Apa yang harus saya lakukan tentang pengguna yang “nakal”?

Apa yang harus saya lakukan terhadap pengguna ini? Pengguna adalah:

• Mengunduh pornografi
• Mencoba akses tidak sah
• Menjalankan perangkat lunak peretasan
• Mengirim email yang tidak diminta
• Menginstal perangkat lunak / merusak sistem
• dll

Ini dimaksudkan sebagai jawaban umum untuk masalah perilaku karyawan, ala. Bisakah Anda membantu saya dengan pertanyaan lisensi perangkat lunak saya?

Saya bisa melihat di mana masalah penggunaan yang dapat diterima adalah sentuhan di luar ruang lingkup untuk SF, namun itu adalah salah satu dari hal-hal yang sebagian besar sysadmin akan hadapi. Saya tidak ingin terus menulis jawaban yang serupa.

Ketika sampai pada hal itu sebagian besar dari kita hanyalah administrator sistem.

Kita mungkin adalah orang-orang yang menemukan perilaku buruk dan bahkan terkadang dipanggil untuk membantu menyelesaikan situasi. Bukan tugas kita untuk mengawasi atau menegakkan perilaku karyawan.

Yang dikatakan memiliki alat yang kuat di perusahaan Anda untuk mengatasi masalah perilaku saat mereka muncul sangat penting. Setelah pelanggaran kebijakan terjadi, ini adalah pertanyaan SDM tentang bagaimana menghadapinya. Berikan mereka dokumentasi Anda dan biarkan mereka melakukan hal mereka. Tunggu untuk memberikan dukungan teknis apa pun yang diperlukan.

Jika Anda berada dalam situasi bahwa perusahaan Anda tidak memiliki AUP atau perlu revisi, ringkasan ini mencerminkan banyak penelitian. Itu harus memberi Anda beberapa panduan dalam memulai.

AUP yang baik harus mencakup mata pelajaran berikut.

• Satu pengguna per ID / Kata Sandi - jika seseorang menggunakan akun Anda, Anda bertanggung jawab.
• Satu lokasi untuk setiap kata sandi - jangan gunakan kata sandi kantor Anda di luar.
• Penanganan data yang dapat diidentifikasi secara pribadi / rahasia
• Penanganan media (CD, stik USB, dll)
• Informasi apa yang dapat ditransfer dan kepada siapa
• Penguncian sesi - layar Anda terkunci sehingga akun Anda tidak dapat disalahgunakan.
• Pemantauan untuk email, pemanfaatan sistem file, akses web
• Penggunaan pribadi sistem bisnis
• Pelanggaran hukum (hak cipta, upaya peretasan, dll)
• Mencoba untuk melewati kontrol keamanan internal
• Bagaimana pelanggaran ditanggapi - sampai dan termasuk pemutusan hubungan kerja dan tindakan hukum

EDIT - seperti yang ditunjukkan DKNUCKLES, perlu mengikuti rantai komando standar untuk masalah ini. Hanya karena saya seharusnya membawa mereka langsung ke kepala SDM bukan berarti itu yang dilakukan organisasi Anda.

Ya ... karena mengunduh porno adalah 100% aman. Menjalankan program seperti metasploit tidak akan pernah merusak server. Karena mengirim email yang tidak diminta tidak akan menimbulkan pertanyaan tentang reputasi dan standar perusahaan. Dan karena menginstal tidak dikenal, perangkat lunak pihak ketiga tidak akan pernah berbahaya atau menyebabkan masalah keamanan.

IMO, jika aku ada di posisimu, aku ingin orang itu pergi. Apa yang terjadi di telepon ketika mereka tertangkap basah karena sesuatu dan kemudian Anda berada dalam ruang lingkup sekarang karena "Mengapa Anda tidak melaporkan ini?" aspek. Sekarang sepertinya Anda tidak dapat melakukan pekerjaan Anda. Kecuali Anda bekerja untuk Vivid Entertainment, saya akan mengatakan bahwa penghalang yang tidak dapat diterima sudah lama dilewati.

Saya pikir selama tindakan tidak memiliki dampak langsung pada kemampuan bagi Anda untuk mempertahankan jaringan / konektivitas, ini bukan masalah bagi sysadmin untuk menyelesaikannya. Seperti yang ditunjukkan oleh jawaban lain, ini adalah masalah SDM (atau semacamnya).

Yang sedang berkata, saya percaya bahwa permainan sedikit berubah jika, misalnya:

• Pengiriman surat yang tidak diminta oleh pengguna dapat menyebabkan antrian pada server surat keluar Anda
• surat yang tidak diminta, dikirim melalui SMTPd Anda menyebabkan SMTPd Anda masuk daftar hitam, membuat Anda harus melalui gerakan "memohon" pengampunan dari berbagai situs SBL
• Upaya peretasan menyebabkan pelanggaran pemberitahuan AUP dari penyedia tautan Anda, atau lebih buruk lagi, menyebabkan serangan pembalasan yang membuat jaringan Anda bertekuk lutut.
• dll ...

Ini adalah kasus-kasus di mana penyalahgunaan sumber daya pengguna ini memiliki dampak langsung pada pekerjaan Anda, yang berarti Anda dapat mengukur ini sebagai kehilangan uang yang dapat diukur bagi pemberi kerja Anda ketika Anda menghitung berapa banyak upaya dari Anda, atau tim Anda, diperlukan untuk mempertahankan kebiasaannya. Dalam hal ini, Anda harus melakukan sesuatu tentang hal ini sebelum akhirnya menjadi orang yang bertanggung jawab atas hal ini, dan Anda "membayar untuk itu."

Meskipun saran AUP sangat bagus, penting juga bagi departemen TI untuk mendapatkan dari departemen SDM pencacahan tugas yang jelas, seperti apa yang harus dilaporkan, kepada siapa, dan kapan. Jadi, ketika Anda melanggar bos karena melanggar aturan, Anda bisa merujuk ke kebijakan yang Anda terikat. Memiliki ini dalam uraian tugas atau kebijakan Anda menghilangkan dari Anda beban menjadi pengadu: jika Anda secara hukum terikat untuk melaporkan masalah, Anda tidak dapat dituduh melakukannya hanya karena Anda tidak menyukai seseorang. Jika Anda dipecat karena melaporkan, Anda mungkin dapat menuntut penghentian yang salah jika kebijakan menuntut Anda untuk melaporkan. Jika ini bukan kebijakan, Anda mungkin tidak memiliki jalan lain.

Jika Anda seorang SysAdmin, tanggung jawab ada pada Anda untuk memberi tahu pihak yang tepat tentang kegiatan yang sedang berlangsung. Pada akhirnya, itu adalah jaringan ANDA dan Andalah yang bertanggung jawab atas pemeliharaan dan pengoptimalannya. Saya pikir dalam hal-hal seperti materi dewasa, Anda dapat menutup mata. Maksud saya, kita semua memiliki hal-hal yang lebih baik untuk dilakukan daripada mengutuk seseorang untuk itu. Mungkin kesopanan profesional mengatakan sesuatu di sepanjang baris "Saya tidak peduli tetapi manajemen mungkin tidak suka itu". Sekarang jika lalu lintas ilegal atau merugikan jaringan Anda, maka itu cerita lain.

Jika Anda menemukan perilaku ini dan tidak melaporkannya, bersiaplah untuk berurusan dengan pertanyaan berikut yang menanyakan mengapa Anda tidak memberi tahu siapa pun; mengatakan Anda tidak tahu tentang hal itu SANGAT buruk bagi Anda. Bagaimanapun, itu adalah tugas Anda untuk mempertahankan jaringan itu dan sistem itu.

Saya setuju bahwa timbringham memiliki ide yang tepat dengan AUP. Yang mengatakan, bawa ke atasan Anda dan tanyakan kepada mereka apa tindakan selanjutnya. Mereka mungkin menginginkan semacam dokumentasi dan bukti bahwa aktivitas pelanggaran ilegal / AUP terjadi, jadi bersiaplah untuk memberi mereka log / tangkapan layar / apa pun. Terlepas dari apa yang dikatakan AUP, orang harus memiliki cukup akal sehat untuk mengetahui bahwa mereka tidak boleh melakukan hal-hal yang tidak pantas di jaringan perusahaan.

Karena Anda bertanggung jawab atas integritas jaringan (ya saya anggap bagian itu) saya akan mengangkat masalah itu dengan manajemen atas berdasarkan poin-poin ini

• Mencoba akses tidak sah
• Menjalankan perangkat lunak peretasan
• Mengirim email yang tidak diminta

Memainkan "ini bisa membawa kita ke masalah hukum" (baca ini bisa menghabiskan biaya untuk perusahaan).

Kemudian, ketika diminta untuk menyelidiki sedikit lebih jauh, Anda dapat mengangkat hal pornografi ... yang seharusnya berhasil.

Anda hanya membantunya, dengan menunjukkan beberapa masalah serius !!! Itu memengaruhi produktivitas dan sepertinya pikirannya mengembara. Saya akan mengobrol santai dan memberi tahu dia ... bahwa itu tidak baik, jika dia ingin menonton film porno dia bisa melakukannya di rumahnya. Menjalankan perangkat lunak peretasan menyebabkan lebih banyak sakit kepala dan mengganggu orang lain juga ketika Anda mengirim email yang tidak diminta.

Tidak perlu membawanya ke manajemen atas, karena ia harus tahu kesalahannya dan Anda memberinya kesempatan untuk memeriksa dirinya sendiri.

Ini benar-benar salah ----- ironis saya memposting ini dari kantor saya!

Mengunduh pornografi - katakan padanya secara langsung untuk berhenti melakukan itu. katakan padanya bahwa jika dia ingin melakukan itu, dapatkan jaringan nirkabel seluler untuk melakukannya dan jangan gunakan jaringan bisnis.

Mencoba akses tidak sah - tidak ada salahnya mencoba. pada dasarnya dia mengungkap masalah dalam jaringan yang tidak ditangkap oleh admin sistem.

Menjalankan perangkat lunak peretasan - itu ok juga. mungkin ada alasan sah untuk melakukan ini, yang paling umum adalah untuk "pengalaman belajar". mungkin karyawan ini benar-benar ingin memahami lingkungannya dengan lebih baik.

Mengirim email yang tidak diminta - buat log email menjadi publik sehingga semua orang di perusahaan dapat melihat siapa yang mengirim email ke alamat apa. Anda dapat melakukan ini dengan cron script bash pekerjaan. Setiap minggu jika sistem Anda admin dengan sedikit keterampilan.

Menginstal perangkat lunak / merusak sistem - menghapus akun mereka atau mengurangi hak mereka pada sistem tanpa memberi tahu mereka. jika mereka membutuhkan akses, biarkan mereka bertanya.