Warum kommunizieren Firmen den Mitarbeitern ihre IT-Security- und Überwachungsmassnahmen nicht? Haben Firmen etwas zu verheimlichen? Wird die Privatsphäre der Mitarbeiter stetig verletzt?
Misstrauen
Wenn ein neuer Mitarbeiter seine Stelle antritt, durchläuft er häufig einen Einarbeitungsprozess. Er wird von seinen neuen Kollegen eingearbeitet, erhält oft on-the-fly Einführungen für die intern eingesetzte Software und muss die Firmenrichtlinien lesen und unterzeichnen. Jedoch wird kein Wort über die eingesetzten IT-Security- und Überwachungsmassnahmen der Firma verloren. In den Firmenrichtlinien steht nur, was der Mitarbeiter nicht darf. Mit der Zeit kommt beim Mitarbeiter ein Misstrauen auf, denn er weiss ja, dass die Firma Ihre IT-Infrastruktur schützen muss und dies auch tut. Aber er weiss nicht wie weit die interne IT geht um die Mitarbeiter zu überwachen.
Dann fragt sich der Mitarbeiter:
- Wird mein Browserverlauf geloggt und analysiert?
- Wird analysiert wie viele nicht-geschäftsrelevante Mails ich versende?
- Was wird sonst noch aufgezeichnet und evtl. ausgewertet?
Diese Ungewissheit schafft Misstrauen und wird das Mail- und Surfverhalten des Mitarbeiters, sowie sein Verhältnis zur Firma zwangsweise beeinflussen.
Transparenz schafft Vertrauen
Was verliert die Firma, wenn sie ihre IT-Security- und Überwachungsmassnamen seinen Mitarbeitern transparent kommuniziert?
Viele würden jetzt sagen: «Dieses Wissen könnte ein Mitarbeiter extern weiterleiten, was dann für gezielte Angriffe missbraucht werden könnte.»
Der Mitarbeiter muss nicht wissen, welche IPS Signaturen man auf dem Gateway einsetzt oder ob und wie die Firma ihr Netzwerk segmentiert hat. Somit kann dies auch nicht für einen gezielten Angriff missbraucht werden. Viel wichtiger ist meiner Ansicht nach, dass der Mitarbeiter seine Privatsphäre beschützt wissen darf. Und dass der Mitarbeiter weiss, dass er zwischendurch seine News Webseite aufrufen darf ohne dadurch eine negative Beurteilung zu erhalten.
Für den Mitarbeiter ist wichtig zu wissen:
- Was wird wie geloggt?
- Werden die Logs um der Privatsphäre willen anonymisiert?
- Unter welchen Umständen werden die Logs analysiert?
- Werde ich, als Mitarbeiter, darüber informiert?
- Welchen ethischen IT-Grundsätze unterstellt sich die Firma?
Wenn die Firma dem Mitarbeiter gegenüber die eigene IT-Security und Überwachungsmassnahmen offen und transparent kommuniziert, schafft dies der IT, dem Vorgesetzten sowie der Firma gegenüber Vertrauen – es ist ein Gewinn für alle!
Tabu-Thema
Ich glaube dies ist in den Firmen immer noch ein grosses «Tabu-Thema». Wie transparent wird bei deiner Firma die IT-Security- und Überwachungsmassnahmen kommuniziert und welche Auswirkungen hast du schon erlebt?
Schreibe deine Erlebnisse, damit dieses Tabu gebrochen werden kann!
Der Beitrag Geheime IT-Security erschien zuerst auf Tec-Bite.