Приемлемо ли для новых сотрудников рассказывать о плохих методах обеспечения безопасности или «плыть по течению»? [дубликат]

Я новый наем инженера низшего звена в крупной компании в США. При подписке на пакет льгот/страхования я заметил, что требования к паролю включают не более 9 символов . Излишне говорить, что я не чувствую себя очень комфортно, предоставляя личную информацию для такого слабого требования. [1]

В связи с моим (низким) статусом, допустимо ли доводить эту проблему до ИТ и/или отдела кадров, или это будет раскачивать лодку? [2] Я поднял этот вопрос в разговорной речи со своими непосредственными менеджерами (с которыми у меня хорошие отношения), и, хотя они признавали наличие плохой практики, они, похоже, не слишком беспокоились о том, чтобы что-то с этим делать. Они, скорее всего, привыкли к этому, зарегистрировавшись много лет назад.

Я бы очень не хотел плыть по течению и (а) не чувствовать, что моя личная информация находится в безопасности, и (б) оставлять эту практику незамеченной или незарегистрированной. Конечно, я чувствую себя глупо, думая, что компания изменит давнюю (и, возможно, незначительную) политику только ради меня. Но, в конце концов, любая плохая практика безопасности хороша до тех пор, пока она очень быстро не станет совсем плохой.

[1] Поскольку это рабочее место, а не SE безопасности, пожалуйста, предположим, что это плохая практика безопасности, которой следует избегать, чтобы мы могли обсудить рассматриваемый вопрос, а не надлежащую политику безопасности.

[2] В ответ на некоторые отзывы в комментариях, обратите внимание, что я не предлагаю идти к главе ИТ и орать о кровавой дыре в их системе . Я больше имел в виду следующее:Hi [IT/HR person with whom I have a relationship], I noticed there was a 9 char password limit on [...], is that something that can easily be changed to allow more secure passwords? Thanks, Me.

Комментарии не для расширенного обсуждения; этот разговор был перемещен в чат .

Ответы (6)

В связи с моим (низким) статусом, допустимо ли доводить эту проблему до ИТ и/или отдела кадров, или это будет раскачивать лодку?

Краткий ответ: Плывите по течению. ( на данный момент )

Я бы не стал поднимать этот вопрос до тех пор, пока вы не поработаете в компании какое-то время (шесть месяцев плюс). Они не взяли 9 персонажей (правильных или неправильных) из воздуха, и тот, кто занимался разработкой политики, потратил некоторое время на ее создание.

По мере того, как вы устанавливаете отношения с компанией, узнайте, кто написал политику, и вежливо предложите свои предложения, включая справочные материалы в поддержку ваших предложений.

Не на пустом месте взяли 9 персонажей - Это. Скорее всего, у них устаревшая система с ограничением пароля в 9 символов. Я не уверен, что имеет значение, кто написал политику, но должен быть кто-то, кто отвечает за ее обновление и актуальность. Это человек, с которым нужно поговорить.
Интересный момент, я не думал, что это может быть сложная устаревшая система. Это, вероятно, немного говорит вам о моем возрасте (и напоминает мне, как устаревшие звучат некоторые аббревиатуры, такие как «Восемь мегабайт и постоянный обмен»). Это значительно усложнило бы задачу. @IDrinkandIKnowThings, значит, это рекомендация обсудить это с кем-то?
@nivk — Мой лучший совет для начала новой работы — много слушать, задавать вопросы там, где это уместно, и до тех пор, пока у вас не будет полного понимания того, что происходит, не давайте советов о том, как что-то изменить.
@IDrinkandIKnowThings, стоит отметить, что я не работаю в ИТ-отделе. То, что я слушаю и о чем спрашиваю, совершенно не связано (я инженер-электрик). Обновленная сноска на OP может прояснить мои намерения.
Это не непрофессионально отправить это письмо. Хотя, возможно, было бы неразумно отправлять его. Смотрите мой совет выше.
@nivk Лучше оставить это на данный момент.
@IDrinkandIKnowThings, я склонен согласиться. Спасибо за вашу помощь. Я оставлю это сейчас и, возможно, вернусь позже, когда у меня будет больше влияния.
@IDrinkandIKnowThings Готов поспорить на реальные деньги, что этот пароль должен подходить для AS400.

Так что... ненавижу приносить плохие новости, но...

  1. Ты слишком чувствителен. Если кто-то хочет проникнуть в записи о сотрудниках, чей-то пароль — не тот вектор, который они выбрали бы. И если они попытаются, есть почти 100% шанс, что чей-то административный пароль гораздо менее «безопасен», чем любой другой, который вы бы выбрали.
  2. Если это «крупная компания», ее сотрудники службы внутренней безопасности, аудиторы и юристы, вероятно, знают об этом и не возражают против этого.
  3. «Крупная компания» не собирается менять свою политику по этому поводу, извините :(

Наконец, вот что: человек, ответственный за требования к надежному паролю, сожалеет о своих рекомендациях 2003 года .

Я на 100 % согласен с пунктом 1: мы только что получили несколько памяток, предупреждающих о (гораздо более распространенных и успешных) фишинговых мошенничествах. Тем не менее, это (а) для личной информации и информации о здоровье, а не для информации о компании, и (б) относительно простое решение с очень низкой стоимостью. Относительно #2,3 стоит отметить, что требования к парольной фразе в других частях сети гораздо более строгие. Я понятия не имею, почему для этого был выбран 9 макс. Re finally, да именно этого я и пытаюсь избежать, а-ля xkcd !
@nivk 97%, поле «пароль» в некоторых системах управления персоналом кандидатов в музеи ограничено 9 символами. Это будет исправлено, когда новая многомиллионная замена будет завершена после 4 лет задержек... добро пожаловать в корпоративный мир!
Итак, есть ли причина для понижения? Любой комментарий? Совершенно необоснованное и вводящее в заблуждение. Следует игнорировать.
Я не минусовал, но для меня этот ответ читается в основном как вызов тому, является ли это плохой политикой безопасности, а не тем, следует ли, если предположить, что это плохо, довести ее до руководства.
# 3 - единственное, что имеет значение, но вы не объясняете, почему они не изменят свою политику ...
@S.Grey S.Grey - ну, степень «плохости» полностью зависит от того, должен ли ОП агитировать за изменения и в какой степени. Любой совет, который игнорирует этот аспект, довольно бесполезен.
@ Johns-305 Johns-305 Как упоминалось другими, пункт 3 является единственной важной частью.
@PoloHoleSet Актуально, конечно. Однако все, кроме одного короткого предложения в этом ответе, бросают вызов предпосылке, а не отвечают на вопрос, и суть вопроса не рассматривается.

У вас действительно есть два варианта:

  1. Воспользуйтесь системой и подпишитесь на свои преимущества. Используйте самый надежный пароль, какой только сможете придумать.
  2. Не пользуйтесь системой и платите за свои льготы, потому что, скорее всего, никто на работе не будет проводить адаптацию вместо вас.

Даже в случае № 2 выше надежность всей системы зависит от самого слабого используемого пароля администратора. На самом деле крупная компания не будет спешить вносить изменения в то, что вы описываете. Вы, вероятно, слишком далеко в иерархии, чтобы иметь большое значение, если вы каким-то образом не обнаружите фактическую брешь в аутентификации.

приемлемо ли доводить эту проблему до ИТ и/или отдела кадров?

В общем, нет, по крайней мере, пока. Не только потому, что вы новичок в организации, но и потому, что вы не ИТ. Грубо говоря, предыстория вашего вопроса мне кажется, что вы "знаете лучше", чем профессионалы, вся карьера которых решает эти вещи, несмотря на то, что, по вашему собственному признанию, вы не являетесь экспертом в этой теме. . И я ничуть не инвестирую в вашу компанию, так что представьте, как отреагируют на это те, кто занимает указанные должности в вашей компании.

Как только вы встанете на ноги, поймете, как работает организация, и познакомитесь с людьми, тогда, конечно, если это все еще вас беспокоит, осторожно задайте вопрос тем, кто будет восприимчив. Но стараться изо всех сил ставить под сомнение безопасность систем, которые не являются частью вашей ответственности или ответственности вашего отдела в качестве нового сотрудника, не связанного с ИТ, — это плохая идея и хороший способ получить репутацию сотрудника с высокими эксплуатационными расходами.

Наконец, в качестве небольшого отступления, большинство крупных организаций, если мы определяем их как нечто порядка 10 000+ сотрудников (а не 500 сотрудников и т. д.), будут иметь надежную программу управления рисками. На самом высоком уровне безопасность заключается не только в том, что «это лучшая техническая конфигурация безопасности, поэтому вы должны это сделать», но, скорее, она сводится к принятию исполнительных решений о балансировании рисков и преимуществ. Так что, скорее всего, люди знают об этом и решили, что стоит рискнуть и придерживаться такой политики паролей.

В идеальном мире люди рассматривали бы идеи, исходя из их достоинств, а не авторитета источника, и люди были бы счастливы получить информацию о том, что они приняли неправильное решение, чтобы они могли исправить его и избежать той же ошибки в будущем. .

Но в идеальном мире все были бы честными, никто не пытался бы украсть вашу информацию или использовать ее злонамеренно, нам не нужны были бы пароли, и мы бы не обсуждали это.

В реальной жизни большую часть времени тот, кто только начал работать в компании несколько недель назад, не пользуется уважением. Ты еще не зарекомендовал себя. Вы можете быть самым умным человеком в комнате, но никто этого не знает. И поэтому люди, которые были там некоторое время и зарекомендовали себя, вряд ли воспримут критику с вашей стороны.

Не всегда, конечно. Но часто.

Если бы я был тобой, я бы просто пошел с этим сейчас. Завоюйте уважение, выполняя качественную работу. Работа, которая не подразумевает, что чья-то работа была плохой. Затем, когда вы зарекомендуете себя, у вас будет достаточно уважения, чтобы, когда вы вежливо скажете, что какое-то прошлое решение было плохой идеей, люди могли захотеть вас слушать.

Если вы твердо уверены в том, что это важный вопрос (я следую вашему примечанию, чтобы не комментировать мою точку зрения на этот вопрос), вам следует обсудить его с отделом кадров. Похоже, вы находитесь в начале своей карьеры — вы постоянно будете сталкиваться с подобными проблемами. Ваша работа как инженера — находить проблемы и сообщать о них/исправлять их.

Если вы обратитесь в отдел кадров (а не в отдел ИТ), они должны быть в состоянии принять ваши отзывы и передать их соответствующим образом. Может случиться так, что ничего не будет сделано — тогда вам решать, принимать это или нет (вы можете уйти с работы или отказаться от пособий, если вопрос достаточно важен для вас). HR не будет мстить, и если вы представите свою проблему профессионально, это не должно вызвать у вас никаких проблем. Кто знает? Может быть, вы будете сотым человеком, который пожалуется, и они, наконец, исправят это. В любом случае, вы будете более ценным сотрудником и лучшим инженером, если не упустите проблему.

Приемлемо ли для новых сотрудников рассказывать о плохих методах обеспечения безопасности или «плыть по течению»? [дубликат]
СпросиСетьПолитика конфиденциальности1y, 0v