Publicando desde una cuenta real ahora
Trabajo en el equipo de seguridad de TI de mi empleador como analista/ingeniero sénior. Una parte de mis deberes laborales es la presentación de informes de rendimiento a la alta gerencia sobre ciertas métricas de seguridad cibernética. Según entiendo y me dijeron los gerentes que reportan directamente al CISO, estos deben usarse principalmente para la mejora de procesos operativos internos, no para señalar con el dedo a nadie o llamar a las personas por las debilidades en su función.
Hoy, recibí una solicitud de la alta gerencia de personas que han demostrado debilidades en los informes de phishing y el reconocimiento de correos electrónicos maliciosos. Entiendo que el hecho de que la gerencia tenga estos nombres ayudará a evaluar cuál es nuestra exposición al riesgo de ingeniería social, pero creo que es innecesario y erosiona la confianza con otros empleados. La gente puede pensar que esto es una puñalada en la espalda y la solicitud no me parece razonable.
Desde mi experiencia laboral previa en ciberseguridad, generar confianza con los usuarios finales es fundamental para lograr los objetivos comerciales. Soy un miembro sénior respetado del equipo y tengo un margen de maniobra considerable para tomar decisiones.
Edite para incorporar respuestas a los comentarios:
@ThursdaysGeek , hacemos "capacitación adicional" para los usuarios que constantemente tienen problemas a través del seguimiento en persona ahora. O yo o un colega trabajaríamos directamente con el usuario final. Para las ballenas de alto valor (es decir, ejecutivos y altos directivos), el administrador de SecOps se comunica con ellos.
@JcMack : todos los empleados deben completar la capacitación anual en seguridad. Si no se completa, antes de fin de año, se elimina el acceso a los recursos de TI de la empresa para las personas que no cumplen. Los clickers en el pasado han mostrado ciertas tendencias y los tipos de empleados que tienen estos problemas son bastante esperados.
Si hay compañeros practicantes de seguridad aquí, me encantaría saber qué hiciste si te enfrentaste a una circunstancia similar antes. Específicamente:
Si se implementara una capacitación dirigida, ¿cómo aprendería qué hazañas de ingeniería social existen ahora?
¿Cómo funcionarían tales ejercicios dirigidos? Ya contamos con la participación de la alta dirección (CISO)
¿Es razonable mi creencia de que los datos solicitados son innecesarios?
¿Cómo puedo equilibrar el cumplimiento de mi deber en mi función, para proteger los activos de la empresa, con el apoyo a mis compañeros en esta situación?
Si ofrecer datos de gestión anónimos es adecuado, ¿cuál es la mejor forma de realizar esta solicitud de forma profesional?
Generar confianza es importante. También lo es salvaguardar su empresa.
Si empleados específicos fallan repetidamente en las pruebas de phishing, entonces es una ventaja para la empresa brindarles capacitación adicional para que puedan aprender. O proporcione algún nivel de castigo, para que puedan aprender. O quitarles la oportunidad de acceder al correo electrónico oa Internet, para salvaguardar la empresa.
El entrenamiento generalizado es bueno. Pero cuando el 99% de las personas han aprendido, y el 1% de las personas siguen felices con los clics, no sirve de mucho continuar con la capacitación generalizada. En ese punto, se necesita algo más dirigido.
Como empleado, tengo más confianza si mi empleador se ocupa de problemas específicos, en lugar de dar consejos generalizados y dejar que el problema continúe.
Pero, para responder a tu pregunta. Si ofrecer datos anonimizados de gestión es apropiado, entonces se le ocurren razones por las que los datos anonimizados son más valiosos para la empresa que el razonamiento anterior. Entonces explicas eso. Si están de acuerdo, solo proporciona la información generalizada. Si tu argumento no los convence, tendrás que hacer lo que te pidan de todos modos.
Esa es siempre la forma profesional de abordar cualquier* problema, cuando no está de acuerdo con la gerencia: brinde razones convincentes para su postura y luego siga las instrucciones, tal vez modificadas debido a sus razones.
*Cualquiera que se defina como legal, por supuesto. Cuando se le pide que haga algo que es ilegal o poco ético, simplemente dar razones y luego hacer lo que se le dice no siempre es apropiado.
Las respuestas existentes están de acuerdo con su opinión de que esta es una solicitud inapropiada. Solicitar la lista de personas es completamente aceptable; es importante para la seguridad de su empresa.
Si no está de acuerdo con la solicitud, manifieste su disconformidad y desempeñe su función de acuerdo con la decisión tomada por la administración.
No debe retrasar u ofrecer información diferente a la solicitada si puede cumplir con la solicitud a tiempo y de una manera que cumpla con las expectativas.
El phishing es una fuente importante de violaciones de seguridad para las empresas. Identificar y tener conversaciones constructivas con personas que continuamente se desempeñan mal en las simulaciones es común en organizaciones de todos los tamaños. Esta actividad es lo mejor para su organización, incluso si algunas personas pueden sentirse un poco avergonzadas.
¿Es razonable mi creencia de que los datos solicitados son innecesarios?
La lista exacta de personas que son la fuente de incidentes de seguridad de correo electrónico malicioso no me parece razonable. Se siente hasta cierto punto señalar con el dedo y ¿qué sucede si alguien más que no está en la lista hace clic en un enlace malicioso mañana? No resuelve el problema de seguridad de raíz. Creo que proporcionar estadísticas agregadas sobre estos individuos es razonable. Por ejemplo, el número total de personas en la lista mes a mes y si aumenta o disminuye. Me gustaría ver la cantidad de gerentes, ejecutivos o aquellos con alto acceso en esa lista o si es más probable que determinados puestos de trabajo hagan clic en el enlace malicioso.
En general, estoy de acuerdo con otras respuestas: es su trabajo seguir las instrucciones de la gerencia (dentro del alcance legal, por supuesto)
También es su trabajo desempeñar sus funciones de manera profesional y con la mejor capacidad posible. En esta situación particular, considera que la solicitud va en contra de su criterio profesional. Tu estas diciendo:
Desde mi experiencia laboral previa en ciberseguridad, generar confianza con los usuarios finales es fundamental para lograr los objetivos comerciales. Soy un miembro sénior respetado del equipo y tengo un margen de maniobra considerable para tomar decisiones.
Imagen si se le pidió que abriera algunos puertos que son necesarios para el software del CEO (khm, juegos). Tienes que cumplir, pero también sabes que te afectará a ti y a tu empresa.
Como ingeniero, si no es tu trabajo seguir ciegamente las instrucciones (no en el ejército), pero es tu trabajo resolver problemas. ¿Cuál es el problema que sus gerentes quieren resolver? Usted fue contratado para brindar lo mejor de la solución. Deberían entenderlo.
si no lo entienden, es mejor que hagas lo que te han dicho y actualices tu currículum: tu gerencia no confía ni te valora, y tus usuarios podrían empeorar tu vida muy pronto.
PD: también puede sugerirle a la gerencia que considere qué harán si sus nombres están en la lista
jueves
Antonio
Antonio
aaaaa dice reincorporar a Monica
Delantal