セキュリティを良いものだとユーザーに納得させるにはどうすればよいですか?
そのため、私は数か月前に小さな会社の上級ITマネージャーに就任しました。これまでは、「IT部門」は存在せず、「コンピューターを操作した」別の男しかいませんでした。この時点まで:ユーザーがいないWindowsワークグループからすべてが実行され、すべてが単一のLANサブネット上にあり(DMZなし、WiFiコントロールなし、VoIP優先度なし)、「ファイルサーバー」と「バックアップ」はWin7マシンでした。その中にRAIDカードがあり、全体がブロードキャストWINSで機能しました。
引き継いでから、実際のファイルサーバー、いくつかの基本的なネットワークセグメンテーション、VoIP転送、その他の基本的なものをセットアップしました。ユーザーは満足のいく電話の方が音が良く、ファイルがバックアップされ、より速く提供されるようです。今、難しい部分があります。
ドメインコントローラー(およびSDC)をセットアップし、内部のルックアップにDNS解決を使用するように全員をサイレントに移行しました-現在、ドメインでそれらすべてを取得する段階にあります。メリットは一目でわかります(集中管理、ユーザー管理など)。私はいくつかの「共有」デスクトップをセットアップし、ユーザーにログイン方法を示しましたが、以前よりも難しく/異なっていることについていくつかの反発を受けました(以前は、自動ログイン用のWindows管理者アカウントが1つあったことがありました) 。任意のコンピューターを使用したい人はただ座ったままです。他の誰かが自分のメールにログインしているか、明確に何かをしていてもかまいません)。なぜ私がこれをしているのかと尋ねると、私は次の答えを出し、次の応答を得ました。
- コンピューターにパスワードがない場合はどうなりますか?誰かがあなたのアカウントから厄介なメールを送信する可能性があります
なぜ誰かがそれをするのですか?
- 誰かがすべての設定をいじりたいですか?
私は現在パスワードを持っておらず、誰もそれをしていません
- 私はあなたが誰であるかを知る必要があるので、あなたはこれらのファイルにアクセスできるはずだと知っています
私はここで働いていますが、もちろんアクセスできるはずです!
- 私がこれを行うと、私たちがウイルスに感染し、あなたが私を責めることになった場合、それは私の責任になります
- 今のところ、ウイルスは感染していません。私たちのネットワークは安全でなければなりません。
- それは私のせいかもしれませんが、あなたはそれを修正する方法を知っているので、私は心配していません。
私の時代に会社全体にいくつかのロールアウトを行ったので、私はこれを予想し、未定のまま進んでいます。私は人々がそれを好まなくても、この値(ディレクトリのアクセス許可)を取得すると思います。私もいくつかの誘惑のペアリングを行うことにしました:ユーザーがドメインに移行されると、ユーザーはスラックチャネルとMS Officeの更新バージョンにアクセスできるようになります。
結局のところ、このステップはマイナーな煩わしさであるとみなされており、私が何をしても私とほとんど一緒に行くと思いますが、ユーザーが私がしていないことをしているとユーザーが見た場合、心配します彼らのように、または物事を奪うと、彼らは問題を見つけたとき、または「私の周りの方法を見つけて」彼らが望むことをしようとするとき、私に来るのをやめます。これらの種類の変更がユーザーの求めるものであることを、ユーザーから賛同を得るためにはどうすればよいですか?
PSのクイック編集-はい、ドッグフードを実行してテストを行いましたDC-私のインターンであり、ユーザーがそれが存在することに気づく前に2か月間使用していました。-これが少しトピックから外れている場合はお詫び-編集の提案は大歓迎です。
これ自体は「勝つ」ことはできません。ほとんどの人は、技術に対してせいぜい敵対的な態度しか持っていません。彼らは主に、推測作業、試行錯誤、そして幸運の健康な小ささで現在の理解を得て、それを知っています。どんな変化でも、それをもう一度繰り返すことを意味します。
そうは言っても、あなたが得る異議のほとんどはまったく無意味ではありません(ここでも、本当の異議は「新しいワークフローを学習するという苦しいプロセスを経験したくない」です)。 「誰もあなたの車や家に侵入したことがなかったとしても、ドアを閉めますか?」または「ここで働いたすべての人を完全に信頼し、プロになりすまそうとするつもりですか?」などなど.
本当の異論に移ります。
テクノロジーは、「とにかく人々はどれほど馬鹿なのか」という古くからのコメディーの質問にようやく答えました。決定的かつ複数の方法で複数のレベル(はい、私たちを含む!)単にログイン画面を追加するだけで、一部のユーザーを困らせることができます。そのため、コンピューターのトレーニングセッションでは、(特定の人にとって)非常に明白なことが行われます。組織の規模に応じて、トレーニングセッションを提供する必要があるか、または(可能であれば)ユーザーと1対1で新しい手順を検討するためにスタッフに座ってもらう必要があります。
thatであっても確かに人々を幸せにすることはできませんが、おそらくあなたは養子縁組を乗り越えるでしょう。
ロジックの議論に勝つのではなく、PHI/PIIに関するより高い「セキュリティのベストプラクティス」にアピールします。誰かがあなたの会社内でクレジットカードを取得する場合、ある程度の PCIコンプライアンス を遵守する必要があります。
私はこの「他の権限」のようなアプローチを利用して、会社がパスワードを持たないことで罰金を科される可能性があること、または誰かが夜間に簡単に侵入し、コンピューターを盗み、誰にでも電子メール、情報などを持っている可能性があることを説明します。
それが私であった(そして私がそこに行ったことがある)場合、「より大きく、より正当で、より洗練された環境に成長したい場合、これが私たちのやり方です」と「PCIコンプライアンスにはXが必要です。 、Y、Z。」この2番目のアプローチには注意してください。「より高い権限」をアピールすることは有益な場合がありますが、独自の意思決定のショートも販売せず、意図せずに独自の権限を放棄しないでください。
私はもう少しハッカーとリスク軽減者のようにも思います。たぶんあなたの質問のいくつかを言い換えることを検討してください:
コンピューターにパスワードがない場合はどうなりますか?誰かがあなたのアカウントから嫌なメールを送るだけかもしれません
誰かが侵入してコンピュータを盗み、今やあなたがあなたのコンピュータから送ったすべての電子メールをほぼ無限の力で他の人に電子メールを送り続けるとしたらどうでしょう?誰かが配偶者にメールを送信し、自分に属する実際のメールアドレスからルーティング/アカウント番号を要求することを考えてください。
誰かがすべての設定をいじりたいですか?
誰かにキーロガーを設定してもらいたいですか?
あなたが誰であるかを知る必要があるので、これらのファイルにアクセスできるはずです
侵害があった場合、攻撃者は可能な限り少ない量のファイルを取得したことを知っている必要があります。さらに、「 最小特権 」の原則は、ここではかなり自明です。
私がこれをするなら、私たちがウイルスに感染し、あなたが私を責めることになるなら、それは私の責任になります。
「非難」は組織では決して良いことではありません(私たちはすべて間違いを犯します)が、彼らが何か間違ったことを非難することに真剣に取り組んでいる場合、私の経験では、過去の管理は無理でした。非難は通常、組織内の不信関係の兆候ですが、それはまったく別の話です。ただし、あなたはITマネージャーであるため、いずれにせよウイルスの責任は自動的に負うので、はい、それはドメイン内のリスク/決定であり、あなたにはその呼び出しを行う権利があります-強制的に含めて、常に最後にオプション....しかし、まだオプションです。