Мой генеральный директор хочет получить постоянный доступ к электронной почте каждого сотрудника. Как мне объяснить, что это ужасная идея?

Наш генеральный директор хочет, чтобы наш ИТ-провайдер настроил свой почтовый клиент, чтобы он мог постоянно видеть рабочие электронные письма каждого сотрудника в своем почтовом ящике. Короче говоря, он обеспокоен тем, что с конкретным сотрудником трудно связаться, поэтому попросил получить его электронные письма, а затем решил, что он может заранее получить доступ к электронной почте каждого в нашей компании, состоящей примерно из 15 человек.

На мой взгляд, это абсолютно ужасная идея по самым разным причинам. Просто у меня в голове:

  • Прямо сейчас, чтобы получить доступ к чьей-либо электронной почте, вы должны попросить нашего ИТ-провайдера организовать это. Это требует авторизации и контрольного журнала. Это будет потеряно в будущем.
  • Это делает доступ к компьютеру генерального директора самым слабым звеном во внутренней безопасности и защите данных.
  • Соответственно, это не невероятно безопасный компьютер. Он обычно оставляет его включенным, когда его нет рядом.
  • Огромный потенциал для злоупотреблений.
  • Постоянно ослабляет всю внутреннюю защиту данных и средства контроля
  • Может быть общее нарушение правил (что может открыть нам трудовой иск. Не уверен. Не юрист).
  • Я не хочу, чтобы кто-то шпионил за моим почтовым ящиком, и никто другой этого не хочет.
  • Это подрывает доверие сотрудников, потому что это похоже на шпионаж, независимо от мотива.

Я понимаю его озабоченность и его мотивы. Я думаю, что он искренне хочет поступить правильно, но он не продумал последствия того, о чем просит.

Я всего лишь сотрудник (у нас есть директор по персоналу/соответствию, которого сегодня нет в офисе). Как мне эффективно сообщить о своих опасениях генеральному директору? Я знаю, что по закону они могут это сделать. Я прошу совета, как убедить их не делать этого.

Связанный, но не полностью дублирующий: Может ли HR/Boss требовать ваше имя пользователя и пароль?
Комментарии не для расширенного обсуждения; этот разговор был перемещен в чат . Ответы на вопрос ОП относятся к ответам и комментариям, а шутки и жалобы на ситуацию относятся к чату.
Тот же вопрос, другой SE security.stackexchange.com/questions/139766/…
@JaredSmith Я согласен, что они явно связаны, но, на мой взгляд, они достаточно разные, чтобы соответствовать сфере деятельности каждого сайта по отдельности. Один спрашивает, почему это плохая идея, а другой спрашивает, как мне объяснить начальству.
@Lumberjack Я не обязательно думаю, что публиковать информацию об этой проблеме в обоих местах в любом случае «неправильно», просто добавляя прозрачности.
Для справки: нет хороших или плохих идей. Плюсы и минусы есть у каждого образа действий. После того, как вы изложили все за и против, остается только взвесить их. Если вам нужно убедить кого-то в том, что это «плохая идея», но перечислить список «за» и «против» недостаточно, вам следует признать, что вы не можете их убедить.
У генерального директора есть варианты получше, чем мониторинг электронной почты, который отнимает очень много времени и угрожает сотрудникам, которых он, по-видимому, ценит. Существуют инструменты мониторинга производительности, которые он может установить, или он может внедрить политику (с последствиями), согласно которой сотрудники, не назначенные на PTO, должны отвечать в течение 2 часов на электронное письмо, прямое сообщение Skype или сообщение Slack, отправленное между началом рабочего дня. официального рабочего дня (9:00?) и за 2 часа до его окончания (16:00?). Это справедливое ожидание и гораздо лучший способ справиться.
Сотрудники должны быть осведомлены о том, что их электронная почта активно просматривается. Здесь может скрываться множество юридических вопросов.
Совершенно уместно размещать один и тот же вопрос на разных сайтах, если суть вопроса соответствует тематике каждого сайта. Спрашивая здесь, "каковы будут последствия для безопасности этого?" вероятно, будет не по теме, и спрашивать об информационной безопасности: «Как мне убедить моего босса не делать этого?» там наверное не по теме. Тот же посыл, другая направленность.
Если компания окажется объектом судебного иска, это может иметь неприятные последствия, поскольку истец будет вполне разумно утверждать, что генеральный директор был или должен был знать обо всем, что было отправлено в любом электронном письме.
Альтернативная идея, которую вы должны нажать, — это идея группового электронного письма, на которое обычно отвечает difficult_dan@example.com, но установлено high_availability@example.com(и настроить своих клиентов, чтобы установить заголовок answer-to: как high_availability@example.com)
«Я знаю, что по закону они могут это сделать». На самом деле во многих юрисдикциях они не могут! Может существовать процесс, позволяющий соответствующему лицу получить доступ к определенному почтовому ящику при определенных обстоятельствах, но такой общий процесс нарушит многие правила конфиденциальности.

Ответы (6)

Вы говорите, что у вас есть сотрудник отдела контроля. Мне кажется, что вы должны спросить у него/нее совета по этому поводу. Если его сегодня нет в офисе, это может подождать — я сомневаюсь, что за несколько дней может произойти что-то плохое.

Если вы столкнулись с некоторой неуверенностью, то просто помните о последствиях для безопасности одного компьютера, имеющего доступ ко всей электронной почте компании, и о том, что может случиться, если этот один компьютер останется разблокированным и без присмотра....

В качестве побочного комментария, похоже, что ваш генеральный директор на самом деле не имеет представления о том, что происходит в компании (если один сотрудник может исчезнуть с радаров на две недели). Возможно, было бы лучше исправить это поведение и отсутствие надзора с помощью регулярных звонков/электронных писем/отчетов о состоянии/что-то еще. Налицо явное отсутствие элементарного общения.

Вы также можете указать ответственному за соблюдение нормативных требований, что генеральный директор оставляет свой компьютер (якобы с очень конфиденциальной информацией о компании на нем, даже без доступа к электронной почте других пользователей) разблокированным и без присмотра. Это должно быть огромной проблемой само по себе, и даже если в остальном они не против, чтобы он имел доступ к электронной почте, предварительным условием должно быть то, что на его компьютере применяется политика блокировки в режиме ожидания (в идеале 3 минуты или менее), чтобы свести к минимуму окно для несанкционированного доступа к его компьютеру.
ОП не нужно объяснять, что это ужасная идея. Юрисконсульт компании должен быть таким авторитетным источником. (Сотрудник по соблюдению требований отлично подходит для этой цели в небольшой компании.)

Вы не должны этого делать. Вы вряд ли произведете какие-либо изменения, и это может повредить вашей репутации с боссом.

Генеральный директор мог бы обратиться с этим запросом к вашему ИТ-провайдеру в частном порядке, но он решил сделать запрос на глазах у всех вас. Это был расчет с его стороны.

Он хочет, чтобы вы знали, что ваши рабочие электронные письма могут и будут проверяться. Это вполне может быть ошибкой с его стороны (мы в этом согласны), но если это так, то это ошибка, над которой он подумал . Он принял решение, и ваши доводы вряд ли его поколеблют.

Из-за эффекта Стрейзанд ваше утверждение о том, что это плохая идея, потенциально может сделать вас мишенью и подвергнуть ваш почтовый ящик дополнительной проверке.

Я бы тоже не рекомендовал обращаться в отдел кадров. По моему мнению, общение с HR, а не с генеральным директором напрямую, было бы еще хуже. HR должен защищать интересы компании, а не сами ресурсы.

Если вам абсолютно необходимо пожаловаться, вы должны сделать это лично, непосредственно генеральному директору, лицом к лицу, без постороннего присутствия в комнате. Объясните ему, почему это решение плохо для компании. Не говорите о своих чувствах и ни в коем случае не включайте себя. Расскажите о компании и сотрудниках. Поговорите о моральном духе и удержании сотрудников.

Он вряд ли изменит свою позицию, но если он хорош как генеральный директор, он будет слушать и уважать вас за ваше мужество, если вы не будете выглядеть плаксивым жалобщиком.

Если бы это был я, я бы не стал этого делать, но если бы я сделал это, я бы сделал это лично, один на один, и я бы говорил о проблемах компании, а не о своих личных проблемах.

На самом деле это редкий случай, когда слово «эффект» используется в качестве глагола.
Спасибо @Кевин. Подтвердив ваше утверждение , я отредактировал свой вопрос. Спасибо еще раз!
Хороший генеральный директор должен доверять своим сотрудникам, пока не доказано обратное; явно требовать карт-бланш доступа ко всем электронным письмам демонстрирует ужасающий уровень оруэлловского недоверия, поэтому последние три абзаца этого ответа на самом деле не применимы. Защита HR интересов компании действительно покрывает эту проблему, так как создает враждебную рабочую среду, и юридический отдел тоже должен быть задействован, потому что это открывает множество обязательств, которые абсолютно не стоят риска.
Участие или неучастие HR в значительной степени зависит от того, является ли генеральный директор также владельцем компании.
Хороший вопрос @RobertDundon
Не знаю, откуда вы взяли "но он решил сделать запрос при вас всех". Мы не знаем, что было больше одного человека. Я подозреваю, что он просил человека выполнить просьбу.
@Paparazzi Это в истории редактирования. Первоначальный пост был намного более подробным.
До переделки было лучше
Я согласен с этим, тот факт, что сотрудники знают об этом, означает, что им дали тонкое предупреждение среди прочего. Потому что это было бы легко сделать без их ведома, и я знаю места, где они тайно получают копии всех электронных писем.
Этот ответ хорош, если он дан параноиком параноику. Если доверия нет с самого начала, его нельзя растратить. Во всех остальных случаях не думайте так и честно расскажите своему начальнику, как эта мера ставит под угрозу базовое доверие, необходимое вам для того, чтобы функционировать как сотрудник.
Вы не объясняете, что бы вы сделали, чтобы избежать прямого запроса от генерального директора. «Я бы не стал этого делать», — сказали вы. Так что бы вы сделали?

Соответствующий персонал компании должен и будет иметь доступ ко всем учетным записям компании по мере необходимости. Нет аргумента о конфиденциальности; любой, кто считает, что все, что делается на оборудовании компании, является частным, в лучшем случае нереален. Магазин ИС, если только у вас нет необычно сильно защищенной среды с ключами шифрования, управляемыми из других подразделений компании, безусловно, имеет доступ сейчас, если только у вас нет никого другого.

Однако возникают вопросы определения «соответствующего персонала» и «при необходимости». Безусловно, некоторые данные, как правило, но не ограничиваясь ими, касаются проблем со здоровьем и некоторых видов данных о клиентах (например, информация HIPAA в США), которые не следует раскрывать, кроме как в случае особой необходимости, чтобы защитить компанию от судебных исков. И есть общие вопросы безопасности и подотчетности.

Генеральный директор прав в том, что для этого необходим процесс. Генеральный директор ошибается, желая, чтобы процесс был «потому что мне так хочется». Правильный путь здесь — прояснить, что средства контроля необходимы для защиты компании , и внедрить надлежащий механизм для решения законной проблемы в рамках этих средств контроля.

Компании нужен доступ. Генеральному директору не нужен постоянный незарегистрированный доступ. Внедрите явную политику хранения и контроля данных, учитывающую эти ограничения. На эту тему есть много хороших ссылок, не в последнюю очередь в разделах SE, посвященных безопасности и системному администрированию.

Короче говоря, он обеспокоен тем, что с конкретным сотрудником трудно связаться, поэтому попросил получить его электронные письма.

Вы не объясняете, что подразумевается под «труднодоступным», но давайте предположим, что это означает, что человеку просто нужно отвечать на важные электронные письма и телефонные звонки в тот же день в рабочее время, а в настоящее время это не так.

Какие проблемы можно было бы решить, разрешив генеральному директору читать электронную почту этого человека? Сотрудник не отвечает клиентам или партнерам? Если да, то, возможно, человек перегружен или не в той роли.

Почему с этим сотрудником трудно связаться, в первую очередь? Путешествовать? Другие обязанности? Генеральный директор, отдел кадров или непосредственный руководитель этого сотрудника должны работать с этим сотрудником, чтобы разработать протокол связи, приемлемый для всех сторон. Если сотрудник просто безответственен, то нет смысла создавать дополнительные управленческие накладные расходы для генерального директора, заставляя его нянчиться с сотрудником. Генеральный директор должен быть в состоянии доверять тем, кто работает на него, чтобы выполнять свою работу, и должен сосредоточиться на стратегии более высокого уровня, а не на деталях более низкого уровня, которые он предположительно доверил этому сотруднику. Если этот человек не может надежно общаться и может причинить ущерб, например, допустить провал сделки, не ответив в течение разумного периода времени, тогда эти обязанности должны быть переданы кому-то другому.

а затем решил, что он может заранее получить доступ ко всем электронным письмам в нашей компании, состоящей примерно из 15 человек.

Вы уже определили множество причин, почему это плохая идея. Возможно, он просто не продумал это и подумал, что это будет удобное решение, чтобы предотвратить подобные проблемы с другими сотрудниками. Если вам удобно говорить с ним напрямую, сделайте это. Если нет, сообщите соответствующему руководителю о своем беспокойстве и попросите его поговорить с ним об этом, возможно, не называя вас (если это вызывает беспокойство).

Если это произойдет, то в лучшем случае вашему генеральному директору придется тратить больше времени на дублирование чужих усилий по чтению электронной почты, а в худшем случае он потенциально подвергает себя юридической ответственности в будущем. Если кто-то делает что-то неуместное и не вмешивается, потому что у него не было времени прочитать ветку электронной почты о сексуальных домогательствах, взяточничестве или другой незаконной деятельности, это не будет хорошо выглядеть, если у него есть все эти электронные письма в его почтовом ящике. Может быть, он нанимает секретаря, чтобы обрабатывать его электронную почту в какой-то момент. Можно было бы возразить, что он должен был знать об этом, потому что имел неограниченный доступ к электронной почте каждого, но он бездействовал.

Вы можете просто сообщить своему генеральному директору об уязвимостях безопасности. Я думаю, что ваш генеральный директор пытается просто следить за тем, что происходит в организации. Существует лучший способ. В настройках электронной почты вы можете настроить пересылку любого электронного письма, которое сотрудник отправляет или получает, генеральному директору без предоставления прямого доступа генеральному директору. Это нормальная практика. Я испытал это. Под настройками я подразумеваю, где вы настраиваете официальные электронные письма, а не интерфейс. К вашему сведению, это не снижает моральный дух сотрудников.

Пересылка каждой электронной почты компании генеральному директору влечет за собой почти те же риски безопасности, что и предоставление ему доступа к их почтовому ящику; теперь нарушение безопасности на одном из устройств генерального директора раскрывает не только конфиденциальную информацию, с которой работает сам генеральный директор, но и любую конфиденциальную информацию, перемещающуюся в любом месте компании. Как я уже говорил в других комментариях, это Плохая идея™. Это не «нормальная практика», и даже если это не повлияло на ваш моральный дух, многие воспримут это как признак недоверия, и чей моральный дух пострадает .
Я думаю, вы имеете в виду «мораль», а не «мораль».

Вы должны сказать своему генеральному директору, чтобы он нанял или проконсультировался с ИТ-исследователем. Они намного более квалифицированы, чем ваш генеральный директор, и могут легко найти больше «грязи» на сотрудника-мошенника, чем ваш генеральный директор.

Они обучены этому и знают, как выполнять свою работу, не создавая юридических проблем для вашей компании.

Я думаю, если вы донесете это до генерального директора, это сработает: «найдется больше грязи», «меньше потенциальных юридических проблем».

Я, конечно, не знаю, насколько вы дружны со своим генеральным директором, но если у вас хорошие отношения, вы можете спросить его: «Если вы хотите торт, вы бы испекли его сами или доверили бы это профессионалу?». То же самое для расследования: наймите профессионалов.

Вопрос в том, как удержать начальника от чего-то неладного. Ваш ответ — сказать боссу, чтобы это сделал профессионал. Что бы вы сказали, если бы начальник требовал ключи от машин своих сотрудников? «Скажи ему, чтобы он нанял гонщика Формулы-1, чтобы он возил тебя на этих машинах».
@reinierpost Нажимать на электронную почту всех — неправильно. В расследовании в отношении сотрудника нет ничего плохого, и чтобы сделать это правильно, лучше всего нанять профессионала, потому что, будучи любителем, вы, скорее всего, сделаете в процессе действия, которые ЯВЛЯЮТСЯ неправильными, и навредите людям, которых вы не хотели. причинять боль.
Питер Б.: Вы серьезно хотели бы работать на работодателя, который нанимает частных детективов для слежки за своими сотрудниками?
Мой генеральный директор хочет получить постоянный доступ к электронной почте каждого сотрудника. Как мне объяснить, что это ужасная идея?
СпросиСетьПолитика конфиденциальности1y, 0v