Me gustaría saber cómo hace que los empleados informen incidentes. Los informes de incidentes son un elemento clave de un SGSI. Sin informes = No hay descubrimiento del incidente = Hay muchas posibilidades de que las cosas se salgan de control.
Tenemos un tipo de juego: las personas pueden darse tarjetas rojas entre sí por pequeños incidentes. Las tarjetas les dicen que denuncien el incidente, pero la gente no quiere hacerlo. Puedo imaginar que tenemos que usar un sistema de recompensa (enfocado en positivo) para que las personas informen y hagan todo lo posible para limitar los incidentes, pero ¿cómo?
El sistema de informes actualmente funciona así: Persona B.A. ve que la Persona A.B no está bloqueando su computadora. Luego (debe) le da una tarjeta roja a la persona, toma una foto y la envía al correo electrónico de la empresa @ incidentes con el nombre de la persona en el correo. El correo se envía al equipo de InfoSec (no solo a los de TI por cierto) que luego lo ponen en el sistema.
Ahora, nadie envía esos correos electrónicos. Estoy revisando para obtener suficientes informes para la auditoría, pero eso significa que las personas no informarán porque yo lo haré. Dejé de revisar durante un mes, luego el número bajó a 1/4 del mes anterior. Comencé a comprobarlo de nuevo y se levantó de inmediato ...
¿Qué hacer?
-Editar una nota importante:
Soy un estudiante, haciendo esto como pasantía. Soy un estudiante de administración de ingeniería, nuevo en esta área cuando comencé hace 3 meses, no tengo conocimientos de TI. La empresa es una empresa de TI en Bulgaria. Ahora 200 empleados, el año pasado 100. Ahora todo está cambiando muy rápido, por supuesto. No es así como debería ser, sino como es. Por favor, tome esas cosas en consideración cuando responda. Los comentarios son bienvenidos, pero por favor dime cómo