J'aimerais savoir comment vous incitez les employés à signaler les incidents. Les rapports d'incident sont un élément clé d'un SMSI. Pas de rapports = Pas de découverte de l'incident = Les choses à fort risque deviennent incontrôlables.
Nous avons une sorte de jeu: les gens peuvent se donner des cartons rouges pour les petits incidents. Les cartes leur disent de signaler l'incident, mais les gens ne le veulent pas. Je peux imaginer que nous devons utiliser un système de récompense (se concentrer sur le positif) pour obliger les gens à signaler et faire de leur mieux pour limiter les incidents, mais comment?
Le système de notification fonctionne actuellement comme suit: la personne B.A. voit que la personne A.B ne verrouille pas son ordinateur. Il doit ensuite (devrait) remettre un carton rouge à la personne, prend une photo et l'envoie à l'adresse e-mail incident @ company avec le nom de la personne par la poste. Le courrier est envoyé à l'équipe InfoSec (pas seulement aux informaticiens) qui l'a ensuite mis dans le système.
Maintenant, personne n'envoie ces e-mails. Je vérifie pour obtenir suffisamment de rapports pour l'audit, mais cela signifie que les gens ne feront pas de rapport parce que je le ferai. J'ai arrêté de vérifier pendant un mois, puis le nombre est tombé à 1/4 du mois précédent. J'ai recommencé à vérifier et ça a immédiatement augmenté ...
Que faire?
-Edit-note importante:
Je suis étudiante, je fais cela comme stage. Je suis un étudiant en gestion d'ingénierie, nouveau dans ce domaine lorsque j'ai commencé il y a 3 mois, aucune connaissance informatique. La société est une société informatique en Bulgarie. Maintenant 200 employés, 100 l'année dernière. Maintenant, tout change très vite, bien sûr. Ce n'est pas ainsi que cela devrait être, mais c'est ainsi. Veuillez prendre ces éléments en considération lorsque vous répondez. Les commentaires sont les bienvenus, mais dites-moi comment
Bien sûr, personne ne veut signaler, ils "livrent" leurs pairs. En outre, le temps et la complexité nécessaires pour passer par le processus de rapport que vous avez décrit constituent un autre renforcement négatif. Vous n'obtiendrez une faible conformité que si tout est négatif.
Et ... VOUS NE POUVEZ PAS FORCER LES GENS À FAIRE QUOI QUE CE SOIT !!
Vous abordez le problème à l'envers. Tu dois:
Au lieu de punir les stations non verrouillées, récompensez les personnes qui verrouillées leurs stations! Félicitez-les publiquement, offrez-leur un chocolat. Tout ce qui fonctionne pour ce bureau/cette culture locale.
Votre objectif, pour le moment, est de collecter des mesures pour vos rapports d'incident. Je pense que c'est également à l'envers. Le verrouillage d'une station est un comportement. Ne pas verrouiller une station n'est pas un incident (c'est un événement, au mieux). Vous n'obtiendrez jamais de mesures précises, donc je ne sais pas pourquoi ce serait un objectif.
Je sais que c'est un énorme changement mental, mais il y a une grande différence entre un acte intentionnel d'omission ou de commision (ne pas faire ou faire quelque chose) pour violer la politique (un incident) et l'inattention et l'inertie qui se traduisent par la non-conformité . Vous ne pouvez pas confondre les deux. La non-conformité est un problème de comportement qui doit être traité (et suivi) différemment.
Pour répondre directement à votre question, afin d'amener les gens à faire des choses, vous devez répondre à 3 facteurs:
Ils doivent vouloir le faire, cela doit être facile à faire, et le déclencheur pour quand ils sont censés le faire doit être clair (le modèle Fogg ).
Gratter un nez qui démange a une forte motivation, c'est facile à faire et la démangeaison est son propre déclencheur. Donc, tout le monde le fait de manière fiable.
Signaler votre homologue pour ne pas avoir verrouillé un poste de travail a une faible motivation (même si vous l'avez récompensé pour le signalement), le processus est complexe et le déclencheur n'est pas aussi clair. Quand juge-t-on qu'il y a non-conformité? Doit-on regarder tout le temps? Et si l'autre utilisateur s'éloignait et était à portée de vue de son poste de travail? Que se passe-t-il si l'utilisateur "surveille" le poste de travail pour s'assurer qu'il n'y a pas d'accès non autorisé?
Vous êtes simplement du mauvais côté du modèle Fogg. Adressez-vous à ces 3 facteurs et vous pourrez bénéficier d'une conformité élevée.
Encourager vos employés à se virer les uns les autres en envoyant des documents de mauvaise conduite mineure à une adresse e-mail centralisée est une idée terrible pour le climat de travail. Personne ne le fait parce que personne ne veut que ses collègues les détestent et que personne ne veuille construire un environnement de travail régi par une culture de dénonciation. La résistance à votre processus n'est pas seulement compréhensible, elle est parfaitement justifiée.
Pour ce cas précis d'application du verrouillage des postes de travail, je recommanderais un processus automatisé. Configurez tous les clients pour accéder à un économiseur d'écran sans surveillance pendant un certain temps et demander à l'utilisateur de se réauthentifier lors de la fermeture de l'économiseur d'écran. C'est une configuration prise en charge par tous les systèmes d'exploitation auxquels je pouvais penser. Le verrouillage, le déverrouillage et l'accès à l'économiseur d'écran sont tous des événements que vous devriez pouvoir enregistrer. Si les postes de travail de certaines personnes passent fréquemment à l'économiseur d'écran lorsqu'ils sont connectés et qu'ils ne se déverrouillent pas très peu de temps après, ils ont probablement quitté leur bureau sans verrouiller leur poste de travail. Vous pouvez enregistrer cela comme un incident de sécurité très (très! (TRÈS !!)) mineur. Vous ne devez également agir sur ces incidents que lorsqu'ils se produisent très fréquemment pour des utilisateurs spécifiques. Gardez à l'esprit qu'il existe d'autres raisons à cela, par exemple lorsque l'utilisateur a été impliqué dans une discussion plus longue avec quelqu'un alors qu'il était toujours assis devant son poste de travail.
Pour les incidents de sécurité plus graves (compromission de mots de passe, perte de jetons de sécurité, configuration de systèmes non sécurisés), vous devez encourager l'auto-dénonciation. "Confessez vos péchés, et vous recevrez l'absolution". Promettez que quiconque a causé un tel incident et le signale de manière appropriée et en temps opportun sera pardonné pour ses conséquences, tandis que ceux qui tentent de cacher leurs erreurs de sécurité ne le seront pas.
Je trouve intéressant de parler à celui qui a jamais pensé que c'était un bon moyen d'obtenir des résultats.
Le stimulus est extrêmement négatif. Vous demandez aux gens de vexer leurs collègues. Ils doivent le faire à la vue des autres collègues (prendre des photos). Vous vous méfiez clairement du contrevenant de "s'approprier" et du vif d'or de signaler honnêtement, car vous avez besoin de preuves tangibles: une photographie. Où dans ce scénario un individu en tire-t-il quelque chose de positif?
Inversez-le. Former tout le personnel aux risques de sécurité. Les cours en ligne sont faciles. Concentrez-vous sur un bon comportement. Comptez les postes de travail verrouillés au déjeuner. Et le plus important: récompenser les équipes. L'équipe avec le plus grand nombre de postes de travail verrouillés obtient une récompense. Gardez un score public. Récompensez l'équipe chaque semaine. Laissez les individus en dehors. Vous voulez que l'équipe corrige les membres de son équipe.
Dernier: Round bonus. Faites le tour et demandez aux équipes de compter combien de fois elles ont dit à un collègue de verrouiller leur PC. Récompensez cette équipe; et récompenser l'équipe qui dit qu'elle verrouille sans qu'on le lui dise.
Récompenses publiques, scores ouverts, pas d'individus.
Cela commence par leadership .
Dans mon contrat actuel, pour une organisation de près de 30 000 employés et sous-traitants, je suis presque la seule personne qui porte son badge d'identité avec photo. Tout le monde le porte, avec une lanière attachée, dans sa poche ou son sac à main, et se glisse maladroitement jusqu'aux portes pour y accéder.
Lors de mon stage précédent, tout le monde portait sa carte d'identité avec photo autour du cou, en tout temps; la conformité dépassait 99%. Et lors des présentations semestrielles de la direction aux employés, sept événements totalisent plus de 3,5 ans, chaque présentateur, du président et chef de la direction jusqu'à portait leur photo-id bien en vue autour de leur cou sur scène.
Tant que la direction et d'autres personnes privilégiées seront en situation de non-conformité, vos employés le seront également.
La réponse de @ schroeder est bonne, mais il manque un des énormes problèmes de sécurité. Au lieu de motiver les gens à faire la bonne chose, changez la chose pour que le comportement souhaité soit le comportement par défaut, ou du moins l'action la plus simple possible.
Pour le problème consistant à obliger les gens à verrouiller leurs postes de travail lorsqu'ils partent, vous pouvez trouver une application qui verrouille la machine lorsque le Bluetooth de leur téléphone est hors de portée. BtProx est une application open source qui est sur SourceForge depuis plus d'une décennie (je me souviens avoir joué avec quelque chose comme ça au début des années 2000).
De même, il y a 15 ans, j'ai acheté une petite paire de dongles radio où j'ai gardé l'émetteur sur mon trousseau et branché le récepteur sur l'USB de ma machine. Lorsque je me suis éloigné de plus de 10 pieds de la machine, l'agent logiciel l'a verrouillée. (C'était un excellent concept, mais l'agent logiciel avec lequel il est venu était horrible, et il n'a jamais fait son chemin.)
Si la disposition de votre immeuble de bureaux le prend en charge, une autre façon pourrait être de les connecter en insérant une carte à puce dans leur poste de travail au lieu d'exiger un mot de passe (les cartes à puce sont vraiment pratiques pour cela), et d'utiliser le même support de carte à puce (avec RFID) pour l'accès aux portes. S'ils ont besoin de leur carte à puce pour retourner dans le bureau après avoir utilisé les toilettes, les gens se formeront rapidement pour garder leurs cartes avec eux.
Ou peut-être existe-t-il un système de reconnaissance faciale qui verrouille la machine instantanément lorsque vous n'y êtes pas face et la déverrouille instantanément lorsque vous revenez en arrière. Apple propose déjà cela sur les téléphones; Je serais surpris s'il n'existait pas pour les postes de travail.
Et il ne fait aucun doute que d'autres solutions rendraient automatique le verrouillage du poste de travail.
Si vous devez former/punir/récompenser des personnes pour améliorer la sécurité, cela signifie que votre système de sécurité n'est pas optimal. Prenez cela comme un signe que vous devriez chercher un moyen d'améliorer la convivialité du système.
Je suis d'accord avec toutes les autres réponses: vous n'obtiendrez jamais la conformité avec votre système actuel. Il n'y a aucune incitation pour les gens à participer au signalement de leurs pairs, et être signalé n'est pas la meilleure motivation pour garder votre écran verrouillé de toute façon. Vous devez abandonner ce plan.
Certains commentaires vous ont suggéré de commencer à envoyer des e-mails à partir d'ordinateurs déverrouillés vous proposant d'acheter tout le petit-déjeuner du bureau. D'autres ont dit que c'était une mauvaise idée, car cela mettrait les gens vraiment en colère. Je suis d'accord qu'il est probable que cela se retourne contre vous si vous le faites à une victime sans méfiance, mais je pense qu'il existe un moyen ( pour faire en sorte que cela fonctionne.
Obtenez une grosse perruque (comme votre PDG ou quelqu'un comme ça) pour jouer avec prétendant qu'ils ont laissé leur ordinateur déverrouillé, et quelqu'un d'autre a envoyé un petit-déjeuner "je vais acheter tout le monde vendredi", e-mail. Demandez-leur de l'envoyer eux-mêmes, puis de le suivre un peu plus tard avec quelque chose comme: "Oups! J'ai oublié de verrouiller mon ordinateur quand je me suis levé, et [le chef de la sécurité ou qui que ce soit] a envoyé cet e-mail pour me donner une leçon. Je suppose que je devrai apporter des beignets vendredi pour tout le monde. C'est une chance que ce soit le pire qui se soit produit, quand [une autre menace réelle et sérieuse, comme "les pirates informatiques aimeraient voler notre base de données de cartes de crédit"]. Je sais que j'ai appris ma leçon, et j'espère que vous aussi, vous aussi. "
Cela sert à plusieurs fins:
Cela montre que les dirigeants sont tenus responsables et qu'ils sont sérieux au sujet de la politique
Cela démontre qu'il existe de réels risques associés au fait de laisser votre ordinateur déverrouillé, au lieu d'un vague boogeyman
Cela donne aux gens une raison de parler de la politique de manière positive (ils penseront probablement que c'est hilarant)
En bonus, vous pouvez maintenant vous promener périodiquement dans le bureau et rechercher des ordinateurs déverrouillés et sans surveillance, et y coller une note autocollante qui dit "Vous devez vraiment vouloir acheter les beignets du bureau entier! =)" C'est une conséquence qui n'est pas trop embarrassant, mais il rappelle aux gens les dangers. Pour les récidivistes, vous pouvez escalader en changeant leur papier peint pour être une boîte de beignets et des choses comme ça. J'espère que les gens se regrouperont et verrouilleront les ordinateurs qu'ils voient sans surveillance et/ou se rappelleront doucement.
Pourquoi est-ce que je pense que cela fonctionnera? Peu de temps après avoir commencé mon travail, on m'a raconté l'histoire d'un collègue qui aimait envoyer des courriels à partir d'ordinateurs déverrouillés proposant d'acheter le déjeuner de tout le monde. Je ne suis pas convaincu que ce soit vrai, mais cela m'a donné l'habitude de verrouiller mon ordinateur portable. Je peux également répéter l'anecdote lorsque je vois d'autres nouvelles recrues négliger de verrouiller leurs ordinateurs, et cela ne se présente pas comme une conférence. Je ne dénoncerais jamais mes collègues, mais je n'ai aucun scrupule à les "protéger" d'une "menace" à laquelle nous sommes tous deux confrontés.
En plus de cela, je vous recommande également de configurer tous les nouveaux ordinateurs pour qu'ils se verrouillent automatiquement après avoir été inactifs pendant environ cinq minutes. Peut-être aussi faire le tour du courrier électronique "beignets gratuits" et proposer de le mettre en place pour les gens, afin qu'ils "ne soient pas victimes de collègues sujettes aux farces". Il semble que vos employés protègent un peu leur ordinateur, alors rendez-le volontaire et faites-leur savoir qu'ils peuvent augmenter le délai avant le verrouillage s'ils le trouvent ennuyeux; le changement de configuration est purement pour leur commodité.
Vous n'obtiendrez jamais une conformité à 100%, mais ces étapes devraient vous mettre sur la voie d'améliorer votre culture et de rendre plus probable que les gens se soucient de la sécurité. C'est vraiment tout ce que vous pouvez faire sans déranger tout le monde.
Suivez le principe de "la lumière du soleil est le meilleur désinfectant" par opposition au principe de "punir les contrevenants pour soumission". Faites-en un jeu, pas un vif d'or.
Tout d'abord, qu'il n'y ait pas de répercussions sur les transgressions, afin que le "reportage" ne soit pas du "snitching". Préparez ensuite une récompense pour la personne ayant le plus de rapports. Peut-être que l'équipe INFOSEC traitera l'employé avec le plus grand nombre de rapports sur une pizza une fois par semaine.