Vraag Vertrouwelijke documentatie en de rol van de Sysadmin


Ik heb nog een interessante.

Ik sta op het punt een back-up te maken van de pc van de HR-beheerder en deze opnieuw te installeren. Ik vermoed dat de snelste manier om dit te doen is om de Windows 7 Transfer-tool te gebruiken en een back-up te maken van de volledige profielen van gebruikers en instellingen op de NAS.

Ik zie hier geen probleem mee.
Ze beweert dat niemand anders de informatie op haar computer zou moeten kunnen zien. Eerlijk genoeg. Ik denk dat de systeembeheerder (ik) voldoende betrouwbaar moet zijn om een ​​back-up te maken, geen vragen te stellen en de back-up te verwijderen zodra de taak is voltooid.

Ze is van mening dat niemand (zelfs de andere directeuren) de HR-documentatie niet mag bekijken op haar pc.

We hebben al een semi-backup (bestanden, geen gebruikersstatus) op box.net, die granulaire toegang tot verschillende gebruikers mogelijk maakt.

vragen:

1) Wie van ons is gek, zij of ik?

2) Vertrouwt u uw sysadmins om back-ups te maken van bedrijfsbeleid / HR-bestanden?

3) Heeft iemand een LART?


48
2018-06-14 10:21


oorsprong


dit klinkt als een goede vraag voor Informatiebeveiliging. - AviD
Wacht, ze maakt zich zorgen over de veiligheid van deze documenten en ze worden opgeslagen op een online dienst? Oh, en laat haar die bestanden opslaan in een TrueCrypt-container. U kunt een back-up maken en de container terugzetten naar behoefte en haar documenten zijn veilig (r) van anderen. - afrazier
Een extra laag dingen om fout te gaan. Ook een extra laag waar ik niet mee kan helpen. - Tom O'Connor
@Tom O'Connor: om dit tot het extreme te brengen: waarom zou je haar geen typemachine krijgen? Een moderne computer heeft te veel extra lagen die toch fout kunnen gaan (te beginnen met de abstractie / gedeelde waan van discrete bits, en vanaf daar opbouwen) - het is zoals gebruikelijk beveiliging versus bruikbaarheid. Encryptie is hier inderdaad het juiste antwoord, ook al is dat ongemakkelijk. - Piskvor
Ah. Ik twijfel niet aan verwijzingen die nieuwsgroepen als hun primaire bron aanhalen ... - Mark Henderson♦


antwoorden:


Mijn mening hierover is misschien niet populair hier, maar ik denk dat ze gelijk heeft, HR is een zeer specifieke rol in de meeste bedrijven, waarvoor een zeer belangrijke vaardigheid vereist is - absolute discretie. IT-mensen moeten een zeer breed scala aan vaardigheden hebben en terwijl discretie belangrijk is, is het niet het 'alles en het einde alles' dat het bij HR is. Meestal is ook de werving van IT-mensen minder grondig op dit gebied.

Misschien is hier een technische oplossing voor, wat denk je ervan om je HR-mensen een back-up te laten maken van hun eigen spullen op gecodeerde externe schijven die ze bezitten / beheren / opslaan?

Uiteindelijk moet je jezelf beschermen, als er geen manier is om aan HR-gegevens te komen, ben je duidelijk, als je management ziet dat je je best hebt gedaan en als veilig en privé een middel hebt gekregen om je werk functioneel te laten klaren zonder jezelf bloot te stellen aan beschuldigingen van gegevens die nieuwsgierig zijn, zullen ze gelukkig zijn - zelfs als het proces onhandig en traag is.

Wees in principe niet bang om je eigen kont op dit gebied te bedekken - de meeste mensen zullen het begrijpen en de HR-mensen zullen waarderen dat je hun rol en autoriteit respecteert. En natuurlijk zou je toch nooit HR moeten plagen, deze ninny's helpen je lot voor een gekke reden te bepalen :)


34
2018-06-14 10:33



Ik denk dat we op basis van heel veel punten tot een oplossing zijn gekomen. 1) Er wordt niets gevoelig opgeslagen op de pc zelf. 2) Back-ups worden gedaan via dvd in de brandkluis en Box.net. 3) Blijkt dat ze me wel vertrouwen, maar er nog steeds voor moeten zorgen dat ze hun collectieve ezels dekken. - Tom O'Connor
"Gewoonlijk is ook de rekrutering van IT-mensen minder grondig op dit gebied." Dat is een aanzienlijk falen van HR & management. In veel organisaties (met name SMB's) heeft IT toegangssleutels tot het "sleutel tot het kasteel", met de mogelijkheid bijna elk document en elke DB die in de organisatie is opgeslagen te lezen en te wijzigen. - afrazier
@afrazier - volkomen gelijk, maar ik heb de houding van het senior management ten aanzien van IT-rekrutering in een aantal bedrijven en landen door de jaren heen gezien - de meeste senioren denken aan alles behalve hun top IT-jongens als een commodity, triest maar waar. - Chopper3
Het behandelt niet altijd alleen je ASSETS. In veel landen (en sommige landen) kan het niet beschermen van uw integriteit een wereld van juridische schade voor u openen. - Jim B


Nummer 1:

Ze heeft een punt, maar omdat je vertrouwd bent met andere gevoelige informatie, moet je ook vertrouwd worden met HR-informatie. Leg uit dat je toegang nodig hebt om een ​​back-up van de bestanden te maken.

Nummer 2:

Ik heb volledige leestoegang tot mijn huidige systemen. Alles krijgt een back-up en de toegang tot het bestand wordt vastgelegd. Ik heb meer belangrijke dingen om me zorgen over te maken dat ik door HR-bestanden snuffel of ontdek hoeveel de school aan eten heeft uitgegeven voor de schoolkat. Op mijn vorige werkplek kon ik sommige Admin-gebieden niet bekijken (maar de netwerkbeheerder zou dit kunnen).

Nummer 3:

enter image description here


10
2018-06-14 10:35



Als systeembeheerder hebt u toegang tot de bestanden van mensen, hun e-mails en netwerkverkeer. Als een bedrijf zijn sysadmins niet kan vertrouwen, hebben ze al een probleem met de inhuurpraktijken. U moet toegang hebben tot bestanden om er een back-up van te maken. Hoewel het goed is dat ze haar taak serieus genoeg neemt om zich zorgen te maken dat mensen die bestanden openen, moet je de klus klaren. - Bart Silverstrim
Ook zijn die bestanden dat niet de hareop zich, maar het bedrijf. Terwijl je werkt voor de bedrijfs- en bedrijfsbelangen, moet ze je manier van werken niet in de weg staan. - Bart Silverstrim
Wat zou er gebeuren als haar computer breekt? Vertrouwt ze jou om het te repareren? Problemen oplossen? Breng het terug naar het werkgebied waaraan moet worden gewerkt? Vertrouwt ze je om hardware / gegevens te vernietigen voordat je genoemde computer afdankt, dat je DoD-richtlijnen volgt voor gegevensvernietiging? Of neemt ze de computer mee wanneer ze met pensioen gaat? Als je de gegevens wenste waar ze toegang toe heeft, is ze dan zelfs technologisch bekwaam om te begrijpen dat ze als systeembeheerder geen idee heeft hoe je kunt voorkomen dat je die informatie krijgt? - Bart Silverstrim
Onthouden. "Ga terug man, ik ben een computerwetenschapper." Doe dan het werk. Zoals een baas. / zet een zonnebril op - Bart Silverstrim
Opgewaardeerd voor cat5-van-negen-staarten. - eckza


Ze heeft gelijk, en jij ook.

Zij is (misschien mijn wet) verplicht om deze informatie te beschermen, u wordt opgedragen om uw werk te doen.

Dat is het dilemma.

Misschien moet je haar aanbieden haar pc opnieuw te installeren terwijl ze bij je in de buurt is, zodat ze er zeker van kan zijn dat haar waardevolle gegevens niet in het gedrang komen


5
2018-06-14 10:27





Systeembeheerders worden hier vertrouwd, maar alle beheeracties worden vastgelegd. Ik weet niet hoeveel zoiets haar zou kunnen garanderen - het loggen van acties zodat kan worden aangetoond dat alleen het back-upproces een back-up van deze gegevens maakt, en niet dat je het leest voor entertainment.

De andere te vermelden punten is dat het zo erg is als je dit via de back-ups hebt gelezen, ten eerste is ze serieus aan het zeggen dat het erger zou zijn dan dat de documenten voor altijd verloren zouden gaan omdat ze niet werden geback-upt, en ten tweede als HR directeur moet ze in staat zijn om ervoor te zorgen dat elk misbruik van systeembeheerderbevoegdheden kan worden beschouwd als grove fout.

Ten slotte bent u lid van de vereniging BCS / andere IT-professionals? Als dat zo is, hebben deze leden regels over ethiek. Als u lid bent van een dergelijke beroepsvereniging, kan het wijzen van haar op uw professionele ethische vereisten haar mogelijk opnieuw verzekeren.


2
2018-06-14 10:31



Het probleem is dat de back-ups van de kritieke bestanden worden afgehandeld door box.net. Dit is allemaal echt USMT-spul. - Tom O'Connor
ah, dat heb ik gemist. Kun je niet gewoon een herstel van haar gegevens naar het nieuwe systeem van box.net? - Rob Moir
Yep. Dat is precies het punt. - Tom O'Connor
@Robert - Zelfs als u de bestanden herstelt, is de enige manier waarop u ze kunt lezen, of u het eigendom hebt overgenomen (onder Windows). - Jim B
De League of Professional System Administrators (welke serverfout samen met een tijdje terug) heeft een Ethische code wat hier relevant zou kunnen zijn. - Handyman5


Dit is niet jouw beslissing. Ervan uitgaande dat u dit doet in een ontwikkeld land, zijn er wetten over het vrijgeven van privé-informatie. Uw HR-professional weet waarschijnlijk meer over die dan u.

Het gaat ook niet om het maken van een back-up, maar wat gebeurt er met die back-ups? Als ze vertrouwelijke informatie bevatten, moeten de back-ups zelf extra veilig zijn - veiliger dan andere vertrouwelijke bedrijfsinformatie. Wat ga je doen als iemand een bestand van de back-ups wil herstellen? Je kunt ze niet langer overdragen aan iemand anders om terug te herstellen - je moet het zelf doen. Onthoud dat dit ook uw vertrouwelijke informatie is - wie wilt u weten over uw disciplinaire kwesties, uw loon of het feit dat u via uw verzekering geestelijke hulp hebt gekregen?

EDIT: Voor de duidelijkheid, ik beweer niet categorisch "alleen het hoofd van de HR zou deze bestanden moeten zien". Maar er zijn vertrouwelijkheidskwesties met HR-gegevens die verschillen van andere bedrijfsgeheimen. Het gaat er niet om of de sysadmins 'vertrouwd' zijn of niet, maar om het verminderen van het aantal mensen dat toegang heeft tot HR-records. Noch CEO noch sysadmins hebben die toegang nodig.

Daar zijn technische en procedurele oplossingen voor. Misschien moet de HR-machine afzonderlijk van al het andere worden geback-upt en moeten de back-ups op een aparte plaats worden bewaard. misschien gebeurt dat al en uw HR-persoon hoeft alleen maar gerustgesteld te zijn dat er goed voor hen gezorgd zal worden. Misschien gaan jij en jij alleen 9 en niet je assistent die volgend jaar wordt aangenomen) met hen aan de slag.

Kortom, geen van jullie zijn gek en je moet uitzoeken hoe je dit voor jullie beiden kunt doen, terwijl je binnen de wet blijft.


2
2018-06-14 15:14



Ik ben meer dan gelukkig om mijn salaris aan iedereen te onthullen die vraagt. - Tom O'Connor
En de geestelijke gezondheidsproblemen? :-) - DJClayworth
Als er wetten zijn, moet IT bewust worden gemaakt van die wetten - geen vage opmerking krijgen dat IT niet bevoegd is om HR-gegevens te verwerken. - blunders
Er zijn er geen. - Tom O'Connor
Dat is goed nieuws. Maar als u dat deed, ben ik er vrij zeker van dat u zou willen dat zo weinig mensen in het bedrijf over hen weten als mogelijk. Of er is iets anders dat u niet breed bekend zou willen weten. - DJClayworth