¿Es aceptable que los nuevos empleados mencionen las malas prácticas de seguridad o "seguir la corriente"? [duplicar]

Soy un ingeniero de bajo nivel recién contratado en una gran empresa en los EE. UU. Al suscribirme a mi paquete de beneficios/seguro, noté que los requisitos de la contraseña incluían un máximo de 9 caracteres . No hace falta decir que no me siento muy cómodo entregando información personal a un requisito tan laxo. [1]

Debido a mi (bajo) estado, ¿es aceptable llevar esta inquietud a TI y/o Recursos Humanos, o eso cambiaría el rumbo? [2] Lo mencioné coloquialmente con mis gerentes directos (con quienes tengo buenas relaciones), y aunque reconocieron la mala práctica, no parecían demasiado preocupados por hacer algo al respecto. Lo más probable es que estén acostumbrados, ya que se inscribieron hace años.

No me gustaría seguir la corriente y (a) no sentir que mi información personal está segura, y (b) dejar que esta práctica pase desapercibida o no se informe. Por supuesto, me siento tonto pensando que la compañía cambiaría una política de larga data (y quizás menor) solo para mí. Pero después de todo, toda mala práctica de seguridad está bien hasta que se convierte en muy mala muy rápidamente.

[1] Dado que este es el lugar de trabajo y no un SE de seguridad, suponga que se trata de una mala práctica de seguridad que debe evitarse para que podamos discutir la pregunta en cuestión, no una política de seguridad adecuada.

[2] En respuesta a algunos comentarios en los comentarios, tenga en cuenta que no estoy sugiriendo ir al jefe de TI y gritar asesinato sangriento sobre el agujero de seguridad masivo en su sistema . Tenía más de lo siguiente en mente:Hi [IT/HR person with whom I have a relationship], I noticed there was a 9 char password limit on [...], is that something that can easily be changed to allow more secure passwords? Thanks, Me.

Los comentarios no son para una discusión extensa; esta conversación se ha movido a chat .

Respuestas (6)

Debido a mi (bajo) estado, ¿es aceptable llevar esta inquietud a TI y/o Recursos Humanos, o eso cambiaría el rumbo?

Respuesta corta: Ir con la corriente. ( por ahora )

Esperaría para mencionar esto hasta después de que haya estado en la compañía por un tiempo (más de seis meses). No eligieron 9 caracteres (correctos o incorrectos) de la nada, y quien estuvo involucrado en el desarrollo de la política dedicó algo de tiempo para crearla.

A medida que se establece en la empresa, averigüe quién redactó la política y cortésmente ofrezca sus sugerencias, incluido material de referencia para respaldar sus sugerencias.

No eligieron 9 personajes de la nada : esto. Lo más probable es que tengan un sistema heredado con un límite de contraseña de 9 caracteres. No estoy seguro de si importa quién escribió la política, pero tiene que haber alguien responsable de mantenerla actualizada y actualizada. Esa es la persona con quien hablar.
Punto interesante, no había considerado que podría ser un sistema heredado complicado. Eso probablemente te dice un poco sobre mi edad (y me recuerda cuán anticuadas suenan ciertas siglas como "Ocho megabytes e intercambio constante"). Eso lo haría significativamente más difícil. @IDrinkandIKnowThings, ¿es esta una recomendación para comentarlo con alguien?
@nivk: mi mejor consejo para comenzar un nuevo trabajo es escuchar mucho, hacer preguntas cuando corresponda y, hasta que tenga una comprensión completa de lo que está sucediendo, no ofrezca consejos sobre cómo cambiar nada.
@IDrinkandIKnowThings, vale la pena señalar que no estoy en el departamento de TI. Las cosas que escucho y pregunto no tienen ninguna relación (soy ingeniero eléctrico). La nota al pie actualizada en OP puede aclarar mis intenciones.
No es poco profesional enviar ese correo electrónico. Sin embargo, puede ser imprudente enviarlo. Mira mi consejo arriba.
@nivk es mejor dejarlo así por ahora.
@IDrinkandIKnowThings, tiendo a estar de acuerdo. Gracias por tu ayuda. Lo dejaré así por ahora y posiblemente vuelva a visitarlo más tarde cuando tenga más influencia.
@IDrinkandIKnowThings Apuesto dinero real a que esta contraseña tiene que caber en un AS400.

Así que... odio dar malas noticias, pero...

  1. Estás siendo demasiado sensible. Si alguien quiere entrar en los registros de los empleados, la contraseña de alguien no es el vector que elegiría. Y si lo intentan, existe una probabilidad cercana al 100 % de que la contraseña administrativa de alguien sea mucho menos "segura" que cualquier otra que usted elija.
  2. Si se trata de una 'gran empresa', su personal de seguridad interna, auditores y abogados probablemente estén al tanto de esto y estén de acuerdo con ello.
  3. Una 'gran empresa' no va a cambiar su política sobre esto, lo siento :(

Finalmente, está esto: el hombre responsable de los requisitos de contraseñas seguras se arrepiente de sus directrices de 2003

Estoy 100% de acuerdo con el n. ° 1, acabamos de recibir una ronda de memorandos que advierten sobre estafas de phishing (mucho más comunes y exitosas). Aún así, esto es (a) para información personal y de salud, no para información de la empresa, y (b) una solución relativamente simple con un costo muy bajo. Re #2,3 vale la pena señalar que los requisitos de frase de contraseña en otras partes del co son mucho más estrictos. No tengo idea de por qué se eligió un 9 max para esto. Re finally, sí, esto es exactamente lo que estoy tratando de evitar, ¡al estilo xkcd !
@nivk 97%, el campo 'contraseña' en algunos sistemas de recursos humanos candidatos a museos está limitado a 9 caracteres. Esto se arreglará cuando el nuevo reemplazo multimillonario esté terminado después de 4 años de demoras... ¡bienvenido al mundo corporativo!
Entonces, ¿alguna razón para el voto negativo? ¿Cualquier comentario? Totalmente injustificado y engañoso. Debe ser ignorado.
No voté a la baja, pero para mí esta respuesta se lee principalmente como un desafío sobre si es una mala política de seguridad, en lugar de si, asumiendo que es mala, debería ser planteada a la gerencia.
# 3 es el único que importa, pero no explica por qué no cambiarán su política...
@ S.Grey: bueno, el grado de "maldad" es completamente relevante en cuanto a si el OP debe agitar por el cambio y en qué medida. Cualquier consejo que ignore ese aspecto es bastante inútil.
@ Johns-305 Como lo mencionaron otros, el artículo 3 es la única parte relevante.
@PoloHoleSet Relevante, seguro. Sin embargo, todas menos una oración corta en esta respuesta desafían la premisa en lugar de responder la pregunta, y no se aborda el quid de la pregunta.

Realmente tienes dos opciones aquí:

  1. Usa el sistema y regístrate para obtener sus beneficios. Utilice la contraseña más segura que se le ocurra.
  2. No use el sistema y pague sus propios beneficios porque es probable que nadie en el trabajo vaya a hacer la incorporación en su lugar.

Incluso en el caso del n. ° 2 anterior, todo el sistema es tan fuerte como la contraseña de administrador más débil utilizada. Siendo realistas, una gran empresa no se apresurará a hacer cambios en algo como lo que estás describiendo. Probablemente esté demasiado abajo en el orden jerárquico para hacer una gran diferencia a menos que, de alguna manera, descubra una violación de hecho en la autenticación.

¿Es aceptable llevar esta preocupación a TI y/o Recursos Humanos?

En general, no, al menos no todavía. No solo porque es nuevo en la organización, sino también porque no es de TI. Para decirlo sin rodeos, el trasfondo de su pregunta me parece que usted "sabe mejor" que los profesionales cuya carrera entera está decidiendo estas cosas, a pesar de que, por su propia admisión, no es un experto en el tema. . Y no estoy en lo más mínimo involucrado en su empresa, así que imagine cómo reaccionarían aquellos en dichos roles en su empresa.

Una vez que tenga los pies en el suelo, comprenda cómo funciona la organización y conozca a las personas, entonces seguro, si todavía le preocupa, plantee cuidadosamente la pregunta a aquellos que serían receptivos. Pero salirse de su camino para cuestionar la seguridad de los sistemas que no son parte de su responsabilidad o de la responsabilidad de su departamento como un nuevo empleado que no es de TI es una mala idea y una buena manera de obtener una reputación como un empleado de alto mantenimiento.

Por último, como un pequeño aparte, la mayoría de las organizaciones grandes, asumiendo que estamos definiendo grande como algo del orden de 10,000 o más empleados (no 500 empleados o similares), tendrán un programa sólido de gestión de riesgos. En el nivel más alto, la seguridad no se trata solo de "esta es la mejor configuración de seguridad técnica que se puede hacer, por lo tanto, debe hacerlo", sino que se trata de tomar decisiones ejecutivas sobre el equilibrio entre riesgos y beneficios. Entonces, lo más probable es que la gente lo sepa y haya decidido que vale la pena correr el riesgo de seguir dicha política de contraseñas.

En un mundo perfecto, las personas considerarían las ideas en función de su mérito y no de las credenciales de la fuente, y estarían felices de saber que tomaron una mala decisión para poder corregirla y evitar el mismo error en el futuro. .

Pero en un mundo perfecto, todos serían honestos, nadie intentaría robar su información o usarla maliciosamente, no necesitaríamos contraseñas y no estaríamos discutiendo esto.

En la vida real, la mayoría de las veces alguien que acaba de empezar en la empresa hace unas semanas recibe muy poco respeto. Aún no te has probado a ti mismo. Podrías ser la persona más inteligente de la sala, pero nadie lo sabe. Y por lo tanto, es probable que las personas que han estado allí por un tiempo y hayan demostrado su valía no tomen muy bien las críticas de usted.

No siempre, por supuesto. Pero a menudo.

Si yo fuera tú, me quedaría con eso por ahora. Gana algo de respeto haciendo un trabajo de calidad. Trabajo que no implique decir que el trabajo de otra persona fue malo. Entonces, cuando te hayas establecido, tendrás suficiente respeto para que cuando digas cortésmente que alguna decisión pasada fue una mala idea, la gente esté dispuesta a escuchar.

Si cree firmemente que este es un tema importante (estoy siguiendo su nota para no comentar sobre mi perspectiva al respecto), debe plantearlo a Recursos Humanos. Parece que estás al principio de tu carrera: te enfrentarás a problemas como este todo el tiempo. Es su trabajo como ingeniero encontrar problemas y reportarlos/solucionarlos.

Si acude a Recursos Humanos (en lugar de TI), deberían estar en condiciones de recibir sus comentarios y enviarlos de manera adecuada. Puede ser que no se haga nada, entonces depende de usted decidir si aceptarlo o no (puede retirarse del trabajo o rechazar los beneficios si el problema es lo suficientemente importante para usted). Recursos Humanos no tomará represalias y, suponiendo que presente su problema de manera profesional, esto no debería causarle ningún problema. ¿Quién sabe? Tal vez seas la persona número 100 en quejarse y finalmente lo arreglen. En cualquier caso, serás un empleado más valioso y un mejor ingeniero por no dejar pasar el problema.

¿Es aceptable que los nuevos empleados mencionen las malas prácticas de seguridad o "seguir la corriente"? [duplicar]
RespuestasAquíPolítica de privacidad1y, 0v