Come dovremmo implementare internamente un programma di scoperta responsabile solo per i dipendenti della nostra organizzazione?

3

Abbiamo sperimentato un fenomeno molto interessante negli ultimi 6 mesi e cioè che alcuni dipendenti hanno trovato e segnalato ai nostri team di sicurezza alcuni problemi di sicurezza molto cruciali. Stavamo pensando di incoraggiare questo tipo di comportamento (pensiamo che i dipendenti dovrebbero essere in grado di sentirsi a proprio agio nel segnalare le vulnerabilità di sicurezza che hanno identificato) ma non sono sicuro di come farlo.

    
posta Filopn 29.09.2018 - 14:24
fonte

3 risposte

5

Il modo migliore è il riconoscimento: dopo che un problema di sicurezza è stato identificato o corretto, invia loro un modello di premio per email e CC nel loro manager. Il loro valore è quello di poter fare riferimento a questo articolo nelle recensioni e nelle discussioni con i dirigenti.

Descrivi cosa è considerato un problema di sicurezza e cosa non provare a filtrare il rumore.

Aggiungi un altro livello a questo con un sistema di ricompensa: ogni mese o trimestre fornisce una consapevolezza a coloro che hanno segnalato problemi di sicurezza. Basare il numero di giornalisti dei giornalisti, la gravità del rapporto di emissione o a caso. Assicurati che le comunicazioni vadano a livello di azienda o di dipartimento per il vincitore del trimestre e del mese + di quanto hanno ricevuto come ricompensa.

Idealmente, quello che stai cercando di fare è creare campioni di sicurezza in azienda, in modo che non solo riportino problemi, ma influenzino quelli che li circondano per farlo.

    
risposta data 02.10.2018 - 00:18
fonte
3

Nella mia esperienza, gli utenti non segnalano problemi di sicurezza a causa di un paio di motivi:

  1. A loro non importa o non crede che non sia il loro lavoro
  2. Non capiscono il possibile impatto di una vulnerabilità della sicurezza e quindi lo lasciano
  3. Hanno paura di esporre la loro negligenza in determinate situazioni

Per combattere i motivi sopra esposti, potresti provare due cose:

  • Corso di sensibilizzazione sulla sicurezza
  • Programmi di bontà, anonimi o di altro tipo

Ho coperto un incidente di una società che inviava le informazioni della carta di credito via e-mail attraverso la loro rete interna. Dopo che sono stati violati, ho intervistato i dipendenti per ottenere maggiori informazioni su quando hanno iniziato questo processo di condivisione di dati sensibili via email. I dipendenti mi hanno detto una data e poi il 75% di loro, senza che me lo chiedessi, mi ha detto che pensavano che fosse sempre una cattiva idea. Quindi la domanda è rimasta, perché non hai detto niente?

Era principalmente a causa dei numeri 2 e 3 sopra. È necessario chiarire che l'obiettivo della sicurezza è migliorare la postura generale dell'organizzazione. Sottolinea l'importanza che gli utenti non sono il problema, ma la cattiva cultura della sicurezza deve cambiare nel suo complesso. Questo alla fine è responsabilità e problemi del management.

    
risposta data 29.09.2018 - 16:07
fonte
1

Ciò di cui hai bisogno è sviluppare una cultura che rilevi problemi di sicurezza e risponda ad essa.

Un modo semplice per ottenere la palla rotante è gestendo lo sfondo dei desktop dei computer della tua organizzazione, in modo che mostrino nuovi argomenti di sicurezza ogni uno o due giorni. Quando l'utente esegue il login e attende il completamento del login, lo sfondo apparirà mostrando un'infografica ben progettata su un problema di sicurezza che non è difficile da comprendere per l'utente medio.

A tempo puoi iniziare a trovare nuovi modi per sviluppare questa cultura come workshop, sistema di premiazione, ecc ...

    
risposta data 08.10.2018 - 07:06
fonte

Leggi altre domande sui tag