Sicherheit gegen Beziehungen. Was Leser tun würden, wenn die Sicherheit verletzt wird.

  • Edward Hensley
  • 0
  • 1228
  • 332

Neulich habe ich einen Blogeintrag gepostet, in dem die Leser gefragt wurden, wie sie auf ein reales Sicherheitsproblem reagieren würden, und fünf Optionen vorgestellt. Kurz gesagt drehte sich das Szenario um das Versagen eines Endbenutzers, eine Liste von Kennwörtern zu sichern, die für den Zugriff auf das ERP-System eines Unternehmens verwendet werden könnten. Die Passwortliste lag unübersehbar auf dem Schreibtisch der Person. Die fünf Optionen, die ich vorgestellt habe, waren: Was würden Sie tun??

  • 1. Finden Sie die Person und weisen Sie auf die Torheit hin, eine Passwortliste offen zu lassen.
  • 2. Suchen Sie den Manager der Person und weisen Sie auf den Fehler hin.
  • 3. Gehen Sie in das Büro der Person und legen Sie die Liste in eine Schublade oder unter etwas anderes und senden Sie der Person eine E-Mail-Nachricht, in der Sie darauf hinweisen, dass Sie diesen Schritt ausgeführt haben.
  • 4. Gehen Sie in das Büro der Person, nehmen Sie die Liste und machen Sie sie zum CIO für weitere Aktionen.
  • 5. Etwas anderes. Was würden Sie tun?

Die Leser von TechRepublic haben uns nicht enttäuscht! Es gab eine Vielzahl von Ansichten, wie mit dieser besonderen Situation umgegangen werden sollte. Ich werde einige der Ansichten in diesem Beitrag vorstellen und Ihnen dann erläutern, wie ich mit dieser besonderen Situation in meinem eigenen Shop umgegangen bin.

Sicherheit übertrifft alle

Nicht wenige Leser gaben an, dass die Sicherheit im Umgang mit solchen Situationen alle Trümpfe hat. Ein Leser gab an, dass er das Passwort des Benutzers sofort ändern und den Vorgesetzten der Person auffordern würde, das Passwort zurückzusetzen. Ein anderer gab an, dass die Kennwortliste sofort ohne Benachrichtigung des Benutzers gelöscht werden würde. In einem dritten Kommentar wurde darauf hingewiesen, dass jeder IT-Mitarbeiter Teil des gesamten Sicherheitsteams ist, und dass jeder IT-Mitarbeiter befugt sein sollte, das Büro der Person zu betreten und die verletzenden Informationen zu entfernen. Leser Boris der Kühne wies darauf hin, dass er an einem Ort arbeitet, an dem eine Freigabe erforderlich ist. Er wies darauf hin, dass es in seiner Situation keine Fehlerquellen gebe.

Es wurde auch darauf hingewiesen, dass die IT-Abteilung oder das Sicherheitsbüro oder was auch immer sich in dieser Organisation befindet, letztendlich dafür verantwortlich ist, wenn infolge dieses Verstoßes etwas passiert. Am Ende des Tages könnte der Benutzer über die Invasion des Weltraums verärgert sein, aber die Sicherheit wird enger und die Person wird über die verletzten Gefühle hinwegkommen.

Nicht so schnell…

Eine Reihe anderer Leser verfolgte einen etwas anderen Takt. Reader Rabs wies darauf hin, dass die geeignete Aktion tatsächlich von einer Reihe von Faktoren abhängt, darunter, welche Zugriffsebene die Anmeldeinformationen bieten und ob das Unternehmen über eine formelle Sicherheitsrichtlinie verfügt. Er gab auch an, dass er zuerst die Zeitung umdrehen würde, bevor er die verantwortliche Person fand und sich privat unterhielt. Für eine zweite Straftat ging Rabs zum Manager der Person, um die Schwere der Straftat zu erklären. Benutzer Glenn Martin stimmte zu, bezog jedoch den Manager der Person in das erste Gespräch ein und änderte anschließend die betroffenen Passwörter.

Michael Kassner, ein anderer TechRepublic-Leser, wies darauf hin, dass die Person, die den Vorfall bearbeitet, zunächst den organisatorischen Rang der Person berücksichtigen sollte, deren Raum sie betritt. Wenn das Büro Ihres CEO im Allgemeinen gesperrt ist, wird er wahrscheinlich nicht erfreut sein, wenn er darüber informiert wird, dass die IT-Abteilung etwas von seinem Schreibtisch entfernt hat, ohne ihn darüber zu informieren. Ob die IT dabei richtig lag oder nicht, spielt wahrscheinlich keine Rolle!

Der TechRepublic-Leser Saigman ging das Problem mit Bedacht an. Anstatt einfach etwas zu unternehmen, drehte er das Papier um und schrieb darauf, dass die Informationen gesichert werden sollten. Gleichzeitig würde er eine Liste der Ausweise auf dem Papier erhalten und sicherstellen, dass sie nicht verwendet worden waren. Wenn dies der Fall wäre, würde er den Sicherheitsbeauftragten auf die Liste hinweisen, um weitere Maßnahmen und forensische Untersuchungen durchzuführen und sicherzustellen, dass die Informationen nicht kompromittiert werden.

Tony Hopkinson hat es jedoch geschafft. Seine Lösung: "Gib mir eine verdammt gute Ohrfeige, weil ich eine Situation geschaffen habe, in der der Typ seine Passwörter aufschreiben musste."

Meine Gedanken

Ich sage Ihnen gleich zu Beginn, dass ich nicht geneigt bin, bei einer ersten Straftat einen schweren Schlag abzugeben. Einige der, wie ein Leser es ausdrückte, aggressiveren oder härteren Lösungen, die vorgeschlagen wurden, würden mich daher nicht ansprechen, es sei denn, ich befände mich in einem Umfeld, das dies unbedingt verlangte. Ich bevorzuge einen Ansatz, der versteht, dass jeder Mensch ist, zumindest bei einem ersten Vergehen. Es ist wichtig, die Moral der Mitarbeiter im gesamten Unternehmen aufrechtzuerhalten, und ehrlich gesagt glaube ich nicht, dass der Rang eines "IT-Mitarbeiters" ausreicht, um drastische Maßnahmen zu ergreifen. Stattdessen würde ich bei einer ersten Straftat ein zurückhaltendes Gespräch mit der Person vorziehen. Danach ist es angebracht, weitere Disziplinarmaßnahmen zu ergreifen, wenn die Person das beleidigende Verhalten fortsetzt. Ich mag die Idee, einfach das Papier umzudrehen oder es in eine Schublade zu legen und die Person später zu finden. Wenn die Person nicht verfügbar ist, ist es angemessen, sich an ihren Vorgesetzten zu wenden.

Das soll nicht heißen, dass ich nicht der Meinung bin, dass Sicherheit wichtig ist. Im Gegenteil, ich stelle fest, dass mein Nacken im Falle einer größeren Verletzung in Gefahr ist. Unabhängig davon, ob es uns gefällt oder nicht, gilt die goldene Regel immer… für andere. Die Menschen verdienen zumindest einen gewissen Spielraum für ein erstes Vergehen. Wenn ich mich in einer äußerst sensiblen Umgebung befände, würden meine Gedanken anders sein. In jedem Fall ist das Ändern der möglicherweise verletzten Kennwörter ein guter Schritt.

Was ich getan habe

Genau dieser Situation bin ich in meiner Karriere als CIO buchstäblich zwei Wochen nach meinem Eintritt in diese Organisation begegnet. Eine meiner Mitarbeiterinnen brachte mir ein Stück Papier mit den angegebenen Passwörtern und teilte mir mit, dass sie dies einem anderen Mitarbeiter abgenommen hatte. Zu der Zeit sagte ich dem IT-Mitarbeiter, dass es unangemessen sei, Informationen aus dem Büro eines anderen Mitarbeiters zu entnehmen, ohne zumindest die Person oder den Vorgesetzten der Person zu finden. Wenn sie sich nicht sicher war, wie sie mit der Situation umgehen sollte, zog ich es vor, mich zu engagieren, um eventuelle Spannungen abzubauen. Ich möchte einfach nicht, dass die IT als drakonisch oder irgendwie über den anderen Leuten in der Organisation steht.

Ich sprach persönlich mit der beleidigenden Nicht-IT-Mitarbeiterin über die Passwortliste und erklärte, warum dies eine schlechte Idee sei (ganz zu schweigen von den Richtlinien) und entschuldigte mich auch dafür, dass sie etwas von ihrem Schreibtisch genommen hatte. Seitdem haben wir weitere Änderungen vorgenommen, die die Notwendigkeit solcher Listen zunichte machen.

Ein paar Monate später forderten mich drei meiner Mitarbeiter zu dieser Entscheidung auf und sagten: "Die IT sollte in Bezug auf die Sicherheit in der Lage sein, alles zu tun, was sie wollen." Mir wurde auch gesagt, dass "das Führungsteam es verdammt noch mal besser machen sollte, was die IT von ihnen verlangt, wenn es um Sicherheit geht." Dies wurde mir in fast genau diesen Worten gesagt. Entschuldigung ... wir sind Teil der Gesamtorganisation. Wir sind ein Zahnrad, das das Geschäft zum Laufen bringt. Es gibt einen Punkt, an dem Sicherheitsanstrengungen zu mehr werden. Etwas, bei dem es nicht unbedingt um Sicherheit geht, sondern um Macht, und hier zeichne ich die Grenze. Wie ich bereits sagte, erfordern einige Situationen ein Höchstmaß an Disziplinarmaßnahmen für eine erste Straftat. Hier muss für jeden Umstand ein Urteil gefällt werden.

Sollte dieser Mitarbeiter erneut gegen diese Richtlinie verstoßen, würde ich die Situation jedoch anders handhaben. Wie gesagt, jeder hat eine Chance verdient, wenn die Umgebung es zulässt. Für eine zweite Straftat würde ich den Manager der Person einbeziehen und möglicherweise weitere Disziplinarmaßnahmen ergreifen.

Haben Sie andere reale Situationen, die für eine interessante Diskussion sorgen könnten? Schreiben Sie mir und wir werden die Details ausarbeiten!




Bisher hat noch niemand einen Kommentar zu diesem Artikel abgegeben.

Tipps, nützliche Informationen und Neuigkeiten aus der Welt der Technik!
Nützliche Informationen und die neuesten technologischen Nachrichten aus der ganzen Welt. Videoüberprüfungen von Handys, Tablets und Computern.