La conducta profesional cuestionable puede ocurrir en cualquier departamento, y la TI no es una excepción. Siga estos consejos para reducir el abuso de poder que a veces puede ocurrir en el campo de la tecnología.
Cómo superar la resistencia de los empleados a las nuevas políticas de ciberseguridadLa implementación de una nueva práctica de seguridad puede ser difícil para los empleados. Merritt Maxim, de Forrester Research, ofrece algunos consejos sobre cómo los líderes pueden mejorar la adopción de estos esfuerzos.
Como un gran aficionado a las películas de Marvel, siempre me hizo cosquillas el comentario hecho por la Viuda Negra al Capitán América en «Los Vengadores» sobre el héroe nórdico Thor y su hermano adoptivo Loki: «Estos tipos provienen de la leyenda, Capitán. Son básicamente dioses».
La cita me atrajo como profesional de TI, ya que parece que acumulamos varias habilidades divinas para hacer nuestro trabajo, como el acceso ilimitado al sistema o físico, los derechos de administrador, y la capacidad de realizar o quitar cosas como servidores o software. Es humillante ser un usuario final sin estos poderes especiales, puedo atestiguar.
Más para CXOs
Otra cita de Marvel viene de las películas de Spiderman:»Con gran poder viene gran responsabilidad.» A veces el gran poder se utiliza de forma irresponsable en TI. Ahora, tengo tanto sentido del humor como el siguiente tipo, y entiendo que algunos negocios graciosos en el lugar de trabajo pueden levantar la moral cuando siguen siendo de buen gusto y apropiados (piense en memes o bromas sin importancia.
Sin embargo, cuando se cruza la línea de comportamiento irresponsable, el profesionalismo y la productividad -por no mencionar la confianza- pueden verse afectados negativamente. Aquí hay cinco ejemplos de cómo cruzar la línea y lo que la gerencia puede y debe hacer al respecto.
1. Chistes prácticos
Los chistes prácticos que usan computadoras son probablemente el chanchullo de TI más popular en la oficina. El Internet está repleto de consejos sobre cómo engañar a los compañeros de trabajo cuyos sistemas usted tiene poder sobre ellos. Desde cambiar el fondo de pantalla de su escritorio a algo confuso o inapropiado, reproducir sonidos groseros en sus altavoces o sabotear dispositivos o sistemas de otro modo, las bromas prácticas pueden ser un impedimento importante para el empleado objetivo, especialmente si el grupo al que necesitan acudir en busca de ayuda es el que las está causando.
A menudo, los chistes se realizan utilizando credenciales administrativas por parte del delincuente para acceder al sistema de destino. Para restringir este tipo de actividad, se necesitan políticas y monitoreo. El sitio hermano de ConsejoTecnologico.com, Tech Pro Research, tiene una política de uso aceptable que puede definir para qué sistemas se van a utilizar – y que puede especificar que el acceso inapropiado para fines no comerciales es una acción sujeta a disciplina.
Por supuesto, esto significa que tiene que haber una manera de conocer este tipo de actividad, por lo que una solución centralizada de registro y alerta como Splunk puede ayudar a conseguirlo. A menudo, cuando otro usuario accede a un sistema Windows, hay un evento correspondiente en los registros locales que se puede enlazar con una alerta que notifica al personal correspondiente. La alerta se puede adaptar para que sólo se apague si el usuario inicia sesión en un sistema que no sea el suyo propio.
¿Y si el «personal adecuado» que recibe las alertas es el mismo que está haciendo la broma? Si usted es el jefe, asegúrese de que la alerta lo incluya a usted (y/o a la seguridad) y haga un seguimiento de dichas alertas para determinar el motivo de la misma. A veces, el simple hecho de saber que dicha alerta existe disuadirá el comportamiento negativo.
2. Uso inapropiado de los privilegios de acceso
El personal de TI a menudo tiene acceso a todo el espacio de oficinas para poder diagnosticar o reparar los sistemas o proporcionar acceso a aquellos que lo hacen. Lo mismo se aplica si tiene privilegios de administrador de dominio/acceso a la raíz.
Esto puede convertirse en una pesadilla si los administradores de sistemas «se vuelven corruptos» y acceden a información confidencial o personal propiedad de otros que no es relevante para su trabajo. También pueden iniciar sesión con otras cuentas para hacerse pasar por usuarios o cubrir sus huellas (la eliminación de registros de eventos o del sistema es otro problema potencial.
Una vez más, el registro de eventos y las alertas tanto para el sistema como para el acceso físico (por ejemplo, cuando se introduce el centro de datos) pueden ayudar aquí, pero si está a cargo de recibir e interpretar estas alertas, es posible que se encuentre inundado, especialmente si los administradores simplemente están haciendo su trabajo restaurando un archivo confidencial para las finanzas, por ejemplo, y luego abriéndolo para confirmar que tiene los datos correctos.
Aquí es donde un sistema de tickets dedicado para rastrear todas las solicitudes de trabajo puede ser útil. Si un ticket coincide con el archivo que se está restaurando en el ejemplo anterior, usted sabe que era legítimo. Sin embargo, si no hay un boleto correspondiente, una investigación puede estar en orden.
También puede ser útil utilizar políticas estándar en este escenario, como una política de seguridad de la información o de seguridad de la red.
VER: 10 malos hábitos que los profesionales de la ciberseguridad deben romper (ConsejoTecnologico.com)
3. Uso indebido de los medios de comunicación social
El peligro de los medios sociales es que siempre están presentes y disponibles y la gente los utiliza de manera consistente durante el día o la noche, lo que significa que el material inapropiado o confidencial relacionado con la empresa puede terminar en Twitter, Facebook, Instagram o cualquier otro medio público.
Esto puede ser algo tan relativamente inocuo como publicar una foto de una cerveza en la oficina, o puede involucrar un mensaje que se refiera a actividades de la compañía que no deberían ser discutidas públicamente, como tratar con ciertos usuarios problemáticos y referirse despectivamente a su comportamiento, hacer comentarios negativos acerca de las reglas o regulaciones de la organización o compartir detalles acerca de los sistemas de la compañía o los ajustes de seguridad que podrían ser utilizados para intenciones maliciosas.
Una política de medios sociales puede definir qué acciones deben tomar los empleados en tal situación y qué temas o áreas deben evitar.
4. Redefiniendo la realidad
Esta no es necesariamente endémica de la TI por sí sola, pero puede ocurrir en varios campos. Esto se refiere a tergiversar las cosas que han ocurrido para exagerar o revisar la historia.
Por ejemplo, podría implicar afirmar que se necesitaron cuatro horas para arreglar un servidor cuando en realidad se necesitó una hora y las otras tres se pasaron jugando al futbolín. A un nuevo jefe se le podría decir que «nuestro antiguo jefe solía llevarnos a beber todos los viernes a la hora feliz en el bar de abajo» cuando no existía tal hábito. Un empleado podría tener una insignia de compañero de trabajo para que el acceso muestre que estaba presente en el trabajo, cuando en realidad está durmiendo en casa. La lista continúa.
Como jefe, no siempre se pueden detectar todas las declaraciones deshonestas – puedo decir que sería muy difícil disputar el reclamo de reparación de cuatro horas frente a una hora, ya que no hay dos trabajos de reparación que vayan en la misma dirección. Pero ciertamente usted puede reducir el riesgo de estos cuentos altos con conceptos tales como un manual del empleado (que podría ayudar a verificar si la historia de»tomar bebidas los viernes» es legítima), así como las políticas que involucran el uso de insignias, el seguimiento del tiempo de trabajo, las pautas de asistencia, etcétera.
VER: Política corporativa de juegos de azar (Tech Pro Research)
5. Descanso en el trabajo
Cuando se trabaja en TI y se puede controlar quién accede a qué en Internet, es posible convertir la inactividad en una forma de arte. Mientras que los servidores proxy pueden bloquear al usuario medio de salir a la web para visitar sitios web de entretenimiento o de juegos, cualquier profesional de TI que se precie podría eludir tales bloqueos en un momento dado.
Seré claro y diré que unos pocos momentos de recreación en el trabajo no deberían ser un problema siempre y cuando no implique demasiado tiempo ni material inapropiado. Los empleados a menudo necesitan un poco de tiempo para relajarse y redescubrir su enfoque, siempre y cuando cumplan con sus obligaciones laborales.
El problema surge cuando los profesionales de TI se excusan de las mismas restricciones que se aplican a los usuarios. La justicia exige que esas restricciones se apliquen de manera generalizada.
VER: Consejos de gestión del tiempo para profesionales de la tecnología (PDF gratuito) (ConsejoTecnologico.com)
Para combatir este problema, revise regularmente las configuraciones y los registros del servidor proxy/enrutador, configure alertas si se realizan cambios (cuando corresponda) e implemente una política de uso de acceso a Internet para dictar un acceso en línea aceptable y especificar las consecuencias por no cumplir con las directrices de la empresa.
Boletín informativo para ejecutivos
Descubra los secretos del éxito del liderazgo en TI con estos consejos sobre gestión de proyectos, presupuestos y cómo enfrentarse a los retos del día a día. Entregado los martes y jueves
Inscríbase hoy