Soy un ingeniero de bajo nivel recién contratado en una gran empresa en los EE. UU. Al suscribirme a mi paquete de beneficios/seguro, noté que los requisitos de la contraseña incluían un máximo de 9 caracteres . No hace falta decir que no me siento muy cómodo entregando información personal a un requisito tan laxo. [1]
Debido a mi (bajo) estado, ¿es aceptable llevar esta inquietud a TI y/o Recursos Humanos, o eso cambiaría el rumbo? [2] Lo mencioné coloquialmente con mis gerentes directos (con quienes tengo buenas relaciones), y aunque reconocieron la mala práctica, no parecían demasiado preocupados por hacer algo al respecto. Lo más probable es que estén acostumbrados, ya que se inscribieron hace años.
No me gustaría seguir la corriente y (a) no sentir que mi información personal está segura, y (b) dejar que esta práctica pase desapercibida o no se informe. Por supuesto, me siento tonto pensando que la compañía cambiaría una política de larga data (y quizás menor) solo para mí. Pero después de todo, toda mala práctica de seguridad está bien hasta que se convierte en muy mala muy rápidamente.
[1] Dado que este es el lugar de trabajo y no un SE de seguridad, suponga que se trata de una mala práctica de seguridad que debe evitarse para que podamos discutir la pregunta en cuestión, no una política de seguridad adecuada.
[2] En respuesta a algunos comentarios en los comentarios, tenga en cuenta que no estoy sugiriendo ir al jefe de TI y gritar asesinato sangriento sobre el agujero de seguridad masivo en su sistema . Tenía más de lo siguiente en mente:Hi [IT/HR person with whom I have a relationship], I noticed there was a 9 char password limit on [...], is that something that can easily be changed to allow more secure passwords? Thanks, Me.
Debido a mi (bajo) estado, ¿es aceptable llevar esta inquietud a TI y/o Recursos Humanos, o eso cambiaría el rumbo?
Respuesta corta: Ir con la corriente. ( por ahora )
Esperaría para mencionar esto hasta después de que haya estado en la compañía por un tiempo (más de seis meses). No eligieron 9 caracteres (correctos o incorrectos) de la nada, y quien estuvo involucrado en el desarrollo de la política dedicó algo de tiempo para crearla.
A medida que se establece en la empresa, averigüe quién redactó la política y cortésmente ofrezca sus sugerencias, incluido material de referencia para respaldar sus sugerencias.
Así que... odio dar malas noticias, pero...
Finalmente, está esto: el hombre responsable de los requisitos de contraseñas seguras se arrepiente de sus directrices de 2003
finally
, sí, esto es exactamente lo que estoy tratando de evitar, ¡al estilo xkcd !Realmente tienes dos opciones aquí:
Incluso en el caso del n. ° 2 anterior, todo el sistema es tan fuerte como la contraseña de administrador más débil utilizada. Siendo realistas, una gran empresa no se apresurará a hacer cambios en algo como lo que estás describiendo. Probablemente esté demasiado abajo en el orden jerárquico para hacer una gran diferencia a menos que, de alguna manera, descubra una violación de hecho en la autenticación.
¿Es aceptable llevar esta preocupación a TI y/o Recursos Humanos?
En general, no, al menos no todavía. No solo porque es nuevo en la organización, sino también porque no es de TI. Para decirlo sin rodeos, el trasfondo de su pregunta me parece que usted "sabe mejor" que los profesionales cuya carrera entera está decidiendo estas cosas, a pesar de que, por su propia admisión, no es un experto en el tema. . Y no estoy en lo más mínimo involucrado en su empresa, así que imagine cómo reaccionarían aquellos en dichos roles en su empresa.
Una vez que tenga los pies en el suelo, comprenda cómo funciona la organización y conozca a las personas, entonces seguro, si todavía le preocupa, plantee cuidadosamente la pregunta a aquellos que serían receptivos. Pero salirse de su camino para cuestionar la seguridad de los sistemas que no son parte de su responsabilidad o de la responsabilidad de su departamento como un nuevo empleado que no es de TI es una mala idea y una buena manera de obtener una reputación como un empleado de alto mantenimiento.
Por último, como un pequeño aparte, la mayoría de las organizaciones grandes, asumiendo que estamos definiendo grande como algo del orden de 10,000 o más empleados (no 500 empleados o similares), tendrán un programa sólido de gestión de riesgos. En el nivel más alto, la seguridad no se trata solo de "esta es la mejor configuración de seguridad técnica que se puede hacer, por lo tanto, debe hacerlo", sino que se trata de tomar decisiones ejecutivas sobre el equilibrio entre riesgos y beneficios. Entonces, lo más probable es que la gente lo sepa y haya decidido que vale la pena correr el riesgo de seguir dicha política de contraseñas.
En un mundo perfecto, las personas considerarían las ideas en función de su mérito y no de las credenciales de la fuente, y estarían felices de saber que tomaron una mala decisión para poder corregirla y evitar el mismo error en el futuro. .
Pero en un mundo perfecto, todos serían honestos, nadie intentaría robar su información o usarla maliciosamente, no necesitaríamos contraseñas y no estaríamos discutiendo esto.
En la vida real, la mayoría de las veces alguien que acaba de empezar en la empresa hace unas semanas recibe muy poco respeto. Aún no te has probado a ti mismo. Podrías ser la persona más inteligente de la sala, pero nadie lo sabe. Y por lo tanto, es probable que las personas que han estado allí por un tiempo y hayan demostrado su valía no tomen muy bien las críticas de usted.
No siempre, por supuesto. Pero a menudo.
Si yo fuera tú, me quedaría con eso por ahora. Gana algo de respeto haciendo un trabajo de calidad. Trabajo que no implique decir que el trabajo de otra persona fue malo. Entonces, cuando te hayas establecido, tendrás suficiente respeto para que cuando digas cortésmente que alguna decisión pasada fue una mala idea, la gente esté dispuesta a escuchar.
Si cree firmemente que este es un tema importante (estoy siguiendo su nota para no comentar sobre mi perspectiva al respecto), debe plantearlo a Recursos Humanos. Parece que estás al principio de tu carrera: te enfrentarás a problemas como este todo el tiempo. Es su trabajo como ingeniero encontrar problemas y reportarlos/solucionarlos.
Si acude a Recursos Humanos (en lugar de TI), deberían estar en condiciones de recibir sus comentarios y enviarlos de manera adecuada. Puede ser que no se haga nada, entonces depende de usted decidir si aceptarlo o no (puede retirarse del trabajo o rechazar los beneficios si el problema es lo suficientemente importante para usted). Recursos Humanos no tomará represalias y, suponiendo que presente su problema de manera profesional, esto no debería causarle ningún problema. ¿Quién sabe? Tal vez seas la persona número 100 en quejarse y finalmente lo arreglen. En cualquier caso, serás un empleado más valioso y un mejor ingeniero por no dejar pasar el problema.
jane s