Vorrei sapere in che modo i dipendenti segnalano incidenti. I rapporti sugli incidenti sono un elemento chiave di un ISMS. Nessun rapporto = Nessuna scoperta dell'incidente = Alta probabilità che le cose vadano fuori controllo.
Abbiamo una specie di gioco: le persone possono scambiarsi le carte rosse per piccoli incidenti. Le carte dicono loro di segnalare l'incidente, ma le persone non vogliono farlo. Posso immaginare che dobbiamo usare un sistema di ricompensa (focalizzato sul positivo) per fare in modo che le persone facciano rapporto e facciano del loro meglio per limitare gli incidenti, ma come?
Il sistema di segnalazione funziona in questo modo: Person B.A. vede la Persona A.B non sta bloccando il suo computer. Quindi (dovrebbe) dare (s) un cartellino rosso alla persona, scattare una foto e inviarla all'email dell'incidente @ società con il nome della persona nella mail. La posta viene inviata al team di InfoSec (non solo i ragazzi IT) che poi l'hanno inserita nel sistema.
Ora, nessuno manda quelle e-mail. Sto controllando di avere abbastanza rapporti per l'audit, ma ciò significa che le persone non segnaleranno perché lo farò. Ho smesso di controllare per un mese, poi il numero è sceso a 1/4 del mese precedente. Ho iniziato a controllare di nuovo e immediatamente è aumentato ...
Che cosa fare?
-Edit-note importanti:
Sono uno studente, facendo questo come tirocinio. Sono uno studente di gestione ingegneristica, nuovo in questo settore quando ho iniziato 3 mesi fa, senza conoscenze IT. La società è una società IT in Bulgaria. Ora 200 dipendenti, l'anno scorso 100. Ora tutto sta cambiando molto velocemente, naturalmente. Questo non è il modo in cui dovrebbe essere, ma così com'è. Tieni in considerazione queste cose quando rispondi. Il feedback è benvenuto, ma per favore dimmi come