Может ли начальник потребовать от ИТ изменить ваш пароль и войти на ваш компьютер под своим именем? [закрыто]

Мой начальник потребовал от ИТ сменить мой корпоративный пароль, пока меня не было в офисе, не сказав мне об этом. Он использовал новый пароль для входа на мой компьютер под моим именем и скопировал мой проект (я не знаю, что еще он сделал).

Когда я вернулся в офис, у меня на рабочем столе была желтая наклейка с новым паролем. Он сказал мне, что это мой новый пароль, когда увидел меня в офисе. Является ли это нарушением безопасности? Нарушение конфиденциальности?

Был ли вход на ваш ПК единственным способом доступа к файлам проекта? Был ли что-то еще, что ваш менеджер мог/должен был сделать, чтобы получить копию проекта?
Этично? Нет. Правильная ИТ-политика? Нет. Он может это сделать? Да. И вы мало что можете с этим поделать.
Каково ваше местоположение? Это зависит от местоположения.
Вопросы безопасности см . в разделе «Информационная безопасность» . Юридические вопросы см . Закон . Я не вижу в этом посте ответного/практического вопроса, поэтому откладываю его. Пожалуйста, посетите справочный центр , если вы хотите задать вопрос по этой ситуации, на который мы можем ответить.
«Это нарушение безопасности? Нарушение конфиденциальности?» Нет и нет, скорее всего. Это не редкость в экстренных ситуациях (коллега пропал без вести или болен) и не сохраняет проект в сетевых ресурсах или в системе контроля версий.
Вам повезло, что начальство требует сменить пароль, поэтому ваш первоначальный пароль никогда никому не будет известен.

Ответы (3)

Вы не должны рассчитывать на конфиденциальность на компьютере, принадлежащем компании. Однако в здоровой ИТ-среде ваш менеджер сделал бы это, попросив ИТ-отдел прислать ему файлы, которые он ищет, которые они могут получить, получив доступ к компьютеру с помощью своих собственных административных учетных записей, а не с помощью вашей учетной записи. Если они делают это таким образом, никогда не возникает вопрос аудита о том, кто получил доступ к файлам, или о том, является ли действие, предпринятое вашей учетной записью, фактически действием, которое вы предприняли. Ваш ИТ-отдел также должен следовать всем указаниям, которые им были даны для облегчения доступа — это может включать получение разрешения от юрисконсульта вашей компании, предоставление подтверждающей документации и т. д.

Является ли это нарушением безопасности, зависит от политики компании и применимого законодательства/договорных обязательств. Вы можете обсудить это со своим менеджером, если хотите, и высказать свои опасения, и их довольно много. Как уже упоминалось, вход в вашу учетную запись напрямую побеждает аудит — ваша команда безопасности больше не может быть достаточно уверена, что действия, предпринятые вашей учетной записью, были предприняты вами, если другие люди входят в учетную запись. В зависимости от вашей работы у вас также может быть доступ к информации, которой нет у вашего начальника — это может включать информацию, связанную с персоналом, данные о клиентах по контрактам, на которых ваш начальник не работает, и так далее. Однако изменение системы для обеспечения такого доступа может не считаться выгодным вложением для небольшой компании, которая не обрабатывает конфиденциальную информацию.

Кроме того, как упомянул Эдгар, оставление вашего пароля на стикере усугубляет проблему аудита, поскольку теперь любой сотрудник вашей компании мог получить доступ к вашей учетной записи, пока вас не было. По крайней мере, если компания не желает менять свою политику сброса учетных записей, вы должны попросить своего менеджера сообщить вам пароль лично, когда вы вернетесь в будущем, или попросить ИТ-отдел снова сбросить его на что-то, сгенерированное безопасным генератор случайных паролей и не записывайте его, затем сбросьте и позвольте вам выбрать новый пароль, когда вы вернетесь.

Это связано с культурой. Культура здесь (Бельгия) такова, что, хотя вам, конечно, не дают бесплатного доступа для хранения всего, что вы хотите, на компьютере, все же существует ожидание конфиденциальности. Было вынесено решение суда, согласно которому личный архив электронной почты и книга, которую сотрудник писал (в нерабочее время), были признаны личными . Сравните это с получением корпоративного шкафчика. Это шкафчик (= защищенная учетная запись) подразумевает конфиденциальность. Хотя вы не получаете бесплатного доступа для хранения чего- либо там (например, без CP или обедненного урана), это не означает, что люди могут проникнуть туда без веской причины.
@flater: можете ли вы предоставить некоторую метаинформацию об этом решении (ссылка?)? Я хотел бы узнать больше об этом!
@ user189035 Здесь (на голландском языке). (1) Работодатели не могут отслеживать поведение сотрудников на компьютере без явного разрешения сотрудника (2) При мониторинге можно отслеживать только действия, а не содержание действий. Например, если ваша работа связана с серфингом в Интернете, мониторинг не может отличить серфинг во время работы от работы, а только то, что вы бродите по сети. (3) Ограничения конфиденциальности применяются к любому файлу, который сотрудник размещает на жестком диске. (4) Запрещено отслеживать, какие сайты были посещены.
@ user189035: Здесь также упоминается, что здесь есть лазейка «более высокой важности». Суды будут рассматривать использование Facebook как нарушение конфиденциальности и не примут его как уважительную причину увольнения; но просмотр детской порнографии не будет считаться нарушением конфиденциальности из-за более высокой важности преступления по сравнению с трудовым договором. Другими словами, эти правила могут быть отменены для вопросов, которые выходят за рамки нарушений трудовых договоров и переходят на территорию уголовного преступления. («Риск вредоносного ПО с плохих сайтов» явно отрицается как «более важный», кстати)
@Flater: Спасибо за всю эту информацию! Но есть ли у вас указатель на само постановление. Я хотел бы иметь также ссылку.
@ user189035: я не знаю. Несколько лет назад это была горячая тема новостей. Я искал его некоторое время, и на сайте этого юриста есть приличный список нескольких судебных дел, которые были либо приложениями, либо прецедентами действующего бельгийского законодательства, касающегося конфиденциальности на работе. Судя по приведенным ниже статьям, это должно быть примером «конфиденциальности серфинга». Но мой юридический язык не очень хорош, так что я мог бы быть здесь.
@Flater Когда я изначально писал это, у меня было предложение, в котором упоминалось, что ожидания в США и ЕС различаются, но я убрал его, так как подумал, что это на самом деле не нужно. Если у местоположения ОП есть прецедент, подобный бельгийскому, то он также может упомянуть об этом, если захочет, но я думаю, что это разумный совет в любом месте никогда не предполагать, что то, что вы делаете на своем рабочем компьютере, всегда будет конфиденциальным.
@IllusiveBrian: Я думаю, это зависит от того, что вы подразумеваете под частным. Если вы не хотите, чтобы кто-нибудь что-то узнал; ты прав. Но если вы просто не хотите, чтобы кто-то на законных основаниях что-то использовал против вас, это одна из причин, по которой существуют законы о защите конфиденциальности (так что нарушения будут недопустимы в юридическом контексте).
@IllusiveBrian: Извините, что увел разговор от вопроса ОП. Мне посчастливилось жить в Бельгии, и комментарий Флатера (который должен был быть использован для иллюстрации его предыдущей точки зрения) вызвал у меня интерес! Я хотел узнать больше (спасибо, Флатер!)
Хотел добавить, что в Германии также есть решения, аналогичные Бельгии, см. эту статью (на немецком языке).

«Желтый блокнот с новым паролем, оставленный на моем рабочем столе» — это однозначно нарушение безопасности, и начальник любой компании должен об этом знать.

У него может быть причина, по которой он должен получить доступ к вашему компьютеру, и у него может быть причина попросить ИТ сбросить ваш пароль. Но непростительно, что он выложил этот новый пароль в открытый доступ. Он должен был сообщить вам, что ему нужно сбросить пароль, а затем ИТ-специалисты могли сбросить его снова и дать вам новый пароль, которого ваш начальник не знает.

Изменить: об использовании учетной записи пользователя или другой учетной записи: Да, ИТ-специалисты должны иметь возможность получать данные с этого ПК, используя другую учетную запись. Но в реальной жизни часто намного проще войти в систему с «обычной» учетной записью пользователя. Я думаю, что это вопрос политики компании и обстоятельств, и на него нелегко ответить.

Мне интересно, почему минус? (Я на самом деле голосую за это, потому что считаю ответ правильным).
Более того, ИТ-специалисты должны были иметь возможность войти в систему, используя другую учетную запись.
Этот ответ предполагает, что пароли в этой компании строго соблюдаются. В моей старой компании компьютеры были в основном частью общей инфраструктуры , а пароли предназначались только для того, чтобы помочь менеджерам определить, кто какой компьютер использует в данный момент (чтобы они могли использовать PCAnywhere для просмотра учетных записей, вызывающих проблемы). Не было никаких ожиданий в отношении конфиденциальности компьютера, и аудит не был проблемой.
@Richard В вашей старой компании пароль позволял кому-либо войти в компьютер? Если дворник увидел вечером желтую наклейку, может ли дворник с ее помощью проникнуть в инфраструктуру компании?
@scaaahu - Серьезные инфраструктурные материалы (кадровые записи и тому подобное) были дополнительно ограничены (для руководителей компании) второй папкой с паролем

Юридические последствия будут зависеть от страны. Например, во Франции это было бы ужасно, поскольку по закону вам разрешено хранить личные данные на вашем компьютере. Обратите внимание, что я пишу ужасные вещи, а не незаконные вещи, поскольку он все еще может получить доступ к вашим профессиональным данным, когда сочтет нужным.

Затем встает вопрос об отслеживаемости. С того момента, как он получил ваш пароль, и до момента, когда вы его изменили, он несет ответственность за все, что происходит с вашей учетной записью. В частности, если вы не измените свой пароль, он все еще будет вами. Вы можете специально задокументировать это.

С точки зрения информационной безопасности (что я могу прокомментировать из первых рук), такое действие показывает, что в вашей компании нет надежных политик безопасности. Это может быть проблемой, а может и не быть, в зависимости от отрасли, в которой вы работаете.

Может ли начальник потребовать от ИТ изменить ваш пароль и войти на ваш компьютер под своим именем? [закрыто]
СпросиСетьПолитика конфиденциальности1y, 0v