Cosa devo fare per un utente che si comporta male?

26

Cosa devo fare per questo utente? L'utente è:

  • Download di pornografia
  • Tentativo di accesso non autorizzato
  • Esecuzione di software di hacking
  • Invio di e-mail indesiderate
  • Installazione del software / manomissione del sistema
  • eccetera

Questa è una risposta generica per problemi comportamentali dei dipendenti, come puoi aiutarmi con la mia domanda di licenza software?

Ho potuto vedere dove i problemi di utilizzo accettabile sono un po 'fuori portata per SF, tuttavia è una di quelle cose che la maggior parte degli amministratori di sistema si imbatterà. Non voglio continuare a riscrivere risposte simili.

security  users 
Tim Brigham
fonte
21
Dal mio punto di vista, fintanto che l'impiegato è produttivo e non disturba gli altri (non ascolta il porno con i suoi altoparlanti ad alto volume), non c'è nulla di male fatto, non farei mai del mio meglio per denunciare qualcuno del genere . Condanno fortemente il tipo di "lavoro felpato" di ambienti lavorativi con forti politiche "morali". Siamo tutti umani. Ho visto posti in cui Internet è quasi completamente bloccato, semplicemente terribile.
ToastMan,
1
@timbrigham È bello avere un altro amministratore di sistema d'accordo con me :-) Non sopporto i tipi "stick-up-the-ass" :-( (A proposito, se usano software di hacking, è una storia completamente diversa, in quel caso dovresti crocifiggere l'utente, è in contatto con la tua rete, è un
nish
17
@ToastMan Questo non si adatta davvero alla tua precedente dichiarazione. Che ne dici di un dipendente che è produttivo, non infastidisce gli altri e sembra che stia eseguendo una botnet dalla propria workstation? Se non stanno consumando la larghezza di banda in modo dannoso, si conformano al tuo test, ma stanno mettendo l'azienda in grave rischio legale. Le politiche sull'uso accettabile non riguardano solo la pornografia e la moralità.
Shane Madden
6
@ToastMan i problemi "morali" e di produttività sono solo una parte di esso. Il sito porno contiene spesso malware. Software non autorizzato e strumenti di hacking spesso compromettono la stabilità dei sistemi e / o della rete e potrebbero lasciare una backdoor o rendere il sistema vulnerabile agli attacchi. Questo tipo di comportamento è anche una preoccupazione per la sicurezza e mette la società in grande pericolo, indipendentemente dal fatto che il dipendente sia produttivo o infastidisca gli altri.
BZink,
8
È anche un rischio per l'azienda per motivi di molestie sessuali.
Ceejayoz,

Risposte:

31

Quando si tratta di questo, la maggior parte di noi è solo un amministratore di sistema.

Potremmo essere noi a individuare comportamenti scorretti e persino a volte chiamati a risolvere situazioni. Non è nostro compito sorvegliare o far rispettare il comportamento dei dipendenti.

Detto questo, avere strumenti forti a disposizione della tua azienda per affrontare i problemi comportamentali quando si presentano è fondamentale. Una volta che si verifica una violazione della politica, si tratta di una domanda relativa alle risorse umane su come gestirla. Fornisci loro la tua documentazione e lascia che facciano le loro cose. Attendi di fornire loro tutto il supporto tecnico necessario.

Se ti trovi nella situazione in cui la tua azienda non ha un AUP o necessita di revisione, questo riepilogo riflette molte ricerche. Dovrebbe fornirti alcune indicazioni per iniziare.

Un buon AUP dovrebbe coprire i seguenti argomenti.

  • Un utente per ID / password - se qualcuno utilizza il tuo account sei responsabile.
  • Una posizione per ogni password: non utilizzare la password di lavoro all'esterno.
  • Gestione dei dati personali / riservati riservati
  • Gestione dei supporti (CD, chiavetta USB, ecc.)
  • Quali informazioni possono essere trasferite ea chi
  • Blocco della sessione: lo schermo si blocca in modo che l'account non possa essere utilizzato in modo improprio.
  • Monitoraggio per e-mail, utilizzo del file system, accesso al web
  • Uso personale dei sistemi aziendali
  • Violazioni legali (copyright, tentativi di hacking, ecc.)
  • Tentativi di bypassare i controlli di sicurezza interni
  • Modalità di risposta alle violazioni, fino alla risoluzione e alle azioni legali incluse

MODIFICA - come sottolinea DKNUCKLES, è necessario seguire la catena di comando standard per questi problemi. Solo perché avrei dovuto portarli direttamente al capo delle risorse umane non significa che è quello che fa la tua organizzazione.

Tim Brigham
fonte
21

Sì ... perché il download di porno è sicuro al 100%. L'esecuzione di programmi come metasploit non bloccherà mai un server. Perché l'invio di e-mail indesiderate non farà sorgere dubbi sulla reputazione e gli standard dell'azienda. E poiché l'installazione di software sconosciuti, di terze parti non sarà mai dannosa o causerà problemi di sicurezza.

IMO, se fossi nei tuoi panni vorrei che quella persona se ne fosse andata. Cosa succede dopo che vengono beccati per qualcosa e poi sei nel campo di applicazione ora a causa del "Perché non l'hai segnalato?" aspetto. Ora sembra che tu non possa fare il tuo lavoro. A meno che tu non lavori per Vivid Entertainment, direi che l'inaccettabile barriera è stata superata molto tempo fa.

ZazenSec
fonte
14
+1, ma potresti voler alzare un po 'il livello del sarcasmo.
giovedì
9

Penso che fintanto che le azioni non hanno un impatto diretto sulla capacità di mantenere la rete / connettività, questo non è un problema da risolvere per un amministratore di sistema. Come indica l'altra risposta, si tratta di un problema di risorse umane (o alcuni di questi).

Detto questo, credo che il gioco cambi leggermente se, ad esempio:

  • L'invio di posta indesiderata da parte dell'utente può causare l'accodamento della posta sul server di posta in uscita
  • la posta indesiderata, consegnata tramite il tuo SMTPd, fa sì che il tuo SMTPd sia inserito nella lista nera, costringendoti a seguire i movimenti di "accattonaggio" di perdono dai vari siti SBL
  • I tentativi di hacking portano alla violazione degli avvisi AUP del tuo provider di link o, peggio ancora, causano attacchi di ritorsione che mettono in ginocchio la tua rete.
  • eccetera...

Questi sono casi in cui l'abuso di risorse di questo utente ha un impatto diretto sul tuo lavoro, il che significa che puoi quantificarlo come una perdita misurabile di denaro per il tuo datore di lavoro quando calcoli quanti sforzi da te o dal tuo team sono necessari per mantenere le sue abitudini. In questo caso, dovresti fare qualcosa al riguardo prima di finire per diventare la persona resa responsabile di questo e "pagarlo".

sandroid
fonte
3

Mentre i suggerimenti di AUP sono fantastici, è anche importante che il reparto IT ottenga dal reparto risorse umane un chiaro elenco delle funzioni, come ciò che deve essere segnalato, a chi e quando. Quindi, quando busti il ​​capo per infrangere le regole, puoi fare riferimento alla politica a cui sei obbligato. Avere questo nella descrizione del lavoro o nella politica ti toglie l'onere di essere il tattletale: se sei legalmente tenuto a segnalare problemi, non puoi essere accusato di farlo solo perché non ti piace qualcuno. Se vieni licenziato per segnalazione, potresti essere in grado di sporgere denuncia per illecito se la polizza richiede la segnalazione. Se non si tratta di una politica, è possibile che non si faccia ricorso.

Jonathan J
fonte
2

Se sei un Amministratore di sistema, spetta a te informare le parti interessate in merito alle attività in corso. Alla fine della giornata, è la TUA rete e tu sei il responsabile della sua manutenzione e ottimizzazione. Penso che nel caso di cose come materiale per adulti, puoi chiudere un occhio. Voglio dire, tutti abbiamo cose migliori da fare che condannare qualcuno per quello. Forse una cortesia professionale che dice qualcosa del tipo "Non mi interessa, ma la direzione potrebbe non pensarci". Ora, se il traffico è illegale o dannoso per la tua rete, allora questa è un'altra storia.

Se ti imbatti in questo comportamento e non lo segnali , sii pronto ad affrontare le seguenti domande che ti chiedono perché non hai avvisato nessuno; dire che non lo sapevi, è davvero brutto per te. Dopo tutto, è tuo compito mantenere quella rete e quei sistemi.

Concordo sul fatto che Timbringham abbia l'idea giusta con l'AUP. Detto questo, portalo al tuo superiore e chiedi loro quale dovrebbe essere il prossimo corso d'azione. Probabilmente vorranno una sorta di documentazione e prova che si è verificata l'attività di violazione illegale / AUP, quindi preparatevi a fornire loro registri / schermate / qualunque cosa. Indipendentemente da ciò che dice l'AUP, le persone dovrebbero avere abbastanza buon senso da sapere che non dovrebbero fare cose inappropriate sulle reti aziendali.

DKNUCKLES
fonte
6
"LA TUA rete", davvero? Sembra che un certo numero di amministratori di sistema spesso pensano che la rete sia la loro: non lo è, è la società (o quella dell'istituzione).
Bruno,
5
@bruno Semantics. Penso che sia abbastanza chiaro che non intendo che possiedi la rete, ma piuttosto è una tua responsabilità. Pensi che la gente dica "Dove sono i documenti che la società possiede?" quando non riescono a trovare le loro cose o "dove sono i miei documenti?"
DKNUCKLES,
1
@DKNUCKLES - buon punto sulla catena di comando. Aggiornerò la mia risposta per riflettere di conseguenza.
Tim Brigham,
1

Dal momento che sei responsabile dell'integrità della rete (beh, suppongo che quella parte), solleverei questo problema con i dirigenti in base a questi punti

  • Tentativo di accesso non autorizzato
  • Esecuzione di software di hacking
  • Invio di e-mail indesiderate

Giocare a "questo potrebbe portarci a problemi legali" (leggi questo potrebbe costare soldi alla compagnia).

Quindi, quando chiedi di indagare un po 'di più, puoi sollevare la questione della pornografia ... che dovrebbe inchiodarla.

alex
fonte
1

Lo stai solo aiutando, sottolineando alcuni problemi seri !!! Influisce sulla produttività e sembra che la sua mente vaga. Vorrei fare una chiacchierata informale e fargli sapere ... che non va bene, se vuole guardare il porno può farlo a casa sua. L'esecuzione di software di hacking sta causando più mal di testa e disturbando gli altri anche quando si inviano e-mail indesiderate.

Non c'è bisogno di prenderlo con l'alta direzione, perché dovrebbe conoscere il suo errore e che gli hai dato la possibilità di controllarsi.

Questo è totalmente sbagliato ----- ironico Sto pubblicando questo dal mio ufficio!

s3rv3r
fonte
1

Download di pornografia: basta dirgli faccia a faccia per smettere di farlo. digli che se vuole farlo, procurati una rete wireless cellulare per farlo e non usare la rete aziendale.

Tentativo di accesso non autorizzato - niente di male nel provare. fondamentalmente sta esponendo problemi nella rete che l'amministratore di sistema non ha rilevato.

Esecuzione di software di hacking - va bene anche questo. ci possono essere motivi legittimi per farlo, il più comune dei quali è "l'esperienza di apprendimento". forse questo dipendente vuole davvero capire meglio il suo ambiente.

Invio di e-mail indesiderate: rendere pubblico il registro e-mail in modo che tutti gli utenti dell'azienda possano vedere chi invia e-mail a quale indirizzo. puoi farlo con uno script bash cron.weekly job se sei un amministratore di sistema con un po 'di abilità.

Installazione di software / manomissione del sistema: rimuovi il loro account o riduci i loro privilegi sul sistema senza dirlo. se hanno bisogno di accesso, lasciali chiedere.

djangofan
fonte
4
Esecuzione di software di hacking - va bene anche questo. ci possono essere motivi legittimi per farlo - non se non è stato concordato dal proprietario dell'azienda e l'amministratore di sistema notificato, non può esserci. La rete è uno strumento di business, non una zona di fuoco libera per i venditori che desiderano essere in quell'articolo cablato sugli hacker che hanno letto il mese scorso e scaricato alcuni script t0t @ lly k3wl, e l'amministratore di sistema è responsabile della manutenzione e del funzionamento della rete.
Rob Moir,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.