Cómo lidiar con empleados senior que subvierten las pruebas de seguridad [cerrado]

Trabajo como contratista de TI para una gran compañía de seguros en el Reino Unido.

De vez en cuando, nuestro equipo de seguridad enviará un correo electrónico falso a nuestra oficina para probar que las personas puedan reconocer y marcar los correos electrónicos de phishing/spam.

El problema es que, en los 8 meses que he trabajado para esta empresa, cada vez que se ha enviado una de estas pruebas de phishing, alguien ha advertido a toda la oficina a los pocos minutos de haberlo enviado. Este suele ser un gerente/líder de equipo de alguna descripción que tiene acceso a las listas de correo del departamento.

Para mí, esto es irresponsable y, en realidad, es un problema de seguridad bastante grande. Mi razonamiento es que la seguridad envió esta prueba esperando recibir datos precisos, que está siendo sesgado por alguien que advierte a toda la oficina que no caiga en la trampa. Además de esto, los empleados que podrían haber caído en la trampa no están aprendiendo nada. Es fácil sentarse y pensar "¡Oh, sí, me habría dado cuenta de que la dirección de correo electrónico es ligeramente diferente, no hay problema!", Cuando en la práctica, muchas personas definitivamente caerían en el ataque de phishing, al menos lo suficiente como para abrir el correo electrónico. Incluso recibimos un correo electrónico elogiando nuestro bajo porcentaje de fallas, diciendo que fue inesperadamente bajo .

Decidí interrogar a la última persona para advertirles a todos sobre esto y expuse mis razones como se indicó anteriormente. Esta persona ocupa una posición significativamente alta en el negocio, tal vez al nivel de un gerente de área/departamento. La respuesta que dieron fue "Soy todo acerca de la educación, anon ", luego procedieron a explicar cómo esto era como entrenar a un perro, y tenía que haber medidas tanto positivas como negativas.

Para mí está claro que esta persona no es consciente del daño que podría estar causando, se niega a considerarlo o es tan arrogante que cree que sabe más que todo un departamento de seguridad. O simplemente podrían estar interesados ​​en tener una alta tasa de aprobación para su departamento.

Solo soy un empleado común y corriente, y como contratista mi voz tiene incluso menos peso contra alguien con este nivel de antigüedad, y me preocupa que esto se refleje mal en mí si discuto más con esta persona.

Mi pregunta es:

  • ¿Es este un problema tan grande como lo estoy haciendo?
  • ¿Vale la pena informar de la situación a seguridad? ¿Tanto la actitud de este gerente hacia la seguridad como el problema más amplio en general?
No creo que esto esté fuera de tema aquí, pero es posible que obtenga una mejor respuesta en Seguridad de la información . Pueden abordar si las acciones del administrador invalidan o no su prueba de seguridad.
Sí, es un gran problema, pero no es su problema.
De acuerdo con @Paparazzi, no es tu problema.
somebody has warned the entire officeChico, estaría cabreado si fuera tú. Será mejor que alguien pueda explicar por qué desperdician el dinero de la empresa 1) haciéndote perder el tiempo 2) creando una gran responsabilidad
to test that people can recognize and flag phishing/spam emails- ¿Cuál es el comportamiento esperado si reciben un correo de phishing real ? ¿ No warn the entiere office deberían ? ¿Deberían, en cambio, solo marcarlo para TI sin decírselo a nadie más? Esto parece introducir demoras innecesarias y aumentar el riesgo de que alguien responda al correo de phishing. Me parece que su proceso es defectuoso y desea castigar a las personas que realmente se comportan correctamente; si un correo electrónico me parece sospechoso, advertiré a todos mis colegas lo más rápido posible para evitar daños.
@GeorgPatscheider El problema era que la seguridad estaba recuperando las estadísticas y afirmando que teníamos una tasa de éxito de phishing extremadamente baja. En ese momento, esto no era exacto, ya que los correos electrónicos de phishing de la vida real no se envían a toda la empresa. Desafortunadamente, nunca obtuve ninguna orientación de seguridad cuando planteé esto con ellos, y desde entonces me fui.

Respuestas (2)

DOCUMENTAR TODO

Tienes razón en tu evaluación de tu ser sin poder e influencia. Por lo tanto, todo lo que puede hacer, y todo lo que debe hacer, es documentar las vulnerabilidades e informar a su supervisor inmediato de lo que ha encontrado. Luego, déjelo mientras continúa manteniendo sus registros para que, si ocurre una violación de seguridad, no se le culpe.

Si fuera un empleado permanente a tiempo completo, le diría que empuje esto un poco más, pero como contratista, lo único que logrará es cancelar su contrato.

DOCUMENTAR, ESCALAR, RETIRAR

Creo que tu reacción es inapropiada. Las personas mayores que advierten a las personas menores son parte de la respuesta de su organización a los correos electrónicos de phishing. En el escenario más común del mundo real, un ataque específico golpea a todos los que alcanzará en una organización dentro de un período de tiempo bastante corto; ¿No quieres que los empleados más inteligentes adviertan a los demás entonces?

Si desea hacer una prueba solo con las personas con menos conocimientos de TI, desarrolle algún tipo de criterio de exclusión y excluya a los "reporteros" de su correo. Pero, francamente, no veo el valor.

esta respuesta El error de OPS es enviar la prueba de phishing a todos a la vez. No es realista. Envíalo a algunas personas, luego a algunas más un poco más tarde.
Cómo lidiar con empleados senior que subvierten las pruebas de seguridad [cerrado]
RespuestasAquíPolítica de privacidad1y, 0v