Documentação confidencial e o papel do administrador de sistemas

48

Eu tenho outro interessante.

Estou prestes a fazer backup e reinstalar o PC do administrador de RH. Suspeito que a maneira mais rápida de fazer isso seja usar a ferramenta de transferência do Windows 7 e criar um backup de todos os perfis de usuários e configurações no NAS.

Não vejo problema com isso.
Ela alega que ninguém mais poderá ver as informações em seu computador. Justo. Penso que o administrador de sistemas (eu) deve estar em um nível de confiança suficientemente significativo para poder fazer um backup, sem perguntas, e excluí-lo quando a tarefa estiver concluída.

Para ela, ninguém (nem mesmo os outros diretores) deve poder visualizar a documentação de RH em seu PC.

Já temos um semi-backup (arquivos, não o estado do usuário) no box.net, que permite acesso granular a vários usuários.

Questões:

1) Qual de nós é louco, ela ou eu?

2) Você confia em seus administradores de sistema para fazer backups dos arquivos de política / RH da empresa?

3) Alguém tem um LART?

Tom O'Connor
fonte
3
isso soa como uma boa pergunta para a segurança da informação .
Avid
3
Espere, ela está preocupada com a segurança desses documentos e eles estão sendo armazenados em um serviço online? Ah, e peça para ela armazenar esses arquivos em um contêiner TrueCrypt. Você pode fazer backup e restaurar o contêiner conforme necessário, e os documentos dela estão a salvo (r) de outras pessoas.
afrazier
Uma camada extra de coisas pode dar errado. Além disso, uma camada extra que não poderei ajudar.
Tom O'Connor
9
@ Tom O'Connor: Para levar isso ao extremo: por que não levá-la para uma máquina de escrever? Um computador moderno possui muitas camadas extras que podem dar errado de qualquer maneira (começando com a abstração / ilusão compartilhada de bits discretos e a partir daí) - é segurança versus usabilidade, como de costume. A criptografia é de fato a resposta certa aqui, mesmo que seja inconveniente.
Piskvor
1
Ah Estou duvidosa de quaisquer referências que Citam newsgroups como sua principal fonte ...
Mark Henderson

Respostas:

34

Minha opinião sobre isso pode não ser popular aqui, mas acho que ela está certa, o RH é um papel muito específico na maioria das empresas, exigindo uma habilidade muito importante - discrição absoluta. O pessoal de TI precisa ter uma gama muito ampla de habilidades e, embora a discrição seja importante, não é o 'seja tudo e termine tudo' que ocorre com o RH. Normalmente, o recrutamento de pessoas de TI também é menos completo nessa área.

Talvez exista uma solução técnica para isso, que tal fazer com que seu pessoal de RH faça backup de seus próprios itens em discos externos criptografados que eles possuem / gerenciam / armazenam?

Em última análise, você precisa se proteger, se não há como obter dados de RH, então você está claro: se a sua gerência perceber que você fez o seu melhor e forneceu um meio seguro e privado para executar funcionalmente seu trabalho sem se expor a acusações de invasão de dados, eles ficarão felizes - mesmo que o processo seja desajeitado e lento.

Basicamente, não tenha medo de se cobrir nessa área - a maioria das pessoas entenderá e o pessoal de RH apreciará que você está respeitando o papel e a autoridade deles. Além disso, é claro que você nunca deve irritar o RH de qualquer maneira, a ajuda desses ninny decide seu destino por algum motivo louco :)

Chopper3
fonte
2
Acho que chegamos a uma resolução baseada em vários pontos. 1) Nada sensível é armazenado no próprio PC. 2) Os backups serão feitos via DVD no cofre de segurança e Box.net. 3) Acontece que eles confiam em mim, mas ainda precisam garantir que estão cobrindo suas bundas coletivas.
Tom O'Connor
2
"Normalmente, o recrutamento de pessoas de TI também é menos completo nessa área." Isso é uma falha significativa de RH e gerenciamento. Em muitas organizações (particularmente pequenas e médias empresas), a TI possui níveis de acesso "chaves para o castelo", com a capacidade de ler e modificar quase todos os documentos e bancos de dados armazenados na organização.
afrazier
1
@afrazier - você está absolutamente certo, mas vi a atitude da gerência sênior em relação ao recrutamento de TI em várias empresas e países ao longo dos anos - a maioria das pessoas seniores pensa em todos, exceto os principais profissionais de TI, como uma mercadoria, triste, mas verdadeira.
Chopper3
Nem sempre é só cobrir seus ativos. Em muitos estados (e em alguns países), a falha em proteger sua integridade pode abrir um mundo de ferimentos legais para você.
Jim B
10

No. 1:

Ela tem razão, mas como você confia em outras informações confidenciais, você também deve confiar nas informações de RH. Explique que você precisa de acesso para fazer backup dos arquivos.

No. 2:

Eu tenho acesso total de leitura aos meus sistemas atuais. Tudo obtém backup e o acesso ao arquivo é registrado. Tenho coisas mais importantes para me preocupar com isso vasculhando os arquivos de RH ou descobrindo quanto a escola gastou em comida para o gato da escola. No local de trabalho anterior, não conseguia visualizar algumas das áreas administrativas (mas o gerente da rede podia).

N ° 3:

insira a descrição da imagem aqui

tombull89
fonte
8
Como administrador do sistema, você tem acesso aos arquivos, e-mails e tráfego de rede das pessoas. Se uma empresa não pode confiar em seus administradores de sistema, eles já têm um problema com as práticas de contratação. Você precisa ter acesso aos arquivos para fazer backup deles. Embora seja bom que ela leve o trabalho a sério o suficiente para se preocupar com as pessoas acessando esses arquivos, você precisa fazer o trabalho.
23411 Bart
5
Além disso, esses arquivos não são dela , por si só, mas da empresa. Como você trabalha para os interesses da empresa, ela não deve atrapalhar o seu trabalho.
23411 Bart
4
Além disso, o que aconteceria se o computador dela quebrasse? Ela confia em você para consertar? Solucionar problemas? Levar de volta à área de trabalho a ser trabalhada? Ela confia em você para destruir o hardware / dados antes de descartar o computador, que você está seguindo as diretrizes do DoD para destruição de dados? Ou ela está levando o computador quando se aposenta? Se você queria os dados aos quais ela tem acesso, ela é tecnologicamente competente para entender que, como administrador de sistemas, ela pode não ter idéia de como impedir você de obter essas informações?
22411 Bart
5
Lembrar. "Afaste-se, cara. Sou cientista da computação." Então faça o trabalho. Que nem um chefe. / coloca em óculos de sol
Bart Silverstrim
8
Voto a favor de cat5-of-nine-caudas.
eckza
5

Ela está certa, e você também.

Ela é (talvez minha lei) obrigada a proteger essas informações, você é orientado a fazer seu trabalho.

Esse é o dilema.

Talvez você deva oferecer a ela uma reinstalação do PC enquanto ela estiver perto de você, para garantir que seus preciosos dados não sejam comprometidos.

jojoo
fonte
2

Os administradores do sistema são confiáveis ​​aqui, mas todas as ações administrativas são registradas. Eu não sei o quanto algo assim a asseguraria - o registro de ações para que seja demonstrado que apenas o processo de backup está fazendo backup desses dados, e você não está lendo para entretenimento.

O outro ponto a ser destacado é que, por pior que seja, se você leu essas coisas por meio dos backups, primeiro ela está dizendo seriamente que seria pior do que os documentos perdidos para sempre porque não foram salvos em backup e, segundo, como RH diretor, ela deve poder garantir que qualquer uso indevido dos privilégios de administrador do sistema possa ser tratado como má conduta grave.

Por fim, você é membro da associação BCS / outro profissional de TI? Se assim for, estes têm regras de membros sobre ética. Se você é membro de uma associação profissional, apontá-la para seus requisitos de ética profissional pode tranquilizá-la.

Rob Moir
fonte
O problema é que os backups dos arquivos críticos são gerenciados pelo box.net. Isso é realmente tudo do tipo USMT.
Tom O'Connor
ahh, eu senti falta disso. Você não pode simplesmente restaurar os dados dela no novo sistema do box.net?
precisa
Sim. Esse é precisamente o ponto.
Tom O'Connor
@ Robert - Mesmo que você restaure os arquivos, a única maneira de lê-los é se você assumiu a propriedade (no Windows).
Jim B
A Liga de Administradores Profissionais de Sistemas (com a qual a Server Fault se associou há pouco tempo) possui um Código de Ética que pode ser pertinente aqui.
Handyman5
2

Esta não é sua decisão. Supondo que você esteja fazendo isso em um país desenvolvido, existem leis sobre a divulgação de informações particulares. Seu profissional de RH provavelmente sabe mais sobre eles do que você.

Também não se trata de fazer backup, mas o que acontece com esses backups? Se eles contiverem informações confidenciais, os próprios backups deverão ser extremamente seguros - mais seguros do que outras informações confidenciais da empresa. O que você fará se alguém quiser restaurar um arquivo dos backups? Você não poderá mais entregá-las para outra pessoa restaurar - você precisará fazer isso sozinho. Lembre-se de que também são suas informações confidenciais - quem você deseja saber sobre seus problemas disciplinares, seu salário ou o fato de ter recebido aconselhamento em saúde mental através do seu seguro?

Edição: Para ser claro, não estou afirmando categoricamente "apenas o chefe de RH deve ver esses arquivos". Mas há problemas de confidencialidade nos dados de RH que são diferentes de outros segredos da empresa. Não se trata de saber se os administradores de sistemas são ou não confiáveis, mas de reduzir o número de pessoas que têm acesso aos registros de RH. Nem o CEO nem os administradores de sistemas precisam necessariamente desse acesso.

Existem soluções técnicas e processuais para isso. Talvez a máquina de RH deva ser copiada separadamente de todo o resto e os backups mantidos em um local separado. talvez isso já aconteça e sua pessoa de RH precise apenas ter certeza de que será cuidada adequadamente. Talvez você e você, sozinho, e não seu assistente contratado no próximo ano) trabalhem com eles.

Em resumo, nenhum de vocês é louco e precisa descobrir como fazer isso funcionar para os dois, enquanto permanece dentro da lei.

DJClayworth
fonte
Estou mais do que feliz em divulgar meu salário a quem pedir.
Tom O'Connor
E os problemas de saúde mental? :-)
DJClayworth
Se houver leis, a TI deve ser informada dessas leis - e não obter uma declaração vaga de que a TI não está autorizada a manipular dados de RH.
erros
Não há nenhum.
Tom O'Connor
Boas notícias. Mas, se você soubesse, tenho certeza de que gostaria que o menor número de pessoas na empresa soubesse sobre eles o máximo possível. Ou há outra coisa que você não gostaria que fosse amplamente conhecida.
precisa