Мой начальник потребовал от ИТ сменить мой корпоративный пароль, пока меня не было в офисе, не сказав мне об этом. Он использовал новый пароль для входа на мой компьютер под моим именем и скопировал мой проект (я не знаю, что еще он сделал).
Когда я вернулся в офис, у меня на рабочем столе была желтая наклейка с новым паролем. Он сказал мне, что это мой новый пароль, когда увидел меня в офисе. Является ли это нарушением безопасности? Нарушение конфиденциальности?
Вы не должны рассчитывать на конфиденциальность на компьютере, принадлежащем компании. Однако в здоровой ИТ-среде ваш менеджер сделал бы это, попросив ИТ-отдел прислать ему файлы, которые он ищет, которые они могут получить, получив доступ к компьютеру с помощью своих собственных административных учетных записей, а не с помощью вашей учетной записи. Если они делают это таким образом, никогда не возникает вопрос аудита о том, кто получил доступ к файлам, или о том, является ли действие, предпринятое вашей учетной записью, фактически действием, которое вы предприняли. Ваш ИТ-отдел также должен следовать всем указаниям, которые им были даны для облегчения доступа — это может включать получение разрешения от юрисконсульта вашей компании, предоставление подтверждающей документации и т. д.
Является ли это нарушением безопасности, зависит от политики компании и применимого законодательства/договорных обязательств. Вы можете обсудить это со своим менеджером, если хотите, и высказать свои опасения, и их довольно много. Как уже упоминалось, вход в вашу учетную запись напрямую побеждает аудит — ваша команда безопасности больше не может быть достаточно уверена, что действия, предпринятые вашей учетной записью, были предприняты вами, если другие люди входят в учетную запись. В зависимости от вашей работы у вас также может быть доступ к информации, которой нет у вашего начальника — это может включать информацию, связанную с персоналом, данные о клиентах по контрактам, на которых ваш начальник не работает, и так далее. Однако изменение системы для обеспечения такого доступа может не считаться выгодным вложением для небольшой компании, которая не обрабатывает конфиденциальную информацию.
Кроме того, как упомянул Эдгар, оставление вашего пароля на стикере усугубляет проблему аудита, поскольку теперь любой сотрудник вашей компании мог получить доступ к вашей учетной записи, пока вас не было. По крайней мере, если компания не желает менять свою политику сброса учетных записей, вы должны попросить своего менеджера сообщить вам пароль лично, когда вы вернетесь в будущем, или попросить ИТ-отдел снова сбросить его на что-то, сгенерированное безопасным генератор случайных паролей и не записывайте его, затем сбросьте и позвольте вам выбрать новый пароль, когда вы вернетесь.
«Желтый блокнот с новым паролем, оставленный на моем рабочем столе» — это однозначно нарушение безопасности, и начальник любой компании должен об этом знать.
У него может быть причина, по которой он должен получить доступ к вашему компьютеру, и у него может быть причина попросить ИТ сбросить ваш пароль. Но непростительно, что он выложил этот новый пароль в открытый доступ. Он должен был сообщить вам, что ему нужно сбросить пароль, а затем ИТ-специалисты могли сбросить его снова и дать вам новый пароль, которого ваш начальник не знает.
Изменить: об использовании учетной записи пользователя или другой учетной записи: Да, ИТ-специалисты должны иметь возможность получать данные с этого ПК, используя другую учетную запись. Но в реальной жизни часто намного проще войти в систему с «обычной» учетной записью пользователя. Я думаю, что это вопрос политики компании и обстоятельств, и на него нелегко ответить.
Юридические последствия будут зависеть от страны. Например, во Франции это было бы ужасно, поскольку по закону вам разрешено хранить личные данные на вашем компьютере. Обратите внимание, что я пишу ужасные вещи, а не незаконные вещи, поскольку он все еще может получить доступ к вашим профессиональным данным, когда сочтет нужным.
Затем встает вопрос об отслеживаемости. С того момента, как он получил ваш пароль, и до момента, когда вы его изменили, он несет ответственность за все, что происходит с вашей учетной записью. В частности, если вы не измените свой пароль, он все еще будет вами. Вы можете специально задокументировать это.
С точки зрения информационной безопасности (что я могу прокомментировать из первых рук), такое действие показывает, что в вашей компании нет надежных политик безопасности. Это может быть проблемой, а может и не быть, в зависимости от отрасли, в которой вы работаете.
Патрисия Шанахан
Слотарио
Эрик
Лилиенталь
пмф
мустаччо
скрежет729