Trabajo como desarrollador de software en un equipo de 4 personas para una organización comunitaria. La seguridad de la red es deficiente, pero la alta gerencia lo sabe y estamos planeando cambiar a un mejor proveedor de servicios de TI.
Uno de los empleados, llamémoslo Bill, ha hecho repetidamente cosas relacionadas con la seguridad de la red para empleados y clientes y habla abiertamente al respecto con otros miembros del equipo. Antes de continuar, encontré esta pregunta , pero se trata de una fuga de datos, Bill no ha subido ningún dato a ningún lado, está accediendo a áreas de la red que no debería.
Ejemplo(s):
El resto del equipo es consciente, pero simplemente se vuelve hacia el otro lado, uno de los miembros me dijo que esperan que Bill sea tratado en consecuencia sin la participación directa de los otros miembros del equipo, no quieren ser etiquetados como denunciantes.
Nuestro equipo es cercano, entonces, ¿cómo lo denuncio sin dañar la relación/confianza que tengo con mis otros compañeros de equipo?
Editar: cometí un error, Bill y Bob son la misma persona.
En teoría, cuando habla de estas cosas con su gerente, TI o RR. HH. o cualquier persona responsable en su empresa, es su obligación no mencionar su nombre a la persona sobre la que está informando. Si realmente se apegarán a eso... solo Dios lo sabe. Entonces, podría suceder que hagas todo según las reglas y que el gerente aún le diga a Bill que lo acusaste de algo.
El mejor enfoque regular sería ceñirse a las cosas que son totalmente ilegales y que no se pueden defender de manera plausible. Por ejemplo, tener una cuenta de administrador local en la computadora portátil que usa de todos modos e instalar cosas en ella, siempre que esas cosas sean realmente necesarias para su trabajo, rara vez es crítico, y muchas empresas lo ignorarán. Diablos, lo hago a veces, cuando sé que tomará un mes hacer algo que puedo hacer en un día. Pero eso es para el software que realmente se necesita o es útil para los proyectos de la empresa en los que trabajo.
(Por supuesto, si instala algo que no está relacionado con el trabajo, esa es una historia diferente)
Pero por otro lado, copiar los documentos personales de las personas, cosas de identificación como licencias de conducir y demás... es muy posiblemente ilegal. Eso es algo sobre lo que la gerencia debería hacer algo.
Una solución no estándar, pero que tal vez podría funcionar, sería que la empresa le ofreciera a Bill probar el nuevo proveedor de servicios de TI: intente piratear cosas y obtenga una recompensa monetaria por cada pirateo exitoso que informa a la empresa, que gana él acceso a archivos que no debería poder ver. De esa manera, pues... "si la vida te da limones, haz limonada". Úsalo para lo que es bueno. Puede jugar como quiere, la empresa mejora la seguridad (encontrando agujeros y luego pidiéndole al proveedor de TI que los repare), todos están contentos.
Debe considerar hablar con su colega y alertar a su gerente o al gerente de riesgos cibernéticos de la organización. El riesgo cibernético es una preocupación seria para cualquier organización razonablemente informada.
Arriesgará sus relaciones con sus colegas si maneja la situación de manera poco profesional o poco delicada, no si solo informa su inquietud. Tenga en cuenta lo siguiente y puede esperar mantener el respeto y la confianza de sus colegas:
Seamos honestos, puedes denunciar a Bill de forma anónima, pero trabajas para una organización pequeña. Esperaría que se corriera la voz. Yo documentaría sus preocupaciones y las llevaría a la cadena de mando. Bill no es un jugador de equipo.
Si sus compañeros de trabajo le piden que explique por qué denunció a Bill, no tiene obligación de hacerlo. Si elige explicar una respuesta simple como él, la seguridad de la red en peligro de forma seria y repetida debería ser suficiente.
Bill se está poniendo por encima de la organización. No debes protegerlo.
Trabajo en ciberseguridad como analista/ingeniero de seguridad. Comenzaré ampliando uno de los puntos que Jay mencionó en su publicación:
Primero, no asuma que las acciones de Bill son maliciosas .
Según mi experiencia en la investigación y gestión de incidentes de seguridad en el equipo de operaciones de seguridad de mi empresa, la mayoría de los incidentes no ocurren porque un empleado tenga intenciones maliciosas, sino porque no se les brindan las herramientas adecuadas para que hagan su trabajo de manera eficiente o por desconocimiento. del trabajador en cuanto a cuál es el riesgo de sus acciones en términos de responsabilidad para la empresa.
Ir a la gerencia y asumir que Bill tiene intenciones maliciosas probablemente no terminará bien. Según su publicación, parece tener algún conocimiento de la seguridad de la red, lo cual es excelente. Por lo tanto, discutir sus inquietudes con Bill y explicar los riesgos de sus acciones a la empresa es un buen primer paso. Que se sepa que algunas consecuencias potenciales de sus acciones no son lo mejor para él. Por ejemplo,
Usted no pidió esto, pero compartiré con usted algunas de las mejores prácticas de ciberseguridad que, a medida que su empresa siga creciendo, deberían mitigar el efecto negativo del comportamiento de Bill.
Sugiera a su gerencia que se establezcan y documenten políticas y pautas en cuanto al uso aceptable de los recursos de TI de la empresa.
Actualmente no está claro si su empresa tiene políticas documentadas, como el uso aceptable de los recursos de TI de la empresa o la respuesta a incidentes de seguridad. El beneficio de tener políticas estandarizadas es que los empleados se sienten menos como el "chico malo" y molestando a un colega, sino simplemente adhiriéndose a la política de la empresa . En otras palabras, todo lo que se "informa" se convierte en un todo menos personal . Uno simplemente está haciendo su trabajo.
Otro beneficio es que las expectativas de comportamiento seguro se hacen universales y conocidas por todos los empleados. La seguridad ya no es un "juego de adivinanzas" y la aplicación de un comportamiento seguro se vuelve menos arbitraria. Los empleados saben lo que se espera de ellos, por lo que las respuestas como "No sabía cuál es la política" se vuelven menos creíbles. El tono de la seguridad debe ser universal en toda la empresa, o la ciberseguridad se convierte en una frase sin sentido.
Sugiera la implementación de un plan de respuesta a incidentes de seguridad y, de la mano, un plan de monitoreo de recursos de TI.
En este momento, parece que no hay un procedimiento definitivo y documentado sobre cómo responder a las acciones observadas de Bill. Esto parece estar impulsando su indecisión sobre si "informar" o no a Bill a la gerencia. En otras palabras, no parece estar seguro de cuáles pueden ser los efectos de denunciar a Bill.
Sé que su equipo es pequeño y parece que su empresa también lo es. Sin embargo, a medida que crece, el beneficio de tener una política de respuesta a incidentes de seguridad documentada es que existe un conjunto de procedimientos coherentes y transparentes sobre cómo se manejan los incidentes informados y qué se considera un incidente de seguridad.
Para ir de la mano con la política de respuesta a incidentes de seguridad, sugiera la implementación de una política de monitoreo de recursos. Usted dijo que Bill no filtró ningún dato de la empresa, pero ¿ cómo puede estar realmente seguro de que no lo hizo sin un proceso de monitoreo implementado, como a través de la tecnología DLP? Bill podría negar fácilmente sus acciones sin evidencia objetiva como los datos del registro de auditoría. Peor aún, si necesita despedir a Bill o emprender acciones legales contra él en los tribunales, la defensa seguramente cuestionará cómo sabía que Bill era la persona que filtró los datos. Sin pruebas, ¿qué vas a hacer o decir?
M3RS
sf02
Aarón F.
alejandro m
Antonio
Hilmar
Mawg dice que reincorpore a Monica