Come fare in modo che le persone segnalino incidenti?

16

Vorrei sapere in che modo i dipendenti segnalano incidenti. I rapporti sugli incidenti sono un elemento chiave di un ISMS. Nessun rapporto = Nessuna scoperta dell'incidente = Alta probabilità che le cose vadano fuori controllo.

Abbiamo una specie di gioco: le persone possono scambiarsi le carte rosse per piccoli incidenti. Le carte dicono loro di segnalare l'incidente, ma le persone non vogliono farlo. Posso immaginare che dobbiamo usare un sistema di ricompensa (focalizzato sul positivo) per fare in modo che le persone facciano rapporto e facciano del loro meglio per limitare gli incidenti, ma come?

Il sistema di segnalazione funziona in questo modo: Person B.A. vede la Persona A.B non sta bloccando il suo computer. Quindi (dovrebbe) dare (s) un cartellino rosso alla persona, scattare una foto e inviarla all'email dell'incidente @ società con il nome della persona nella mail. La posta viene inviata al team di InfoSec (non solo i ragazzi IT) che poi l'hanno inserita nel sistema.

Ora, nessuno manda quelle e-mail. Sto controllando di avere abbastanza rapporti per l'audit, ma ciò significa che le persone non segnaleranno perché lo farò. Ho smesso di controllare per un mese, poi il numero è sceso a 1/4 del mese precedente. Ho iniziato a controllare di nuovo e immediatamente è aumentato ...

Che cosa fare?

-Edit-note importanti:

Sono uno studente, facendo questo come tirocinio. Sono uno studente di gestione ingegneristica, nuovo in questo settore quando ho iniziato 3 mesi fa, senza conoscenze IT. La società è una società IT in Bulgaria. Ora 200 dipendenti, l'anno scorso 100. Ora tutto sta cambiando molto velocemente, naturalmente. Questo non è il modo in cui dovrebbe essere, ma così com'è. Tieni in considerazione queste cose quando rispondi. Il feedback è benvenuto, ma per favore dimmi come

    
posta johan vd Pluijm 24.11.2017 - 12:50
fonte

8 risposte

45

Ovviamente nessuno vuole denunciare, stanno "consegnando" i loro coetanei. Inoltre, il tempo e la complessità necessari per passare attraverso il processo di segnalazione che hai descritto è un altro rinforzo negativo. Avrai solo una bassa conformità se tutto è negativo.

E ... NON PUOI FORZA LE PERSONE A FARE NULLA !!

Ti stai avvicinando al problema. Devi:

  1. usa i controlli tecnici in modo che le persone non debbano pensare (imposta un tempo di auto-blocco sulle workstation inattive)
  2. premiare le persone per aver fatto la cosa giusta (e no, riportare i loro coetanei non è la cosa giusta)

Invece di punire le stazioni non bloccate, premi le persone che hanno bloccato le loro stazioni! Lodale pubblicamente, offri loro una cioccolata. Qualunque cosa funzioni per quell'ufficio / cultura locale.

Il tuo obiettivo, al momento, è raccogliere le metriche per i rapporti sugli incidenti. Suggerisco che questo è anche al contrario. Il blocco di una stazione è un comportamento . Non bloccare una stazione non è un incidente (è un evento, nel migliore dei casi). Non otterrai mai metriche accurate, quindi non sono sicuro del motivo per cui questo sarebbe un punto focale.

So che è un enorme cambiamento mentale, ma c'è una grande differenza tra un atto intenzionale di omissione o di commissione (non fare o fare qualcosa) per violare la politica (un incidente) e la disattenzione e l'inerzia che si traducono in inadempienza. Non puoi confondere i due. La non conformità è un problema comportamentale, che deve essere gestito (e tracciato) in modo diverso.

Per rispondere direttamente alla tua domanda, al fine di convincere le persone a fare cose, devi affrontare 3 fattori:

  1. motivazione
  2. possibilità
  3. grilletto

Devono volerlo fare, deve essere facile da fare, e il grilletto per quando dovrebbero farlo deve essere chiaro (il Modello Fogg ).

Scratching prurito al naso ha una motivazione elevata, è facile da fare, e il prurito è il suo innesco. Quindi, tutti lo fanno in modo affidabile.

Segnalare il tuo pari per non bloccare una workstation ha una bassa motivazione (anche se li hai premiati per la segnalazione), il processo è complesso e anche il trigger non è così chiaro. Quando si ritiene che ci sia una non conformità? Si deve stare sempre a guardare? Cosa succede se l'altro utente si è allontanato ed era in vista della propria workstation? Cosa succede se l'utente sta "cercando" la workstation per assicurarsi che non vi siano accessi non autorizzati?

Sei semplicemente dalla parte sbagliata del modello di Fogg. Affronta questi 3 fattori e puoi sperimentare l'alta conformità.

    
risposta data 24.11.2017 - 13:47
fonte
10

Incoraggiare i dipendenti a denunciare reciprocamente inviando la documentazione di un comportamento scorretto minore a un indirizzo email centralizzato è una pessima idea per il clima lavorativo. Nessuno lo fa perché nessuno vuole che i loro colleghi li odino e nessuno vuole costruire un ambiente di lavoro governato da una cultura della denuncia. La resistenza al tuo processo non è solo comprensibile, è completamente giustificata.

Per questo specifico caso di forzare il blocco delle workstation, raccomanderei un processo automatico. Configura tutti i client in modo da passare a uno screensaver quando non è sorvegliato per un po 'e richiede all'utente di eseguire nuovamente l'autenticazione quando lo si salva. Questa è una configurazione supportata da ogni sistema operativo che potrei pensare. Il blocco, lo sblocco e il passaggio allo screensaver sono tutti eventi che dovresti riuscire a registrare. Se le workstation di alcune persone vanno frequentemente in screensaver mentre sono loggate e non si sbloccano molto presto, allora probabilmente lasciano la loro scrivania senza bloccare la loro workstation. Potresti registrarlo come un incidente di sicurezza molto (molto!) (MOLTO !!). Dovresti anche agire solo su questi incidenti quando accadono molto frequentemente per utenti specifici. Tieni presente che ci sono altri motivi per questo, ad esempio quando l'utente è stato coinvolto in una discussione più lunga con qualcuno mentre era ancora seduto davanti alla sua workstation.

Per incidenti di sicurezza più seri (compromettere password, perdere token di sicurezza, configurare sistemi non sicuri), dovresti incoraggiare l'autodenuncia. "Confessa i tuoi peccati e riceverai l'assoluzione". Prometti che chiunque abbia causato questo incidente e lo riferisca in modo corretto e tempestivo verrà perdonato per le sue conseguenze, mentre quelli che cercano di nascondere i loro errori di sicurezza non lo faranno.

    
risposta data 24.11.2017 - 16:36
fonte
4

Trovo interessante parlare con chi ha mai pensato che fosse un buon modo per ottenere risultati.

Lo stimolo è estremamente negativo. Chiedete alle persone di denunciare ai loro colleghi di lavoro. Devono farlo in piena vista degli altri colleghi (scattare fotografie). Diffidate chiaramente dal fatto che l'autore del reato si "impadronisca" e il poliziotto riferisca onestamente, poiché richiede prove concrete: una fotografia. Dove in questo scenario un individuo ottiene mai qualcosa di positivo da esso?

Inversione. Allena tutto il personale nei rischi per la sicurezza. I corsi online sono facili. Concentrati sul buon comportamento. Conta le postazioni di lavoro bloccate a pranzo. E la cosa più importante: i team premio. La squadra con il numero massimo di workstation bloccate ottiene una ricompensa. Mantieni un punteggio pubblico. Premiare il team settimanalmente. Lasciare le persone fuori da esso. Vuoi che il team corregga i membri della tua squadra.

Ultimo: round bonus. Vai in giro e chiedi ai team di contare quante volte hanno detto a un collega di bloccare il PC. Ricompensa questa squadra; e ricompensa la squadra che dice di bloccarsi senza che gli venga detto.

Premi pubblici, punteggi aperti, nessun individuo.

    
risposta data 24.11.2017 - 17:49
fonte
2

Inizia con leadership .

Nel mio attuale contratto, per un'organizzazione di circa 30.000 dipendenti e appaltatori, sono quasi l'unica persona che indossa il proprio badge identificativo. Tutti gli altri lo portano, con cordino attaccato, in tasca o in borsa, e si avvicinano alle porte goffamente per ottenere l'accesso.

Nel mio precedente posizionamento, tutti indossavano la loro carta di identificazione personale al collo, in ogni momento; la conformità era superiore al 99%. E alle presentazioni semestrali da parte della direzione ai dipendenti, sette eventi per un totale di oltre 3,5 anni, ogni singolo presentatore, dal Presidente e dal CEO in giù, ha indossato il suo foto-id in modo prominente intorno al collo mentre sul palco.

Finché la gestione e altri individui privilegiati non rispondono, anche i dipendenti saranno.

    
risposta data 25.11.2017 - 00:08
fonte
1

La risposta di schroeder è buona, ma manca uno degli enormi problemi di sicurezza. Invece di motivare le persone a fare la cosa giusta, cambia la cosa in modo che il comportamento desiderato sia il comportamento predefinito, o almeno l'azione più semplice possibile.

Per il problema di costringere le persone a bloccare le proprie postazioni di lavoro quando escono, è possibile trovare un'app che blocca la macchina quando il Bluetooth del proprio telefono non rientra nell'intervallo. BtProx è un'app open source che è stata su SourceForge per oltre un decennio (ricordo di aver giocato con qualcosa del genere nei primi anni 2000).

Allo stesso modo, 15 anni fa comprai una piccola coppia di dongle radio dove tenevo il trasmettitore sul mio portachiavi e collegavo il ricevitore all'USB della mia macchina. Quando sono arrivato a più di 10 piedi dalla macchina, l'agente software l'ha bloccato. (Era un concetto grandioso, ma l'agente software con cui è arrivato era orribile, e non ha mai preso piede.)

Se il layout del tuo edificio per uffici lo supporta, un altro modo potrebbe essere quello di collegarsi inserendo una smart card nella loro workstation invece di richiedere una password (le smart card sono davvero convenienti) e utilizzare lo stesso supporto per smart card (con RFID incorporato) per l'accesso alla porta. Se hanno bisogno della loro smart card per tornare nell'area dell'ufficio dopo aver usato la toilette, le persone si alleneranno velocemente per tenere le loro carte con loro.

O forse c'è un sistema di riconoscimento facciale che bloccherebbe la macchina istantaneamente quando non lo stai affrontando, e lo sbloccherai all'istante quando torni indietro. Apple lo sta già offrendo sui telefoni; Sarei sorpreso se non esistesse per le workstation.

E non ci sono dubbi su altre soluzioni che renderebbero automatico il blocco della workstation.

Se devi addestrare / punire / premiare le persone a fare meglio la sicurezza, significa che il tuo sistema di sicurezza non è ottimale. Prendi questo come segno che dovresti cercare un modo per migliorare l'usabilità del sistema.

    
risposta data 24.11.2017 - 16:27
fonte
1

Sono d'accordo con tutte le altre risposte: non otterrai mai la conformità con il tuo attuale sistema. Non vi è alcun incentivo per le persone a partecipare alla segnalazione dei loro colleghi, e la segnalazione non è la migliore motivazione per mantenere lo schermo bloccato comunque. Devi abbandonare questo piano.

Alcuni commenti suggeriscono che inizi a inviare email da computer sbloccati che offrono l'acquisto dell'intera colazione dell'ufficio. Alcuni altri hanno detto che questa è una cattiva idea, perché renderà le persone davvero arrabbiate. Sono d'accordo che è probabile che ritorni contro se lo fai a una vittima ignara, ma penso che ci sia un modo in cui puoi farlo funzionare.

Ottieni una parrucca grande (come il tuo amministratore delegato o qualcuno del genere) per giocare insieme a fingere di aver lasciato il proprio computer sbloccato, e qualcun altro ha inviato un messaggio di posta elettronica "Comprerò tutti a colazione il venerdì". Invitali a farlo da soli, poi seguilo un po 'più tardi con qualcosa del tipo: "Whoops! Ho dimenticato di bloccare il mio computer quando mi sono alzato e [il capo della sicurezza o chiunque] ha inviato quell'e-mail per insegnarmi una lezione. Credo che dovrò portare ciambelle venerdì per tutti, è una fortuna che sia la cosa peggiore che è successa quando [qualche altra minaccia seria e seria, come "gli hacker vorrebbero conoscere il nostro database di carte di credito"]. So di aver imparato la mia lezione, e spero che anche tu abbia tutti ".

Questo ha molteplici scopi:

  • Mostra che i dirigenti sono ritenuti responsabili e che sono seri riguardo alla politica

  • Dimostra che ci sono dei rischi reali associati al fatto di lasciare il tuo computer sbloccato, invece di un vago boogeyman

  • Fornisce alle persone un motivo per parlare della politica in modo positivo (probabilmente penseranno che sia esilarante)

Come bonus, ora puoi periodicamente andare in giro per l'ufficio e cercare computer sbloccati e incustoditi, e dare loro una nota appiccicosa che dice "Devi davvero comprare le ciambelle da ufficio! =)" È una conseguenza non è troppo imbarazzante, ma ricorda alla gente i pericoli. Per i recidivi ripetuti, è possibile eseguire l'escalation cambiando il loro sfondo per essere una scatola di ciambelle e cose del genere. Si spera che le persone si uniscano e bloccino i computer che vedono incustoditi e / o si scambino delicati richiami l'un l'altro.

Perché penso che funzionerà? Poco dopo aver iniziato il mio lavoro, mi è stata raccontata la storia di un collega che amava inviare e-mail da computer sbloccati che offrivano di comprare tutti a pranzo. Non sono convinto che sia anche vero, ma mi ha preso l'abitudine di bloccare il mio portatile. Posso anche ripetere l'aneddoto quando vedo altri neoassunti essere sciatti riguardo al blocco dei loro computer, e non viene fuori come una lezione. Non denunciare mai i miei colleghi, ma non ho scrupoli a "proteggerli" da una "minaccia" che entrambi affrontiamo.

Inoltre, ti consiglio di configurare tutti i nuovi computer in modo che si blocchino automaticamente dopo cinque minuti di inattività. Forse anche andare in giro dopo l'e-mail "ciambelle gratis" e offrire di creare per le persone, in modo che "non cadono vittima di eventuali collaboratori prankster-prono". Sembra che i tuoi dipendenti siano un po 'protettivi dei loro computer, quindi rendili volontari e fagli sapere che possono aumentare il tempo prima che si blocca se trovano fastidioso; la modifica della configurazione è puramente per loro comodità.

Non otterrai mai il 100% di conformità, ma questi passaggi dovrebbero metterti sulla strada per migliorare la tua cultura e renderla più probabile che le persone si preoccuperanno della sicurezza. È davvero tutto ciò che puoi fare senza sconvolgere tutti.

    
risposta data 25.11.2017 - 01:04
fonte
0

Seguire il principio di "la luce solare è il miglior disinfettante" in contrapposizione al principio di "punire i trasgressori alla sottomissione". Diventa un gioco, non un boccino.

Innanzitutto, che non ci siano ripercussioni sulle trasgressioni, in modo che la "segnalazione" non sia "spia". Quindi prepara una ricompensa per la persona con il maggior numero di segnalazioni. Forse il team INFOSEC tratterà il dipendente con il maggior numero di segnalazioni su una pizza una volta alla settimana.

    
risposta data 26.11.2017 - 12:18
fonte
-3

Un incidente di sicurezza è una violazione o un tentativo di violazione. Qualcuno che non riesce a bloccare una workstation non è nessuno dei due, anche se in alcuni casi può consentire una violazione.

Prova un approccio diverso alla promozione di comportamenti di sicurezza come il blocco delle workstation: inizia un gioco in cui i dipendenti inviano email pronte ("Ehi, oggi sto lavando le macchine gratuitamente!") alla loro squadra dalle workstation sbloccate dei loro compagni di squadra. Molto rapidamente otterrai conformità con la politica di sicurezza, nessuno deve passare il tempo a presentare inutili rapporti "incidenti", nessuno deve dedicare tempo a contare e monitorare tali rapporti.

    
risposta data 24.11.2017 - 19:01
fonte

Leggi altre domande sui tag