sin embargo, esto es bastante sencillo e incluso el gerente descontento lo sabe.
James hizo lo correcto. De hecho, James demostró ser resistente a un truco de ingeniería social a menudo denominado " simulacro de incendio bávaro ".
En todo caso, se debe elogiar a James, ya que ha demostrado que se adherirá a la política y no se dejará intimidar por alguien que use trucos de ingeniería social.
Algo similar le sucedió a un amigo mío cuando estaba en el ejército. Se le ordenó proteger un área. Un oficial de algún rango decidió intentar intimidar para entrar y casi recibe un disparo. Le dieron una reprimenda oficial, pero extraoficialmente lo felicitaron y le dijeron "buen trabajo". Su historial permaneció intacto.
Solo voy a responder las preguntas como se indica aquí, ya que el aspecto del proceso de seguridad de la pregunta aquí se entiende claramente y se ha manejado de manera adecuada.
¿Se debe disciplinar a un empleado por no reconocer a los que están más arriba en la cadena de mando?
no _ Si no se identifican o no llevan credenciales de seguridad (tarjeta de presentación, número de código clave, pase de seguridad), entonces las medidas de seguridad existentes triunfan sobre todo.
¿Se debe alentar a los empleados a saber quién está por encima de ellos, incluso si nunca les reportarán directamente?
si _ Tiene sentido que los empleados conozcan la jerarquía gerencial de la empresa, especialmente en la cadena de mando inmediata por encima de ellos. Saber sus nombres es bastante importante para saber cómo tratar con ellos si llegan a tratar con usted.
Sin embargo, lo ideal sería que James ni siquiera hubiera abierto la puerta, así que si hay algo que aprender de esto de su parte es eso. Diría que hay lecciones que todos deben aprender, pero disciplinar a este empleado no solo no es correcto, sino que crea una responsabilidad para la empresa.
La lección para la alta gerencia es que debe haber una política al respecto y debe acordarse en todas las áreas y entenderse, cómo debería haber sido manejado por James. Sin dicha política, y que al estar en el manual del empleado o entre una pila de políticas, todos los empleados deben leer, comprender y firmar, entonces se espera que el empleado maneje las situaciones de acuerdo con lo que generalmente se acepta en la industria, y eso es lo que hizo.
Incluso si no es formalmente disciplinado, parece que la cultura en esta empresa realmente no es buena. Incluso si se contempla disciplinar a un nuevo empleado por esto, y/u otros altos directivos piensan que su ego debería prevalecer sobre las mejores prácticas de seguridad de TI.
La compañía pagó dinero para poner un candado codificado en esa puerta, así que en algún lugar alguien hizo el caso comercial de que lo que hay en esa habitación debe protegerse y solo pueden acceder las personas autorizadas y con una necesidad. Estoy seguro de que el argumento que está haciendo el gerente senior es "¡pero estoy autorizado y no soy un mal tipo!" Entonces, ¿por qué gastar el dinero en la seguridad de esa puerta? Si se espera que todos los empleados sepan personalmente qué otros empleados, en ese momento, son empleados activos y tienen una necesidad comercial para esa habitación, ¿por qué se gastó el dinero?
Trabajé para una empresa que es una empresa global de Fortune 50 y su propiedad intelectual es lo que paga los trabajos y las vidas de más de 100 000 personas. En esa empresa, no existe ninguna circunstancia en la que se permita el uso del reconocimiento personal. No importa quién, necesitan las credenciales y la tarjeta de identificación física.
Si su empresa tiene propiedad intelectual cuya divulgación no autorizada podría causar graves consecuencias, entonces los que deben disciplinar aquí son todos los ejecutivos con la responsabilidad de proteger esa propiedad intelectual. Deben ser disciplinados por no crear una cultura que ponga la protección de la PI como la primera responsabilidad de todos por encima de todos los demás, incluidos los egos de los altos directivos.
Yo personalmente estaría buscando un nuevo trabajo si estuviera en su lugar. Lo siento.
Editado para agregar: otra razón comercial por la que hay un candado codificado en esa puerta es que tal vez exista un requisito legal o regulatorio para tener un registro de auditoría de todos los que acceden a esa habitación. Si ese es el caso, entonces su empresa está contemplando disciplinar a un empleado por no infringir la ley.
No deberían serlo. El empleado "James" (suponiendo que su descripción de los eventos sea precisa) hizo exactamente lo que debería haber hecho.
Por supuesto, es posible que James haya sido más grosero o más abrupto en el momento de lo que fue más tarde al describírtelo. En ese caso, entonces posiblemente estaba fuera de lugar.
es decir, la diferencia entre "lo siento, no puedo dejarte entrar sin un pase o código" y "pierdete tonto" es bastante grande.
Habiendo dicho eso, incluso si James tiene toda la razón, algunas personas son mezquinas y vengativas. Es muy posible que este gerente decida tomar las cosas como algo personal y atacar a James por ello. Valdría la pena registrar el incidente en detalle ahora. Anota la hora, el lugar y lo que sucedió. Si hay circuito cerrado de televisión, incluso podría grabar eso.
Ahora, si el gerente comienza a hacerle la vida difícil a James, tendrá municiones para llevar a Recursos Humanos y / o usar para acciones legales en caso de que sea necesario.
Una escalada como esa no es probable, pero algunas personas son lo suficientemente mezquinas y vengativas como para hacerlo, por lo que vale la pena tener algo de cobertura.
Mi gerente actualmente fuera de la oficina me envió un correo electrónico con un mensaje como "¿James realmente no dejó que ese tipo ingresara al departamento de TI? ¿Realmente no sabía quién era?"
Lo siento, jefe, pero incluso el sistema de seguridad de un millón de dólares que nuestra empresa había instalado no reconoció al tipo, ¿cómo podría haberlo hecho James? Ese tipo no se identificó correctamente ante ninguno de ellos. James parece haber seguido el libro.
James hizo lo correcto, pero puede que lo haya hecho o no de la manera correcta. La política de su empresa puede o no ser lo suficientemente buena y/o lo suficientemente clara, y él puede o no conocer la política. Esta es una oportunidad para revisar (con su jefe) y mejorar los procesos de la empresa y/o cómo se comunican a los nuevos empleados. Como beneficio, cuanto más lo haga, menos probable es que James pueda ser considerado responsable de hacer algo mal, y más probable es que se descubra que el visitante ha hecho algo que va en contra de la política actual o de esa política. necesita cambiar para prohibir. En cuanto a James, los principales temas de preocupación parecen ser:
El visitante parece haber pensado que su rostro debería funcionar como un pase de seguridad, es decir, todos los empleados (incluso los nuevos) deberían reconocerlo y dejarlo entrar. Si esa es la política de la empresa, entonces es lo suficientemente inusual (e imprudente en mi opinión). ) que necesita ser comunicado correctamente, lo que no ha sucedido aquí ya que incluso usted no lo sabe. Si no es política de la empresa, lo ideal es que se les comunique a los gerentes que su rostro no es un pase de acceso a todas las áreas y que no deben ponerse de mal humor cuando los empleados no lo tratan como tal.
¿Se debe disciplinar a un empleado por no reconocer a los que están más arriba en la cadena de mando?
No a menos que su jefe (usted) les haya dicho que esto es importante. Incluso si la empresa preferiría que reconociera a los gerentes, sería bastante desproporcionado convertirlo en un asunto disciplinario en la primera ofensa, al principio de su empleo, si nunca se le ha dicho que es importante.
¿Se debe alentar a los empleados a saber quién está por encima de ellos, incluso si nunca les reportarán directamente?
Si no tienen ningún trabajo útil que hacer, entonces supongo que sí. Reconocer su propia cadena de mando, incluso hasta el nivel C, probablemente sea útil y una buena idea como una cuestión de cortesía hacia su posición. Una PYME del Reino Unido (hasta 250 empleados) en la que tiene demasiadas personas en su cadena de mando para reconocerlas a todas, ¡necesita ordenar su organigrama con un cortador de malezas! Por el contrario, reconocer a todos los miembros de la organización que te superan en rango a menudo no es práctico, aunque no hace daño siempre que no pierdas mucho tiempo en ello.
De hecho, ¿cómo debería haber actuado James de manera diferente si hubiera reconocido al tipo? Una cosa es reconocerlo, y otra cosa es dejarlo entrar en un área para la que aparentemente (debido a que no conoce el código de una puerta) no está autorizado. Dado que cada oficina tiene su propio código, parece natural suponer que aquellos que no conocen el código no deberían estar allí, incluso si los reconoce.
Con respecto a ese y otros asuntos de seguridad, usted sabe más que nosotros sobre los detalles del evento y las políticas generales de su oficina, pero hay varias cosas secundarias que podrían haber ido de otra manera.
Lilienthal
Hombre enmascarado
AfableAmbler
Dan Henderson
usuario71715
WGroleau
Joel Etherton