¿Cómo hacer que las personas informen incidentes?

16

Me gustaría saber cómo hace que los empleados informen incidentes. Los informes de incidentes son un elemento clave de un SGSI. Sin informes = No hay descubrimiento del incidente = Hay muchas posibilidades de que las cosas se salgan de control.

Tenemos un tipo de juego: las personas pueden darse tarjetas rojas entre sí por pequeños incidentes. Las tarjetas les dicen que denuncien el incidente, pero la gente no quiere hacerlo. Puedo imaginar que tenemos que usar un sistema de recompensa (enfocado en positivo) para que las personas informen y hagan todo lo posible para limitar los incidentes, pero ¿cómo?

El sistema de informes actualmente funciona así: Persona B.A. ve que la Persona A.B no está bloqueando su computadora. Luego (debe) le da una tarjeta roja a la persona, toma una foto y la envía al correo electrónico de la empresa @ incidentes con el nombre de la persona en el correo. El correo se envía al equipo de InfoSec (no solo a los de TI por cierto) que luego lo ponen en el sistema.

Ahora, nadie envía esos correos electrónicos. Estoy revisando para obtener suficientes informes para la auditoría, pero eso significa que las personas no informarán porque yo lo haré. Dejé de revisar durante un mes, luego el número bajó a 1/4 del mes anterior. Comencé a comprobarlo de nuevo y se levantó de inmediato ...

¿Qué hacer?

-Editar una nota importante:

Soy un estudiante, haciendo esto como pasantía. Soy un estudiante de administración de ingeniería, nuevo en esta área cuando comencé hace 3 meses, no tengo conocimientos de TI. La empresa es una empresa de TI en Bulgaria. Ahora 200 empleados, el año pasado 100. Ahora todo está cambiando muy rápido, por supuesto. No es así como debería ser, sino como es. Por favor, tome esas cosas en consideración cuando responda. Los comentarios son bienvenidos, pero por favor dime cómo

    
pregunta johan vd Pluijm 24.11.2017 - 12:50
fuente

8 respuestas

45

Por supuesto, nadie quiere informar, están "entregándose" a sus compañeros. Además, el tiempo y la complejidad que lleva pasar por el proceso de informe que describió es otro refuerzo negativo. Solo obtendrás un bajo cumplimiento si todo es negativo.

Y ... ¡¡USTED NO PUEDE obligar a la gente a hacer nada !!

Te estás acercando al problema hacia atrás. Necesitas:

  1. use controles técnicos para que las personas no tengan que pensar (establecer un tiempo de bloqueo automático en estaciones de trabajo inactivas)
  2. recompensar a las personas por hacer lo correcto (y no, informar sobre sus compañeros no es lo correcto)

¡En lugar de castigar a las estaciones no bloqueadas, recompense a las personas que bloquean sus estaciones! Felicítalos públicamente, ofréceles un chocolate. Lo que sea que funcione para esa oficina / cultura local.

Su objetivo, en este momento, es recopilar métricas para sus informes de incidentes. Sugiero que esto también es al revés. Bloquear una estación es un comportamiento . No bloquear una estación no es un incidente (es un evento, en el mejor de los casos). Nunca obtendrás métricas precisas, así que no estoy seguro de por qué esto sería un enfoque.

Sé que es un gran cambio mental, pero hay una gran diferencia entre un acto intencional de omisión o comisión (no hacer o hacer algo) para violar la política (un incidente) y la falta de atención e inercia que resulta en incumplimiento. No puedes confundir los dos. El incumplimiento es un problema de comportamiento, que debe manejarse (y rastrearse) de manera diferente.

Para responder a su pregunta directamente, para que las personas hagan cosas, debe abordar 3 factores:

  1. motivación
  2. capacidad
  3. disparador

Tienen que querer hacerlo, debe ser fácil de hacer, y el desencadenante para cuando se supone que deben hacerlo tiene que ser claro (el Modelo Fogg ).

Rascarse una nariz que pica tiene una gran motivación, es fácil de hacer, y la picazón es su propio desencadenante. Entonces, todos lo hacen de manera confiable.

Informar a su compañero por no bloquear una estación de trabajo tiene poca motivación (incluso si los recompensa por informar), el proceso es complejo y el desencadenante tampoco es tan claro. ¿Cuándo se considera que hay incumplimiento? ¿Hay que estar vigilando todo el tiempo? ¿Qué pasa si el otro usuario se alejó y estuvo a la vista de su estación de trabajo? ¿Qué sucede si el usuario está "vigilando" la estación de trabajo para asegurarse de que no haya acceso no autorizado?

Simplemente estás en el lado equivocado del modelo de Fogg. Aborda estos 3 factores y puede experimentar un alto cumplimiento.

    
respondido por el schroeder 24.11.2017 - 13:47
fuente
10

Alentar a sus empleados a que se enganchen unos a otros enviando documentación de mal comportamiento menor a una dirección de correo electrónico centralizada es una idea terrible para el clima laboral. Nadie lo hace porque nadie quiere que sus colegas los odien y nadie quiere construir un ambiente de trabajo gobernado por una cultura de denuncia. La resistencia a su proceso no solo es comprensible, sino que está completamente justificada.

Para este caso específico de hacer cumplir el bloqueo de las estaciones de trabajo, recomendaría un proceso automatizado. Configure a todos los clientes para que vayan a un protector de pantalla cuando estén desatendidos por un tiempo y requieran que el usuario vuelva a autenticarse cuando cierre el protector de pantalla. Esa es una configuración soportada por todos los sistemas operativos que pueda imaginar. Bloquear, desbloquear y acceder al protector de pantalla son todos los eventos que debe poder registrar. Si las estaciones de trabajo de algunas personas suelen ir al salvapantallas mientras están conectadas y no se desbloquean muy pronto, es probable que dejen su escritorio sin bloquear la estación de trabajo. Podría registrarlo como un incidente de seguridad muy (muy! (¡¡MUY !!)) menor. También debe actuar solo en estos incidentes cuando ocurren con mucha frecuencia para usuarios específicos. Tenga en cuenta que existen otras razones para que esto suceda, por ejemplo, cuando el usuario estuvo involucrado en una discusión más prolongada con alguien mientras aún estaba sentado frente a su estación de trabajo.

Para incidentes de seguridad más graves (comprometer contraseñas, perder tokens de seguridad, configurar sistemas inseguros), debe alentar la auto denuncia. "Confiesa tus pecados, y recibirás la absolución". Prometa que cualquier persona que haya causado tal incidente y lo reporte de manera adecuada y oportuna será perdonada por sus consecuencias, mientras que aquellos que intenten ocultar sus errores de seguridad no lo harán.

    
respondido por el Philipp 24.11.2017 - 16:36
fuente
4

Me parece interesante hablar con quien alguna vez pensó que esta era una buena manera de lograr resultados.

El estímulo es extremadamente negativo. Le pides a la gente que chupe a sus compañeros de trabajo. Deben hacer esto a plena vista de otros compañeros de trabajo (tomar fotografías). Claramente desconfías del agresor de "confesarse" y de la persona que reporta honestamente, ya que necesitas pruebas sólidas: una fotografía. ¿Dónde en este escenario un individuo obtiene algo positivo de ello?

Invertirlo. Capacitar a todo el personal en riesgos de seguridad. Los cursos en línea son fáciles. Centrarse en el buen comportamiento. Contar estaciones de trabajo cerradas en el almuerzo. Y lo más importante: premiar a los equipos. Equipo con el número más alto de estaciones de trabajo bloqueadas obtiene una recompensa. Mantener una puntuación pública. Premia al equipo semanalmente. Deja a los individuos fuera de esto. Quieres que el equipo corrija a los miembros de su equipo.

Último: ronda de bonificación. Vaya y pida a los equipos que cuenten cuántas veces le han dicho a un compañero de trabajo que bloquee su PC. Recompensa a ese equipo; y recompense al equipo que dice que se cierran sin que se lo hayan dicho.

Recompensas públicas, puntajes abiertos, no individuos.

    
respondido por el user24119 24.11.2017 - 17:49
fuente
2

Comienza con leadership .

En mi contrato actual, para una organización de cerca de 30,000 empleados y contratistas, soy casi la única persona que usa su identificación con foto. Todos los demás lo llevan, con el cordón adjunto, en su bolsillo o bolso, y se deslizan hasta las puertas con torpeza para acceder.

En mi colocación anterior, todos llevaban su tarjeta de identificación con foto alrededor del cuello, en todo momento; El cumplimiento fue superior al 99%. Y en las presentaciones semestrales de la gerencia a los empleados, siete eventos en total durante más de 3.5 años, todos los presentadores, desde el Presidente y el CEO hasta abajo, usaron su identificación con foto de manera prominente alrededor de sus cuellos mientras están en el escenario.

Mientras la administración y otras personas privilegiadas no cumplan, sus empleados también lo estarán.

    
respondido por el Pieter Geerkens 25.11.2017 - 00:08
fuente
1
La respuesta de

@ schroeder es buena, pero echa de menos uno de los grandes problemas con la seguridad. En lugar de motivar a las personas a hacer lo correcto, cambie la cosa para que el comportamiento deseado sea el comportamiento predeterminado, o al menos la acción más sencilla posible.

Para el problema de hacer que las personas bloqueen sus estaciones de trabajo cuando se van, puede encontrar una aplicación que bloquee la máquina cuando el Bluetooth de su teléfono esté fuera del alcance. BtProx es una aplicación de código abierto que ha estado en SourceForge durante más de una década (recuerdo haber jugado con algo como esto a principios de la década de 2000).

De manera similar, hace 15 años compré un pequeño par de dongle de radio donde guardé el transmisor en mi llavero y conecté el receptor al USB de mi máquina. Cuando obtuve más de aproximadamente 10 pies de la máquina, el agente de software la bloqueó. (Fue un gran concepto, pero el agente de software con el que vino era horrible, y nunca se dio cuenta).

Si el diseño de su edificio de oficinas lo admite, otra manera podría ser iniciar sesión insertando una tarjeta inteligente en su estación de trabajo en lugar de requerir una contraseña (las tarjetas inteligentes son muy convenientes para eso) y usar los mismos medios de tarjetas inteligentes. (Con RFID incorporado) para acceso a puertas. Si necesitan su tarjeta inteligente para volver al área de la oficina después de usar el baño, las personas se entrenarán rápidamente para guardar sus tarjetas.

O tal vez hay un sistema de reconocimiento facial que bloquearía la máquina instantáneamente cuando no la enfrentas y desbloquearla instantáneamente cuando vuelvas atrás. Apple ya está ofreciendo esto en los teléfonos; Me sorprendería si no existiera para estaciones de trabajo.

Y no hay duda de otras soluciones que harían el bloqueo automático de la estación de trabajo.

Si tiene que entrenar / castigar / recompensar a las personas para mejorar la seguridad, significa que su sistema de seguridad no es óptimo. Tómalo como una señal de que deberías buscar una manera de mejorar la usabilidad del sistema.

    
respondido por el John Deters 24.11.2017 - 16:27
fuente
1

Estoy de acuerdo con todas las demás respuestas: nunca obtendrá el cumplimiento de su sistema actual. No hay ningún incentivo para que las personas participen en informar a sus compañeros, y ser informado no es la mejor motivación para mantener su pantalla bloqueada de todos modos. Necesitas abandonar este plan.

Algunos comentarios sugieren que empieces a enviar correos electrónicos desde computadoras desbloqueadas que ofrecen comprar el desayuno completo de la oficina. Algunos otros dijeron que esto es una mala idea, ya que hará que la gente se enoje realmente. Estoy de acuerdo en que es probable que sea contraproducente si se lo haces a una víctima confiada, pero creo que hay una manera en que puedes hacer que funcione.

Obtenga una peluca grande (como su CEO o alguien así) para jugar y fingir que dejaron su computadora desbloqueada, y alguien más envió un correo electrónico de "Compraré el desayuno para todos el viernes". Pídales que lo envíen ellos mismos y luego que lo sigan un poco más tarde con algo como "¡Vaya! Me olvidé de bloquear mi computadora cuando me levanté y [el jefe de seguridad o quien sea] me envió ese correo electrónico para enseñarme una lección. Supongo que tendré que traer donas el viernes para todos. Es una suerte que haya pasado lo peor, cuando [alguna otra amenaza real y seria, como "a los piratas informáticos les encantaría robar nuestra base de datos de tarjetas de crédito"]. Sé que he aprendido mi lección, y espero que todos ustedes también lo hayan hecho ".

Esto tiene múltiples propósitos:

  • Muestra que los ejecutivos son responsables, y que son serios con la política

  • Esto demuestra que existen riesgos reales asociados con el hecho de dejar la computadora desbloqueada, en lugar de algún boogeyman vago

  • Le da a las personas una razón para hablar sobre la política de una manera positiva (probablemente pensarán que es hilarante)

Como beneficio adicional, ahora puede caminar periódicamente por la oficina y buscar computadoras desbloqueadas y desatendidas, y pegarles una nota adhesiva que diga "¡Realmente debe querer comprar todas las donas de la oficina! =)" Es una consecuencia eso no es demasiado vergonzoso, pero recuerda a la gente los peligros. Para los infractores repetidos, puedes escalar cambiando su fondo de pantalla para que sea una caja de donas y cosas así. Con suerte, las personas se unirán y bloquearán las computadoras que vean desatendidas y / o se darán recordatorios amables entre sí.

¿Por qué creo que esto funcionará? Poco después de comenzar mi trabajo, me contaron la historia de un compañero de trabajo al que le gustaba enviar correos electrónicos desde computadoras desbloqueadas que ofrecían comprar el almuerzo a todos. No estoy convencido de que sea verdad, pero me hizo tener la costumbre de bloquear mi computadora portátil. También puedo repetir la anécdota cuando veo que otras contrataciones nuevas son descuidadas con respecto al bloqueo de sus computadoras, y no se presenta como una conferencia. Nunca informaría a mis compañeros de trabajo, pero no tengo reparos en "protegerlos" de una "amenaza" que ambos enfrentamos.

Además de eso, te recomiendo que también configures todas las computadoras nuevas para que se bloqueen automáticamente después de estar inactivo durante aproximadamente cinco minutos. Tal vez también vaya después del correo electrónico "donas gratis" y ofrezca configurarlo para las personas, para que "no sean víctimas de ningún compañero de trabajo propenso a bromas". Parece que sus empleados son un poco protectores de sus computadoras, así que háganlo de manera voluntaria y hágales saber que pueden aumentar el tiempo antes de que se bloqueen si les resulta molesto; el cambio de configuración es puramente para su conveniencia.

Nunca obtendrás el 100% de cumplimiento, pero estos pasos deberían ponerte en el camino para mejorar tu cultura y hacer que sea más probable que la gente se preocupe por la seguridad. Eso es realmente todo lo que puedes hacer sin molestar a todos.

    
respondido por el Kat 25.11.2017 - 01:04
fuente
0

Siga el principio de "la luz solar es el mejor desinfectante" en lugar del principio de "castigar a los infractores para que se sometan". Conviértalo en un juego, no en un chivato.

En primer lugar, que no haya repercusiones para las transgresiones, de modo que "informar" no sea "snitching". Luego prepare una recompensa para la persona con más informes. Quizás el equipo de INFOSEC tratará al empleado con el mayor número de informes a una pizza una vez por semana.

    
respondido por el dotancohen 26.11.2017 - 12:18
fuente
-3

Un incidente de seguridad es una violación o un intento de violación. Alguien que no puede bloquear una estación de trabajo no es ninguno de los dos, aunque en algunos casos puede permitir que ocurra una violación.

Pruebe un enfoque diferente para promover comportamientos de seguridad como el bloqueo de estaciones de trabajo: comience un juego en el que los empleados envíen correos electrónicos de broma ("¡Hey, estoy lavando autos gratis hoy!") a su equipo desde las estaciones de trabajo desbloqueadas de sus compañeros de equipo. Muy rápidamente obtendrá el cumplimiento de la política de seguridad, nadie tiene que dedicar tiempo a presentar informes de "incidentes" inútiles, nadie tiene que dedicar tiempo a contar y monitorear dichos informes.

    
respondido por el user164544 24.11.2017 - 19:01
fuente

Lea otras preguntas en las etiquetas