Domanda:
Come posso convincere un team di sicurezza delle informazioni a vedere che le loro misure di sicurezza esagerate stanno solo diminuendo la sicurezza?
cypher
2020-08-11 01:17:56 UTC
view on stackexchange narkive permalink

Riepilogo: ho lavorato per una piccola startup, acquisita da una mega società. Le sue politiche di sicurezza IT sono eccessive, ma non aggiungono ulteriore sicurezza e mi impediscono di lavorare. Come posso cambiarlo?


Prima un po 'di contesto: la startup (chiamiamola Tinyco) per cui lavoravo è stata acquistata l'anno scorso da una grande (migliaia di persone) azienda tech oriented (chiamiamola it Megacorp per una più facile identificazione) con uffici in tutto il mondo. Conduco un team di sviluppo in detta azienda. Parte dei miei doveri quando eravamo ancora Tinyco includeva molto lavoro relativo alla sicurezza. & Sono esperto in tali argomenti, ma dalla vendita tali compiti sono stati delegati al team dedicato alla sicurezza delle informazioni di Megacorp. A causa della natura della mia posizione, sono ancora coinvolto in una minore capacità in questioni relative alla sicurezza.

Il problema è che il team di sicurezza delle informazioni di Megacorp sembra essere ossessionato dal fare due cose: dire no e limitare tutto ciò a cui non dicono di no a un livello che equivale a dire no. Ad esempio:

  • Dobbiamo utilizzare una soluzione single sign-on (SSO). Di per sé è una buona idea, ma il problema è che ci viene richiesto di utilizzare più soluzioni SSO. Per essere chiari, non esiste una ragione tecnologica per questo; si tratta semplicemente di più account sullo stesso provider SSO, ciascuno utilizzato in un luogo diverso.
    • Ciò nega tutti i vantaggi di sicurezza dell'SSO aumentando la complessità, il che significa che hai più password da tenere traccia e hai maggiori possibilità di dimenticarne uno / riutilizzarli / farne uno crack.
  • Il team di sicurezza delle informazioni rifiuta di fornire una capacità di reimpostazione della password self-service, richiedendo invece che la reimpostazione di tutte le password venga eseguita tramite ticket IT. Ignorano il fatto che l'apertura di un ticket IT richiede la password che è spesso quella che è necessario reimpostare, portando a un pollo e il problema dell'uovo abbastanza spesso viene risolto solo dopo che la persona che necessita della reimpostazione della password chiede al suo capo (o al capo del suo capo) per telefono e fargli lavorare la burocrazia dell'ufficio.
    • Di conseguenza, ora l'IT è abituato ad avere persone che richiedono la reimpostazione della password per altre persone, non una buona pratica di sicurezza.
  • Recentemente ci è stato detto che tutti i laptop da lavoro saranno configurati per richiedere l ' autenticazione a due fattori (il telefono dell'utente in questo caso) per effettuare il login. Ancora una volta suona come una buona idea, ma quando viene chiesto "cosa fai se il tuo telefono si rompe / smarrito / rubato e non riesci ad accedere al tuo laptop?" la loro risposta è "apri un ticket per questo". Quando gli viene chiesto di nuovo, assicurati che capiscano che non puoi aprire un ticket perché non puoi accedere senza il telefono e non puoi contattare nessuno per aprire un ticket di persona (a causa di COVID- 19, lavoriamo tutti da remoto) e non puoi chiamare nessuno (perché hai perso il telefono), la loro risposta è stata "ci abbiamo pensato molto" e si sono rifiutati di dire come un dipendente dovrebbe informarli del problema in quel caso.
    • Se il mio telefono viene rubato con i dati aziendali, non posso far sapere a nessuno che deve essere cancellato da remoto e non posso accedere al mio laptop per farlo da solo di conseguenza.
    • In più casi si sono rifiutati di apportare modifiche alla rete, ecc. per "motivi di sicurezza" anche se non potevano spiegare perché tali modifiche rappresentassero un rischio.
    • Questo ha semplicemente costretto tutti a procedere in modo indiretto che spesso è meno sicuro poiché il lavoro deve ancora essere svolto.
  • Ci sono molti altri casi. Questi sono solo alcuni esempi casuali fuori dalla mia testa.

Ho provato più volte a parlarne con il responsabile del team per la sicurezza delle informazioni, ma continua a dire che "ci viene richiesto da inserire qui lo standard di sicurezza casuale " anche se la maggior parte le cose che ho menzionato sopra (e gli ho parlato in tale discorso) non fanno parte di nessuno standard di sicurezza che ha menzionato.

Sono seriamente perplesso su cosa fare perché questo influisce negativamente il mio lavoro. Ho contato più di un'ora solo oggi occupandomi solo delle limitazioni relative alla sicurezza e non è insolito o raro, che è considerevolmente più di quello che era quando eravamo Tinyco e allo stesso tempo si sente notevolmente meno sicuro. Come posso farlo vedere al team di sicurezza delle informazioni?

I commenti non sono per discussioni estese;questa conversazione è stata [spostata in chat] (https://chat.stackexchange.com/rooms/111721/discussion-on-question-by-cypher-how-to-get-infosec-team-to-see-that-loro sopra).
Dieci risposte:
Dan Is Fiddling By Firelight
2020-08-11 01:32:59 UTC
view on stackexchange narkive permalink

A meno che tu non sia un alto dirigente, realisticamente non c'è nulla che tu possa fare per influenzare la politica di una mega società, e nemmeno le forze dell'ordine con cui puoi parlare possono cambiare nulla.

Sfortunatamente, le tue scelte consistono nell'accettare di convivere con qualunque BS abbiano in mente, o cercare un datore di lavoro meno dilbertesco.

Esperienze come quella che stai sopportando sono da una parte del motivo per cui molte persone lavorano quasi tutta la loro carriera in aziende di dimensioni simili. L'altra metà di quell'equazione sono le persone a cui piace il modo di fare le cose da grande azienda, non essere in grado di gestire il caos a ruota libera di una piccola azienda.

In effetti, e il cambiamento nella cultura è più sconvolgente per qualcuno che è abituato a lavorare in una startup con un forte atteggiamento just-do-it.La tua megacorp apprezza chiaramente l'obbedienza alla politica piuttosto che fare le cose;o impari a conviverci e diventi un altro acquirente di ordini fino a quando non sei arrivato in cima, oppure vai avanti.
+1.Questo è il motivo per cui le persone in fase di avvio spesso salvano dopo l'acquisizione.I grandi corpi comprano quelli piccoli perché fanno schifo e non innovano più.Ora sei su quel lato del muro.Calci contro alcuni di voi devono restare a causa delle manette d'oro, ma per il resto è un nuovo momento di avvio.
@mxyzplk-SEstopbeingevil sì.Ho lavorato in aziende di piccole e medie dimensioni e, sebbene in futuro sarei disposto a tornare a una di medie dimensioni, non credo che vorrei mai andare in una megacorp.
@mxyzplk-SEstopbeingevil hai così ragione sulle manette d'oro, avrei abbandonato molto tempo fa se non fosse stato molto vantaggioso dal punto di vista finanziario per me rimanere per qualche anno in più
Puoi riferire al tuo manager e lui al suo manager fino al CEO come il sistema di sicurezza ti sta costando tempo e fatica senza chiari vantaggi.
@Michael puoi anche urlare nel vuoto, e farà altrettanto bene.Se le politiche che il senior management ha messo in atto a favore di X rispetto a Y sono qualcosa che influisce su una grande parte della forza lavoro, il senior management è già a conoscenza e ha deciso che X è più importante per l'azienda di Y. Reclami da un nuovo assunto pressoil livello dirigenziale minion o junior non porterà a nulla a meno che tu non sia abbastanza persistente nel farli diventare etichettati come piantagrane.
@cypher "Riposo e gilet".Oppure, rubato da qualche commento qui che ho dimenticato, "pensavo che Dilbert fosse una satira. Ora so che è un documentario".
opzione 3: fai quello che vuoi per poter portare a termine il tuo lavoro.Avrai l'incontro occasionale con il tuo capo e un securi-drone infastidito, in cui spiegherai con calma le tue ragioni per aggirare le loro misure, magari ti darai uno schiaffo sul polso e poi proseguirai come eri.Finché sei più utile di quanto sei fastidioso, non ti licenzieranno.(fonte: la mia illustre 'carriera')
Dilbertesque è una parola che devo usare più spesso
Chris
2020-08-11 02:24:34 UTC
view on stackexchange narkive permalink

Ti stai lamentando con le persone sbagliate.

Provieni da una start-up, quindi presumo due cose:

  1. La tua azienda è stata acquistata, grazie alla competenza dei suoi dipendenti. Normalmente le start-up hanno pochissima manodopera rispetto a Megacorp. Quindi Megacorp potrebbe facilmente copiare il tuo prodotto in breve tempo, ma non lo fanno, perché sarebbero sempre un passo indietro.
  2. I dipendenti di grandi aziende pensano di sapere meglio, perché lavorano per una grande azienda e non l'hai fatto. Quindi la tua esperienza e i tuoi processi verranno ignorati.

Se stai cercando di portare il cambiamento dal basso verso l'alto, la tua cultura lavorativa si dissolverà nella burocrazia di Megacorp.

Segnala al tuo manager

Hai bisogno di supporto per proteggere il tuo modo di lavorare, quindi inoltra i problemi al tuo manager. Non parlare di noi contro loro, ma mostra chiaramente l'impatto. Nessun rivestimento di zucchero, nessun "posso farlo funzionare" o simili consentiti. Non sei in grado di risolvere il problema da solo.

Il caso migliore sarebbe se Megacorp acconsentisse a provare un nuovo approccio e adotti le tue idee. La seconda cosa migliore è che puoi guadagnare del tempo durante il quale puoi lavorare in modo indipendente finché "le cose non saranno sistemate".

Continua a premere

Non aspettarti modifiche immediate. L'approccio standard in Megacorp è quello di organizzare una riunione, discutere la questione, fare un piano e poi dimenticare tutto, perché hanno altri compiti ad alta priorità. Questo potrebbe creare l'opportunità di prendere l'iniziativa aiutando il dirigente ufficiale occupato.

Se vuoi davvero cambiare qualcosa, hai bisogno di resistenza. Quindi assicurati della tua motivazione, altrimenti potresti sentire in seguito di aver perso tempo.

QUESTO è esattamente come farlo.Spingilo alle persone che possono fare qualcosa al riguardo.Una volta che la direzione può $ come l'effetto $ della $ e politica $ sulle $ entrate $ tream, megacorp otterrà la me $$ età.In questo momento ci troviamo in una situazione simile.
Questo.In particolare, la cosa fondamentale qui è documentare l'effetto sulla linea di fondo: quante ore alla settimana vengono sprecate per questo.Gli altri aspetti (rendere le cose meno sicure piuttosto che più) sono molto, molto più difficili da spingere perché * nessuno * vuole che qualcuno al di fuori del proprio team gli dica che sta facendo male il proprio lavoro.Ma può essere inquadrato come una questione di gestione del rischio: il rischio (il dipendente perde il telefono, non può chiamare, non può accedere per dirlo a qualcuno) vale il vantaggio per la sicurezza (che è una loro decisione, non i PO).Quindi si entra nella * mitigazione * del rischio: assicurarsi che i dipendenti abbiano un numero di telefono ...
... quello * non è * solo sul telefono che possono chiamare dal telefono di qualcun altro per sollevare una bandiera sul telefono perso (e ottenere l'accesso al proprio laptop), probabilmente citando una sorta di PIN specifico per loromemorizzano.
@T.J.Crowder ricordi a memoria il numero di telefono del tuo capo in modo da poterlo chiamare in caso di smarrimento del telefono?Sono sicuro di no ... Lo tengo sul mio telefono con backup nel cloud accessibile dal mio laptop ... entrambi non potrò usare nel caso in cui il mio telefono venga perso / danneggiato / rubato
@cypher - No, non lo faccio;la maggior parte delle persone non lo fa.Questo è il motivo per cui ho detto che la mitigazione sarebbe * "assicurarsi che" * i dipendenti abbiano un numero * "che * non è * solo sul telefono" *.Perché le persone non lo faranno altrimenti.Alcuni reparti IT hanno un numero di telefono che appongono al laptop stesso per questo tipo di scopo, nonché lo scopo "si prega di chiamare se trovato".Il punto non è il meccanismo, è il fatto che è necessaria un'esplicita mitigazione del rischio.
L'escalation è la cosa chiave qui.A volte però sarà necessario aumentare di molti livelli per raggiungere una persona che ha l'autorità per affrontarlo.In quanto tali dettagli precisi sui rischi se le cose non vengono risolte e l'impatto della linea di fondo in dollari (o altra valuta locale) è importante durante l'escalation.
Sì, questa è la risposta.Sono stato anche in una situazione simile (anche se per fortuna non così assurda) nell'ultimo anno ed è così che è stato fatto.Se mi lamentassi con l'IT della megacorp non farebbe nulla.Io che spiego al presidente di tinyco perché le politiche x, yez mi impediscono di svolgere il mio lavoro e, quindi, lo sviluppo del prodotto redditizio aeb, d'altra parte, fa sospendere le politiche x, yez (aalmeno per noi) piuttosto rapidamente.
thieupepijn
2020-08-11 02:11:43 UTC
view on stackexchange narkive permalink

Quando compili i tuoi timesheet (perché ora lavori per big megacorp, presumo che tu debba farlo ora) assicurati di registrare tutte le ore in cui non stavi facendo alcun lavoro effettivo ma che eri impegnato con i problemi che hai menzionato. Certamente non risolverà i tuoi problemi immediatamente, ma se qualcosa viene effettivamente fatto con queste schede attività, forse qualcuno nella catena lo noterà e agirà.

Non credo che la maggior parte dei sistemi di schede attività consenta di utilizzare codici personalizzati, quindi, a meno che non si utilizzi un codice che non si dovrebbe utilizzare o si prenoti in eccesso su alcuni codici, è probabile che non venga notato.
Tinyco avrebbe potuto disporre di rapporti sul tempo libero (se non del tutto), ma megacorp quasi certamente ha codici temporali fissi senza tale flessibilità.
Dopo aver fatto ciò, è molto probabile che il tuo diretto superiore ti chieda di prenotare solo per codici approvati specifici, poiché i codici che stai prenotando non hanno un budget allegato.Il problema non verrà inoltrato a livelli superiori.Le schede attività sono sempre bugie e riflettono sempre il budget assegnato ai progetti, piuttosto che il lavoro effettivo svolto.
Le schede attività sono generalmente richieste per riflettere la "fatturazione" degli sforzi verso gli obiettivi, inclusi tutti i tipi di attività "generali" (riunioni, problemi tecnici, ecc.) Richieste.Non dovrebbero esserci cose come "tutte le ore in cui non hai svolto alcun lavoro effettivo" perché, ad esempio, se queste misure di "sicurezza" significano che ci sono volute quattro ore per fare un (quello che dovrebbe essere) un cambiamento di cinque minuti,quindi la scheda attività deve riflettere che il cambiamento "costa" quattro ore, queste ore erano il lavoro effettivo che dovevi fare per realizzare quel cambiamento.
Anthony
2020-08-11 08:54:30 UTC
view on stackexchange narkive permalink

Io stesso lavoro nella professione di cybersecurity da circa 7 anni. Concordo con te sul fatto che i controlli di sicurezza da te menzionati, come il Single Sign-On (SSO) e l'autenticazione a più fattori (MFA), sono una buona idea se implementati correttamente .

Vorrei iniziare riconoscendo che una protezione adeguata è fondamentale e che i controlli di sicurezza che hai citato sono una buona idea in teoria. Avvia la conversazione sugli argomenti dell'accordo - quello del "cosa". Questo dimostrerà che tu, come professionista della sicurezza, non sei contrario all'idea di un livello adeguato di sicurezza informatica. Dove sembra che tu non sia d'accordo, è il modo in cui questi controlli di sicurezza sono implementati”

Dato che sembri ricoprire un ruolo tecnico, ricorrerei alla tua esperienza tecnica per ottenere i cambiamenti desideri. Mostra loro come dovrebbe funzionare un provider SSO appropriato con i vari protocolli di identità (ad esempio: SAML). Mostra loro il possibile scenario di attacco in cui un attore di minacce, come un dipendente IT malintenzionato, può compromettere l'account di un altro utente e quindi impersonarlo, utilizzando l'attuale processo di reimpostazione della password non funzionante. In definitiva, vuoi che la direzione sia assolutamente chiara sul fatto che le tue preoccupazioni hanno conseguenze tangibili reali che hanno un impatto negativo sul tuo lavoro. Essere in grado di dimostrare che le tue preoccupazioni sono effettivamente realizzabili e non solo fantasiose è fondamentale.

Potresti anche essere in grado di dimostrare quelle conseguenze tangibili, se riesci a convincere la direzione a lasciarti "hackerare" il sistema."Passami il tuo laptop? Facciamo finta che fossi un impiegato malizioso che l'ha rubato."
Più vicino a me è stata un'e-mail che una volta ho inviato alla sicurezza aziendale dicendo "Ho ricevuto questa e-mail che dichiarava di provenire dalla sicurezza aziendale e che mi chiedeva di fare XXXX. Non sembra molto sicuro perché YYYY., o è stato da qualche hacker? E a proposito, per la prossima volta, come faccio a sapere che le email che affermano di provenire dalla sicurezza aziendale sono autentiche? ".
JazzmanJim
2020-08-11 01:58:39 UTC
view on stackexchange narkive permalink

Documenta tutto. Quanto tempo dedichi a "X" o "Y" o "Z". Metti tutto in termini di business: quanto tempo viene speso e quanto costa all'azienda.

Non sarai in grado di apportare modifiche rapide. Le grandi organizzazioni sono come una corazzata che impiega un'eternità per cambiare direzione.

wberry
2020-08-11 22:26:24 UTC
view on stackexchange narkive permalink

Stai scoprendo cosa vuol dire lavorare in una grande impresa. I problemi che descrivi continueranno fino a quando il dirigente che sovrintende al team di sicurezza e l'architetto di quel team, entrambi concordano sul fatto che c'è un problema, ottengono un progetto finanziato per risolvere il problema e sono in grado di implementare una soluzione nel corso di diversi mesi almeno.

Quindi abituati alla tua situazione, perché sarà così per un po ', non importa quanto tu abbia ragione. Nel frattempo, non farti male alle spalle di nessun altro. Sarebbe un ottimo modo per limitare le tue prospettive di promozione o anche di cambiamenti laterali di ruolo in MegaCorp.

Invece, trova una sfida che vuoi risolvere, che la direzione vuole che tu risolva e accetta quella sfida e seguilo. Le politiche di sicurezza sono solo una parte dell'ambiente in cui devi operare. Se ti causano problemi, assicurati che i tuoi stakeholder ne siano a conoscenza e come intendi lavorare con loro. E poi vai avanti.

Questi problemi non sono specifici delle grandi imprese, le startup possono e dovrebbero avere anche rigide procedure di reimpostazione della password, separazioni dei ruoli e la necessità di evitare l'autenticazione della password.
@eckes mentre le startup possono avere gli stessi problemi, lo spazio delle soluzioni fattibili e le possibilità di cambiamento organizzativo sono completamente differenti.In una piccola organizzazione dovresti essere in grado di discutere e correggere eventuali difetti nelle politiche che ti riguardano, spesso nelle grandi organizzazioni (a seconda del tuo ruolo nella gerarchia) non sarà possibile.
fraxinus
2020-08-11 16:28:41 UTC
view on stackexchange narkive permalink

Nella maggior parte dei casi, non puoi.

Queste persone "infosec" vengono pagate, elogiate e promosse per non avere violazioni riconducibili ai loro fallimenti.

Le violazioni in generale non sono un male per loro, fintanto che possono trasferire la colpa a qualcun altro. Inoltre, possono abusare della violazione per ottenere più budget e più potere.

Dimezzare (o peggio) la produttività di tutti gli altri non è un loro problema. La dirigenza superiore di solito giura di rinunciare alla prossima "misura di sicurezza" imposta a tutti e alleggerisce la politica per loro. Non vedono l'onere di rispettare tutto in una volta. L'impiegato ordinario non ha lo stesso lusso e la produttività risente dell'effetto rana bollita.

* "Le violazioni in generale non sono un male per loro, purché possano trasferire la colpa a qualcun altro." * - Mi chiedo se è per questo che il ragazzo di infosec al lavoro si è fulminato una volta quando gli ho inviato informazioni via e-mail dimostrando che la sicurezza dello statoi servizi avevano deprecato l'uso di password irragionevolmente complesse con modifiche costanti, che stava cercando di implementare, poiché riducevano la sicurezza e costringevano le persone a utilizzare modelli o scriverli.All'epoca la consideravo pura arroganza, ma col senno di poi forse è perché avevo messo a verbale e per iscritto qualcosa che gli avrebbe impedito di incolpare lo staff in seguito.
@Steve Questa è * ancora * arroganza;solo di un tipo diverso.
Old Nick
2020-08-11 19:14:49 UTC
view on stackexchange narkive permalink

Non fraintendermi, anch'io sono uno sviluppatore e ho lavorato anch'io in organizzazioni come questa ma hai poche possibilità di cambiare le cose (nella mia esperienza potresti essere in grado di apportare piccoli cambiamenti ma in generale, non sarai in grado di apportare modifiche fondamentali) quindi impara a conviverci o forse trova qualcos'altro di tuo gradimento.

Le grandi aziende tendono ad avere politiche di sicurezza restrittive perché le sanzioni finanziarie di sbagliare sono così gravi. Oltre alla minaccia di attacchi dannosi, a seconda del tuo settore specifico potrebbero esserci sanzioni normative estremamente pesanti per violazioni della sicurezza.

Le organizzazioni si preoccupano di fare soldi ed è preferibile interrompere il giorno di uno sviluppatore di software, diciamo di pagare un miliardo di dollari in ransomware.

In una megacorp in cui ho lavorato mi è stato detto che non potevamo passare da una soluzione di database ben nota ma inutilmente costosa e obsoleta a una più moderna open source perché "se veniamo citati in giudizio, un giudice si schiererà molto probabilmente connoi se usiamo X ma ci penalizziamo se usiamo Y "è stata la risposta che ho avuto.
chasly - reinstate Monica
2020-08-12 16:28:19 UTC
view on stackexchange narkive permalink

Credo nell'andare il più in alto possibile e verso la persona più benevola che riesci a trovare.

Fai attenzione quando usi l'email interna che qualcuno quasi certamente la sta monitorando. Vorrei avvicinarmi tramite l'AP della persona, con un semplice breve promemoria stampato che mostra il punto proposto che vuoi fare. Copialo alle persone richieste prima di inviarlo in modo da non andare alle loro spalle. Se obiettano, allora dì: "Guarda che è importante e non andremo da nessuna parte. A meno che qualcuno non si accorga che dovrò salire più in alto".

cosa potrei scrivere:

Caro VIP

Capisco che TinyCo sia stata rilevata a causa delle competenze che abbiamo insicurezza, tuttavia esiste un'area in cui questa competenza non lo è ancora completamente utilizzato.

In particolare, ci sono uno o due importanti requisiti di sicurezza che devono essere aggiornati per il mondo di oggi. Tuttavia mi sono imbattuto in regole legacy ereditate da MegaCorp che mi impediscono di portare avanti queste misure. Non solo migliorerebbero la sicurezza dei dati, ma risparmierebbero molto tempo e denaro a mio parere.

Mi chiedo se valuti la possibilità di mettermi in contatto con un esperto di Megacorpsecurity in modo che io possa presentare formalmente queste idee e noi può riferirti?

Cordiali saluti

cypher


Che cosa fa

Lo porta all'attenzione della persona importante senza creare alcun lavoro per loro .

L'unico esperto di sicurezza MegaCorp che conosceranno per nome lo farà essere il ragazzo / ragazza migliore. Tutto ciò che il VIP deve fare è inviare loro un messaggio dicendo: "Per favore, esaminalo e fai rapporto". Quindi è fuori dalla loro scrivania.

Avviso

Non devi mai bombardare il VIP con discorsi tecnici sui biglietti SSO o IT: probabilmente non hanno idea di cosa siano. Se hanno una mentalità tecnica, possono chiederti un riepilogo tecnico se lo desiderano.

Cosa potrebbe andare bene

  1. Potresti finire per accelerare notevolmente la tua carriera se i tuoi suggerimenti si rivelano per far risparmiare all'azienda un sacco di tempo e denaro sprecati. Il VIP ora conosce il tuo nome.

  2. Getta il seme nella mente del grande corpo che non sei un giovane lacchè ma che sei un pari le cui idee contano.

  3. Potrebbe persino portare le persone di MegaCorps a dover consultare te prima di procedere con qualsiasi novità.

Cosa potrebbe andare storto

Non credo ci siano molti rischi perché se il VIP ti ignora o dice semplicemente "Parla con il tuo capo immediato", non hai perso nulla. Se tuttavia il VIP è benevolo e intelligente e ti facilita, nessuno discuterà.

Disclaimer

Ogni azione o inazione ha rischi e conseguenze . Personalmente non penso che ci sia uno svantaggio nel mio suggerimento, ma devi soppesare i rischi per te stesso. Anni di frustrazione sono meglio che intraprendere un'azione leggermente rischiosa?

Pensieri casuali

Forse non usare un promemoria privato ma evita di andare oltre la testa di qualcuno dicendo loro che comunicherai direttamente al VIP perché al momento non ci sono progressi a causa delle regole . Di nuovo, se obiettano, dì "Ma questo è davvero importante e non andremo da nessuna parte". Se continuano a obiettare, allora prendi un alto livello morale: "Mi dispiace ma la situazione attuale sta costando tempo e denaro all'azienda. Non farei il mio dovere se non lo sfidassi. Non ho scelta" / p>

Non incolpare mai una persona o un dipartimento - Non stai cercando di mettere le persone nei guai. Definisci sempre i vantaggi e i miglioramenti che il tuo programma fornirà.

Fare questo è un tiro molto lungo, ma miglioreresti notevolmente quelle probabilità allegando un calcolo per il tempo e il denaro persi.Ad esempio, quante persone hanno bisogno di reimpostare la password, quanto tempo viene sprecato (persone incapaci di lavorare) ogni volta che è necessario e qual è il costo di quel tempo in ore ingegnere?
X X
2020-08-13 13:19:10 UTC
view on stackexchange narkive permalink

Preparati a parlare con i responsabili della gestione e della sicurezza.
Ma prima di tutto assicurati di parlare con tutti con la "lingua" che capiscono di più.

Talk "time e denaro "con la tua dirigenza superiore . Non parlare molto di come / perché è insicuro. Potrebbero non interessarsene. La direzione è più preoccupata di quanto tempo / denaro costa o quanto si perde - ed è così che dovresti parlare. Per prepararti, rispondi prima a queste domande.

  • Quanto tempo ci vuole da te al mese? (includi anche il tempo "bloccato")
  • Quanto tempo ci vuole dal team (o organizzazione) al mese ?
  • Quanto lavoro può essere fatto invece di esso? (ad es. attività, caratteristiche, story points)

Se il tempo / mese è molto piccolo, forse è meglio non farlo.
Ma se è notevolmente grande e / o blocca il team: fallo!
Assicurati di tradurre il tempo in unità di lavoro o denaro visibili, prima di parlare con i tuoi manager.
Ad esempio: i problemi sono visti da ogni membro del team una volta al mese. Ci vogliono 2-3 ore per risolvere il problema. Se il team ha 10 membri, ciò farebbe 20-30 ore al mese, ovvero 2-4 giorni lavorativi completi. Quindi può essere tradotto in:
"Il team perde 3 giorni lavorativi completi al mese per essere bloccato su questi problemi. "
" Possiamo implementare altre 5 funzioni con priorità più alta al mese se non abbiamo questi problemi. "

Parla" sicurezza "con i tuoi responsabili della sicurezza . Non parlare molto di quanto sia scomodo per te o per il tuo team. A loro forse non importa, la sicurezza non è questione di comodità. Sono preoccupati di quanto sia sicuro / insicuro, quanto meno (o nessun) lavoro dovrebbero fare per superarlo.

  • Annota i problemi. Quindi cerca ciascuno di essi e prepara le soluzioni (mentalmente o scritte) su come dovrebbe essere fatto. Devi avere una chiara rappresentazione di quali problemi vuoi risolvere e come possono essere risolti per avere conversazioni costruttive.
  • Stime. Se possibile, conta quanto tempo ci vorrà per implementare ciascuna correzione. Se possibile, consulta i compagni che sono bravi in ​​sicurezza (nella tua squadra o in altri corpi) Se il tempo di implementazione è poco, meno del tempo che ci vuole da te / team (al mese), usa questo punto nelle tue conversazioni . Assicurati che le stime siano realistiche. Potrebbe diventare un argomento decisivo.

Organizza riunioni . Parla con il manager, il team di sicurezza, quindi organizza un incontro con le parti coinvolte. Alla fine tutto si ridurrà a queste domande: "Quanto costerà?", "Ne vale la pena?", "Otterremo più valore aziendale se lo facciamo?". Sii pronto per queste domande. E se ne vale sicuramente la pena, la direzione inizierà a spingere il team di sicurezza dopo un po '.

Dopo tutto questo, avrai bisogno di pazienza. Preparati a eseguire i passaggi precedenti alcune volte. Inoltre,

  • Continua a contare le statistiche . Annota il tempo in cui tu (o i tuoi compagni di squadra) siete bloccati, nelle note e nei rapporti. Ne avrai bisogno nei tuoi prossimi colloqui. Non appena avrai "numeri" sufficienti, le tue proposte inizieranno a farsi notare. È possibile anche il contrario: potresti notare che dal punto di vista del business non vale il "costo" (a seconda del problema).
  • Non andare "contro", scegli "risolverlo" . Non usare accuse e lamentele distruttive. Tali atti sono visti come indicatori di incompetenza, non professionalità, possono avere un impatto negativo sulla tua carriera.
  • Continua a promuoverla - in modo coerente, costruttivo . Il cambiamento non avverrà il giorno successivo. Potrebbero volerci mesi a seconda delle dimensioni della tua azienda.

Alla fine, se avrai successo, sarà visto come un atto di leadership e avrà un impatto positivo sulla tua carriera. Non dimenticare di condividere i risultati in pochi mesi :)



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...