従業員にインシデントを報告させる方法を教えてください。インシデントレポートは、ISMSの重要な要素です。レポートなし=インシデントの発見なし=事態が制御不能になる可能性が高い。
私たちは一種のゲームを持っています:小さな出来事に対して人々はお互いにレッドカードを与えることができます。カードは彼らに事件を報告するように言います、しかし人々はそうしたくないです。インシデントを制限するために人々に報告し、最善を尽くさせるために報酬システム(ポジティブに焦点を当てる)を使用する必要があると想像できますが、どのようにですか?
レポートシステムは現在、次のように機能します。 A.Bが自分のコンピュータをロックしていないことがわかります。次に、その人にレッドカードを渡し(写真を撮って)、写真を撮って、その人の名前をメールに添付してインシデント@会社のメールに送信します。メールはInfoSecチームに送信され(IT担当者だけでなく)、システムに送信されます。
現在、誰もそれらの電子メールを送信していません。私は監査のために十分なレポートを取得するためにチェックしていますが、それは私がするので人々はレポートしないことを意味します。 1か月間チェックをやめたところ、前月の1/4になりました。もう一度調べ始めたらすぐに上がりました...
何をすべきか?
-重要な編集:
私は学生で、これをインターンシップとしてやっています。私はエンジニアリングマネジメントの学生で、3か月前にこの分野を始めたばかりで、ITの知識がありません。同社はブルガリアのIT企業です。現在、従業員は200人、昨年は100人です。もちろん、すべてが非常に急速に変化しています。それは本来あるべき姿ではなく、あるべき姿です。返信する際には、それらのことを考慮してください。フィードバックは大歓迎ですが、方法を教えてください
もちろん、誰も報告したくありません。彼らは仲間を「提出」しています。また、あなたが説明した報告プロセスを通過するのにかかる時間と複雑さは、もう一つの否定的な補強です。すべてがネガティブな場合にのみ、コンプライアンスが低くなります。
そして... あなたは何もすることを人々に強制することはできません!!
あなたは問題に逆戻りしています。必要がある:
ロックされていないステーションを罰する代わりに、ロックされたステーションにいる人に報酬を与えます!それらを公に称賛し、チョコレートを提供します。そのオフィス/地元の文化のために働くものは何でも。
現時点では、インシデントレポートのメトリックを収集することに重点を置いています。これも逆であると思います。ステーションのロックは動作です。ステーションをロックしないことはインシデントではありません(せいぜいイベントです)。正確なメトリックを取得することは決してないので、なぜこれが重要になるのかはわかりません。
私はそれが大きなメンタルシフトであることを知っていますが、ポリシー違反(インシデント)への意図的怠慢または不作為行為と、コンプライアンス違反となる不注意と慣性には大きな違いがあります。 2つを混同することはできません。非準拠は動作の問題であり、別の方法で処理(および追跡)する必要があります。
質問に直接回答するには、人々に物事を実行してもらうために、3つの要因に対処する必要があります。
彼らはそれをやりたいと思っていなければならず、それは簡単にできる必要があり、彼らがそうすることになっているときのトリガーは明確でなければなりません( Fogg Model )。
鼻のかゆみを掻くのは動機が高く、簡単にでき、かゆみはそれ自体が引き金になります。だから、誰もが確実にそれを行います。
ワークステーションをロックしないようにピアを報告することは動機付けが低く(たとえ報奨で報奨を与えたとしても)、プロセスは複雑であり、トリガーもそれほど明確ではありません。いつコンプライアンス違反があるとみなされますか?常に見ている必要がありますか?他のユーザーが離れて、自分のワークステーションの視界内にいた場合はどうなりますか?ユーザーがワークステーションを「見張り」、不正アクセスがないことを確認している場合はどうなりますか?
あなたは単にフォッグモデルの間違った側にいます。これら3つの要因に対処すると、高いコンプライアンスを体験できます。
マイナーな不正行為の文書を一元化された電子メールアドレスに送信することにより、従業員がお互いに密告することを奨励することは、職場環境にとってひどい考えです。誰も彼らの同僚を憎むことを望んでおらず、非難の文化に支配された職場環境を構築したくないので、誰もそれをしません。プロセスへの抵抗は、単に理解できるだけではなく、完全に正当化されます。
ワークステーションのロックを強制するこの特定のケースでは、自動プロセスをお勧めします。しばらくの間不在時にスクリーンセーバーに移動し、スクリーンセーバーを閉じるときにユーザーに再認証を要求するように、すべてのクライアントを構成します。これは、考えられるすべてのオペレーティングシステムでサポートされている構成です。ロック、ロック解除、スクリーンセーバーへの移動はすべて、ログに記録できるはずのイベントです。一部のユーザーのワークステーションがログイン中にスクリーンセーバーに頻繁にアクセスし、その後すぐにロックが解除されない場合、ワークステーションをロックせずにデスクを離れた可能性があります。これを非常に(非常に!(非常に!!))軽度のセキュリティインシデントとして登録できます。また、特定のユーザーに対して非常に頻繁に発生する場合にのみ、これらのインシデントに対処する必要があります。これが発生する理由は他にもあることに注意してください。たとえば、ユーザーがワークステーションの前に座ったまま誰かとの長いディスカッションに参加した場合などです。
より深刻なセキュリティインシデント(パスワードの侵害、セキュリティトークンの紛失、安全でないシステムのセットアップ)の場合は、自己告発を奨励する必要があります。 「あなたの罪を告白しなさい、そうすればあなたは赦しを受けるでしょう」。そのようなインシデントを引き起こし、適切かつタイムリーにそれを報告した人は誰でもその結果を許され、セキュリティの誤解を隠そうとする人は許されないと約束します。
これが結果を達成するための良い方法だと思ったことのある人と話すのは面白いと思います。
刺激は非常に否定的です。あなたは人々に彼らの同僚をつまむように頼みます。彼らは他の同僚の完全な視野でこれを行う必要があります(写真を撮る)。あなたは明確な証拠を必要とするので、犯罪者は「所有」する犯罪者と正直に報告するための密告者を明らかに信用しません:写真。このシナリオで、個人はどこからポジティブな結果を得ますか?
それを逆にします。すべてのスタッフをセキュリティリスクについてトレーニングします。オンラインコースは簡単です。良い行動に焦点を当てます。ランチ時にロックされたワークステーションを数えます。そして最も重要なのは、報酬チームです。ロックされたワークステーションの数が多いチームに報酬が与えられます。公開スコアを維持します。毎週チームに報酬を与えます。それから個人を残してください。あなたは、チームが彼らのチームメンバーを修正することを望みます。
最後:ボーナスラウンド。周りに行って、同僚にPCをロックするように言った回数を数えるようチームに依頼します。そのチームに報酬を与えます。言われることなくロックすると言ったチームに報酬を与えます。
パブリックリワード、オープンスコア、個人はありません。
リーダーシップで始まります。
私の現在の契約では、3万人近くの従業員と請負業者の組織のために、写真付きIDバッジを身に付けているのは私だけです。それ以外の人は、ストラップを付けてポケットやハンドバッグに入れて持ち運び、ドアに近づくと邪魔になってアクセスしやすくなります。
私の以前の配置では、誰もが常に写真IDカードを首にかけていました。コンプライアンスは99%を超えていました。そして、半年に一度の経営者による従業員へのプレゼンテーションでは、7つのイベントが3.5年にわたって合計されました社長とCEOからの1人の発表者全員が着用しましたステージ上で写真IDを首の周りに目立つように配置します。
経営陣、およびその他の特権のある個人が非準拠である限り、従業員も非準拠になります。
@schroederの答えは良いですが、セキュリティに関する大きな問題の1つを見逃しています。人々が正しいことをするように動機づけるのではなく、望ましい行動がデフォルトの行動になるように、または少なくとも最も簡単なアクションになるように、行動を変えます。
ユーザーが離れるときにワークステーションをロックする問題については、携帯電話のBluetoothが範囲外になるとマシンをロックするアプリを見つけることができます。 BtProxは、SourceForgeで10年以上使用されているオープンソースアプリです(2000年代の初めにこのようなもので遊んだことを覚えています)。
同様に、15年前に、トランスミッターをキーチェーンに取り付け、レシーバーをマシンのUSBに差し込んだ小さなラジオドングルペアを購入しました。マシンから10フィート以上離れたところで、ソフトウェアエージェントがそれをロックしました。 (それは素晴らしいコンセプトでしたが、付属のソフトウェアエージェントは恐ろしいものでした。
オフィスビルのレイアウトでサポートされている場合、別の方法として、パスワードを要求する代わりにスマートカードをワークステーションに挿入してログインし(スマートカードはそのために非常に便利です)、同じスマートカードメディア(組み込みRFID)ドアアクセス用。トイレを使用した後でスマートカードをオフィスエリアに戻す必要がある場合、人々は自分のカードを保持するようにすばやくトレーニングします。
あるいは、正面を向いていないときにマシンを即座にロックし、後ろを向くと即座にロックを解除する顔認識システムがあるかもしれません。 Appleはすでにこれを電話で提供しています。それがワークステーションに存在しなかったとしたら、私は驚きます。
そして、ワークステーションのロックを自動化する他のソリューションは間違いありません。
セキュリティを強化するために人々を訓練/罰/報酬を与えなければならない場合、それはあなたのセキュリティシステムが最適ではないことを意味します。システムの使いやすさを改善する方法を探す必要があるというサインとしてそれを考えてください。
他のすべての回答に同意します。現在のシステムに準拠することは決してありません。同僚の報告に参加するインセンティブはゼロであり、報告されていることは、とにかく画面をロックしておくための最良の動機ではありません。あなたはこの計画を捨てる必要があります。
一部のコメントは、オフィスの朝食全体を購入することを申し出ているロックされていないコンピューターからメールを送信し始めることを提案しました。他の人たちは、これは人々を本当に怒らせるので、これは悪い考えだと言いました。疑いを持たない被害者に対してそれを行うと、裏目に出る可能性が高いことに同意しますが、私はあなたがcanを機能させる方法があると思います。
大きなかつら(CEOまたはそのような人)に、コンピューターのロックが解除されたままのふりをして遊んでもらい、他の誰かが「金曜日に朝食をみんなで買うよ」とメールを送った。彼らにそれを自分で送信してもらい、少し後でフォローアップしてもらいます。たとえば、「おっと、起きたときにコンピューターをロックするのを忘れて、[セキュリティの責任者または誰か]がそのメールを送信してレッスンを教えてくれました。金曜日にみんなのためにドーナツを持っていかなければならないと思います。[ハッカーが私たちのクレジットカードデータベースを盗むのを好むなど、他の実際の深刻な脅威]が発生した場合、それは最悪の事態です。私の教訓、そして皆さんもそうだと思います。」
これには複数の目的があります。
それは、幹部が説明責任を負っていることを示しており、彼らはポリシーについて真剣であることを示しています
あいまいなブギーマンではなく、コンピューターをロック解除したままにすることに関連する実際のリスクがあることを示しています
それは人々に政策について前向きに話す理由を与えます(彼らはおそらくそれを陽気だと思うでしょう)
おまけとして、定期的にオフィスを歩き回って、ロックされていない無人のコンピューターを探し、「オフィス全体のドーナツを購入したいのですが!」という付箋を平手で打つことができます。恥ずかしいですが、それは人々に危険を思い出させます。犯罪者を繰り返す場合は、壁紙をドーナツの箱などに変更してエスカレーションできます。うまくいけば、人々は一緒にバンドを組んで、無人のコンピュータをロックしたり、お互いに穏やかなリマインダーを与えたりするでしょう。
なぜこれがうまくいくと思いますか?仕事を始めて間もなく、ロックされていないコンピューターからメールを送り、みんなで昼食を買うことを好む同僚の話を聞きました。私はそれが本当であるとは確信していませんが、ラップトップをロックする習慣を身につけました。コンピュータのロックについて他の新入社員がずさんになっているのを見て、それが講義として外れない場合にも、逸話を繰り返すことができます。私は同僚を報告することは決してしませんが、私たち2人が直面している「脅威」から彼らを「保護」することについての不安はありません。
これに加えて、5分ほどアイドル状態になった後、すべての新しいコンピューターを自動的にロックするように構成することもお勧めします。 「無料のドーナツ」メールの後に移動して、それを人々のために設定することを提案することもできます。そうすれば、彼らは「いたずら好きな同僚に犠牲にならないように」します。従業員は自分のコンピューターを少し保護しているように思えるので、自発的に作成し、迷惑を感じる場合はロックするまでの時間を延長できることを知らせてください。構成の変更は、単にそれらの便宜のためです。
100%コンプライアンスを取得することは決してありませんが、これらの手順により、文化を改善し、人々がセキュリティに関心を持つ可能性を高めるための道が開かれるはずです。本当にみんなを混乱させることなくできることはそれだけです。
「違反者を提出に処罰する」という原則とは対照的に、「日光は最高の消毒剤」という原則に従います。 スニッチではなくゲームにします。
まず第一に、違反についての反響がないようにして、「報告」が「つまらない」ことではないようにします。次に、レポートが最も多い人のために報酬を準備します。おそらく、INFOSECチームは、ピザへのレポートの数が最も多い従業員を週に1回扱います。