Solicitud de la gerencia con la que no estoy de acuerdo

Publicando desde una cuenta real ahora

Trabajo en el equipo de seguridad de TI de mi empleador como analista/ingeniero sénior. Una parte de mis deberes laborales es la presentación de informes de rendimiento a la alta gerencia sobre ciertas métricas de seguridad cibernética. Según entiendo y me dijeron los gerentes que reportan directamente al CISO, estos deben usarse principalmente para la mejora de procesos operativos internos, no para señalar con el dedo a nadie o llamar a las personas por las debilidades en su función.

Hoy, recibí una solicitud de la alta gerencia de personas que han demostrado debilidades en los informes de phishing y el reconocimiento de correos electrónicos maliciosos. Entiendo que el hecho de que la gerencia tenga estos nombres ayudará a evaluar cuál es nuestra exposición al riesgo de ingeniería social, pero creo que es innecesario y erosiona la confianza con otros empleados. La gente puede pensar que esto es una puñalada en la espalda y la solicitud no me parece razonable.

Desde mi experiencia laboral previa en ciberseguridad, generar confianza con los usuarios finales es fundamental para lograr los objetivos comerciales. Soy un miembro sénior respetado del equipo y tengo un margen de maniobra considerable para tomar decisiones.

Edite para incorporar respuestas a los comentarios:

@ThursdaysGeek , hacemos "capacitación adicional" para los usuarios que constantemente tienen problemas a través del seguimiento en persona ahora. O yo o un colega trabajaríamos directamente con el usuario final. Para las ballenas de alto valor (es decir, ejecutivos y altos directivos), el administrador de SecOps se comunica con ellos.

@JcMack : todos los empleados deben completar la capacitación anual en seguridad. Si no se completa, antes de fin de año, se elimina el acceso a los recursos de TI de la empresa para las personas que no cumplen. Los clickers en el pasado han mostrado ciertas tendencias y los tipos de empleados que tienen estos problemas son bastante esperados.

Si hay compañeros practicantes de seguridad aquí, me encantaría saber qué hiciste si te enfrentaste a una circunstancia similar antes. Específicamente:

Si se implementara una capacitación dirigida, ¿cómo aprendería qué hazañas de ingeniería social existen ahora?

¿Cómo funcionarían tales ejercicios dirigidos? Ya contamos con la participación de la alta dirección (CISO)

¿Es razonable mi creencia de que los datos solicitados son innecesarios?

¿Cómo puedo equilibrar el cumplimiento de mi deber en mi función, para proteger los activos de la empresa, con el apoyo a mis compañeros en esta situación?

Si ofrecer datos de gestión anónimos es adecuado, ¿cuál es la mejor forma de realizar esta solicitud de forma profesional?

¿Las personas que fallan consistentemente en las pruebas de phishing recibirían capacitación adicional? ¿Sería útil?
Sí, dependiendo de la gravedad y la frecuencia. Si capturamos alguna ballena, por supuesto que hablamos con los usuarios finales.
Los datos provienen de correos electrónicos de phishing simulados que enviamos. Como publiqué en el intercambio de pilas de infosec, ya estamos recibiendo algunas quejas de los usuarios finales, por lo que dudo mucho en publicar datos individualizados.
Algunas partes después de "Si hay compañeros practicantes de seguridad aquí" están fuera de tema, recomiendo eliminarlas. security.stackexchange.com es el lugar para preguntar eso
¿Qué piensa su gerente de SecOps sobre la solicitud?

Respuestas (4)

Generar confianza es importante. También lo es salvaguardar su empresa.

Si empleados específicos fallan repetidamente en las pruebas de phishing, entonces es una ventaja para la empresa brindarles capacitación adicional para que puedan aprender. O proporcione algún nivel de castigo, para que puedan aprender. O quitarles la oportunidad de acceder al correo electrónico oa Internet, para salvaguardar la empresa.

El entrenamiento generalizado es bueno. Pero cuando el 99% de las personas han aprendido, y el 1% de las personas siguen felices con los clics, no sirve de mucho continuar con la capacitación generalizada. En ese punto, se necesita algo más dirigido.

Como empleado, tengo más confianza si mi empleador se ocupa de problemas específicos, en lugar de dar consejos generalizados y dejar que el problema continúe.

Pero, para responder a tu pregunta. Si ofrecer datos anonimizados de gestión es apropiado, entonces se le ocurren razones por las que los datos anonimizados son más valiosos para la empresa que el razonamiento anterior. Entonces explicas eso. Si están de acuerdo, solo proporciona la información generalizada. Si tu argumento no los convence, tendrás que hacer lo que te pidan de todos modos.

Esa es siempre la forma profesional de abordar cualquier* problema, cuando no está de acuerdo con la gerencia: brinde razones convincentes para su postura y luego siga las instrucciones, tal vez modificadas debido a sus razones.

*Cualquiera que se defina como legal, por supuesto. Cuando se le pide que haga algo que es ilegal o poco ético, simplemente dar razones y luego hacer lo que se le dice no siempre es apropiado.

Estoy de acuerdo con Joe, esa frase es oro. Lo que pasa con los ataques de phishing es que solo se necesita una falla. Literalmente, no importa si 9.999 personas en una empresa de 10.000 personas lo hacen bien, si esa persona lo hace mal. Con respecto a su párrafo "responda a su pregunta", el peligro de tratar de convencer a la alta dirección para que acepte una alternativa es que, si no conoce sus motivaciones, es probable que atribuya erróneamente el valor de su alternativa. En otras palabras, incluso si cree que los datos anónimos serán útiles, es posible que no lo sean, y tratar de explicar por qué puede resultar muy incómodo.
Una vez hice clic en una prueba de phishing. Y afectó mi reseña de ese año. Por eso, instalé medidas de seguridad adicionales para que nunca vuelva a suceder. No hago clic solo en beneficio de la empresa, sino también en mi beneficio.

Las respuestas existentes están de acuerdo con su opinión de que esta es una solicitud inapropiada. Solicitar la lista de personas es completamente aceptable; es importante para la seguridad de su empresa.

Si no está de acuerdo con la solicitud, manifieste su disconformidad y desempeñe su función de acuerdo con la decisión tomada por la administración.

No debe retrasar u ofrecer información diferente a la solicitada si puede cumplir con la solicitud a tiempo y de una manera que cumpla con las expectativas.

El phishing es una fuente importante de violaciones de seguridad para las empresas. Identificar y tener conversaciones constructivas con personas que continuamente se desempeñan mal en las simulaciones es común en organizaciones de todos los tamaños. Esta actividad es lo mejor para su organización, incluso si algunas personas pueden sentirse un poco avergonzadas.

¿Es razonable mi creencia de que los datos solicitados son innecesarios?

La lista exacta de personas que son la fuente de incidentes de seguridad de correo electrónico malicioso no me parece razonable. Se siente hasta cierto punto señalar con el dedo y ¿qué sucede si alguien más que no está en la lista hace clic en un enlace malicioso mañana? No resuelve el problema de seguridad de raíz. Creo que proporcionar estadísticas agregadas sobre estos individuos es razonable. Por ejemplo, el número total de personas en la lista mes a mes y si aumenta o disminuye. Me gustaría ver la cantidad de gerentes, ejecutivos o aquellos con alto acceso en esa lista o si es más probable que determinados puestos de trabajo hagan clic en el enlace malicioso.

Se requiere que todos completen la capacitación de concientización sobre seguridad anualmente. ¿Te importaría actualizar tu respuesta? Hay tendencias entre los clickers y los desarrolladores son frecuentes entre ellos. Como desarrollador, ¿puede dar su opinión sobre este tipo de empleado específico?
Interesante. ¿Se debe a que su empresa tiene una mayor cantidad de desarrolladores que de no desarrolladores (por lo tanto, más clics de desarrolladores en general)? Usando mi sombrero de desarrollador, solo puedo decir que varios de nuestros sistemas internos tienen configuraciones de seguridad incorrectas y tengo que ignorar las advertencias para hacer mi trabajo todos los días. ¿Eso se filtra al sistema real donde debería preocuparme por la seguridad? Probablemente.
Hay tendencias entre los clickers y los desarrolladores son frecuentes entre ellos Yikes. Los desarrolladores a menudo tienen derechos de seguridad elevados. Ese es el peor lugar para tener una falla. Entiendo la preocupación por proteger a las personas, pero llega un momento en que un empleador necesita protegerse por el bien común.

En general, estoy de acuerdo con otras respuestas: es su trabajo seguir las instrucciones de la gerencia (dentro del alcance legal, por supuesto)

También es su trabajo desempeñar sus funciones de manera profesional y con la mejor capacidad posible. En esta situación particular, considera que la solicitud va en contra de su criterio profesional. Tu estas diciendo:

Desde mi experiencia laboral previa en ciberseguridad, generar confianza con los usuarios finales es fundamental para lograr los objetivos comerciales. Soy un miembro sénior respetado del equipo y tengo un margen de maniobra considerable para tomar decisiones.

Imagen si se le pidió que abriera algunos puertos que son necesarios para el software del CEO (khm, juegos). Tienes que cumplir, pero también sabes que te afectará a ti y a tu empresa.

Como ingeniero, si no es tu trabajo seguir ciegamente las instrucciones (no en el ejército), pero es tu trabajo resolver problemas. ¿Cuál es el problema que sus gerentes quieren resolver? Usted fue contratado para brindar lo mejor de la solución. Deberían entenderlo.

si no lo entienden, es mejor que hagas lo que te han dicho y actualices tu currículum: tu gerencia no confía ni te valora, y tus usuarios podrían empeorar tu vida muy pronto.

PD: también puede sugerirle a la gerencia que considere qué harán si sus nombres están en la lista

No, uno absolutamente NO tiene que cumplir con solicitudes indebidas. Desde mi experiencia previa en InfoSec y desarrollo de sistemas confiables, si alguien me pide que haga algo mal, mi carrera (tiempo futuro) está en juego. En un trabajo anterior tuve solicitudes de rutina para "hackear" una máquina "porque fulano olvidó la contraseña/estaba de vacaciones/etc." Mi postura fue que lo haré con la firma de un gerente en una hoja de papel. Nunca, ni una sola vez, recibí ese pedazo de papel.
Solicitud de la gerencia con la que no estoy de acuerdo
RespuestasAquíPolítica de privacidad1y, 0v