Me voy de una empresa en la que he estado debido a que el jefe incumplió varias promesas, bonificaciones, etc. Después de rechazar contraofertas y otros incentivos, el jefe comenzó a mostrarse hostil hacia mí y ahora exige que le entregue la cuenta. credenciales para varias cuentas de la empresa (servicios de terceros para almacenamiento de código, control de versiones, etc.), todo lo cual puede restablecer fácilmente iniciando sesión como administrador. También me exigió que le entregue las credenciales de mi cuenta de correo electrónico personal para asegurarme de que no tengo ningún correo electrónico o IP de la empresa.
Respondí que mi correo electrónico personal es de mi propiedad y que nunca se usó en la oficina ni para mi trabajo. También noté que las otras cuentas podrían simplemente restablecer sus respectivas contraseñas usando las "herramientas de administrador", y que no proporcionaré los inicios de sesión, ya que ya acepté los términos legales de servicio para esos otros sitios web, que exigir que no comparta mis credenciales. Finalmente noté que ella puede comunicarse con esos sitios respectivos para obtener ayuda para restablecer las contraseñas, y que no habría pérdida de datos al hacerlo.
¿Me comporté profesionalmente? ¿Hay alguna circunstancia en la que deba proporcionar esas credenciales de cuenta (aparte de mi correo electrónico personal)? Finalmente, ¿debería decirle directamente "No puedo dártelos porque la única razón por la que podrías necesitarlos es para hacerte pasar por mí".
Esto es en el este de Canadá.
Cualquier profesional de la seguridad diría lo obvio: si se trata de una cuenta personal, NO le dé sus credenciales.
Ella puede restablecer las contraseñas a través de TI para su máquina de trabajo, y puede obtener legalmente una citación si deciden llevarlo a juicio por tener documentos confidenciales. Si no quieren dar ese paso, entonces no necesitan sus credenciales personales. Si les preocupa que usted tenga información confidencial, depende de ellos obtener la documentación legal y la autorización para obtenerla.
Si les preocupa que pueda acceder a un código de terceros, entonces pueden (a) cambiar la información de inicio de sesión de su parte y/o (b) seguir la ruta legal si creen que ha estado allí. Dado que los documentos están en un repositorio de terceros, dudo que la organización se ponga en peligro colaborando con actividades nefastas.
NO la acuse, ni siquiera tangencialmente, de mala conducta. Simplemente exponga los hechos y déjelo así. No está obligado a dar razones para conservar su información personal. Incluso las contraseñas que SÍ usa para su cuenta de trabajo a veces pueden considerarse información privada, ya que las personas reutilizan rutinariamente contraseñas comunes en sus cuentas. Si tienen la capacidad de restablecerlos, entonces no deberían preocuparse por nada.
No nunca. Ni siquiera las contraseñas de trabajo.
Las contraseñas son privadas. Nosotros, los administradores de sistemas y los proveedores de software, hacemos todo lo posible para asegurarnos de que nadie más que el propietario de la contraseña pueda verlos, y es por una buena razón.
Si hay alguna cuenta a la que necesita acceder, puede hacer que TI las restablezca. Esta es la (única) forma legítima de obtener acceso a las contraseñas cuando el empleado se va. Definitivamente deberían cambiarlos de todos modos, ya que ya no trabajarás allí.
En cuanto a su contraseña de correo electrónico personal, tal solicitud es absurda. Dígale que puede regresar por eso si tiene una orden judicial en mano.
Si su empresa tiene una política de contraseñas y/o una política de uso aceptable de los recursos informáticos, ahora es un buen momento para revisarla.
Cuentas personales: no tiene por qué pedir esas credenciales, y proporcionarlas a alguien que no es usted puede constituir una infracción de los Términos de uso de esos servicios.
Cuentas de trabajo: la empresa debe tener mecanismos establecidos para restablecer esas credenciales después de que su empleo haya terminado (y desde su publicación, parece que esto está en su lugar). Esos procesos deben incluir el registro de quién lo hizo, cuándo y por qué motivo(s). No debería ser necesario que su gerente obtenga su contraseña real, y aquí es donde entrarán en juego las políticas antes mencionadas. En muchas organizaciones, es una violación de esa política con consecuencias potencialmente tan graves como el despido si se descubre que un empleado está usando las credenciales de otra persona o compartiendo sus credenciales con otros.
Si bien la cuenta de correo electrónico puede ser propiedad de la empresa, eso no le da a su gerente carta blanca para ver todo lo que contiene. Por ejemplo, las comunicaciones entre usted y Recursos Humanos pueden considerarse confidenciales y no estar disponibles para ella; sin embargo, si tiene acceso a su cuenta, esa confidencialidad se rompería. Deje que TI y RR. HH. se encarguen de la cuenta "archivada" (su cuenta de correo electrónico debe estar desactivada y ya no debe aceptar nuevos mensajes tras su terminación) y use las herramientas a su disposición para ubicar mensajes específicos que su gerente pueda necesitar; no se le debe permitir ir en una expedición de pesca con su correo electrónico solo para "ver qué puede encontrar".
En términos prácticos, es posible que deba renunciar a las contraseñas de la cuenta de trabajo solo para superar esto. Pero manténgase firme en su(s) cuenta(s) personal(es). Si realmente cree que tiene algún negocio hurgando allí, puede presentar la documentación adecuada para buscarlo en el sistema legal.
¿Hay alguna circunstancia en la que deba proporcionar esas credenciales de cuenta?
Solo a las fuerzas del orden bajo una orden judicial (y bajo coacción).
Las cuentas pueden pertenecer a la empresa, pero las contraseñas son personales. Fin de la discusión. Si quiere asegurarse de que no tenga IP de la empresa en su correo electrónico personal, puede contratar a una empresa de informática forense.
No puedo dártelos porque la única razón por la que podrías necesitarlos es para hacerte pasar por mí.
Correcto.
editar : Pregunta relacionada con Security.SE: ¿Está bien decirle su contraseña al administrador de sistemas de su empresa?
Parece que te preocupa que ella quiera acusarte de un pecado. Si es así, definitivamente no deberías decir "la única razón por la que podrías necesitarlos es para hacerse pasar por mí", ya que eso podría permitirle construir un caso de ira.
Otros han dado buenos consejos para el problema más amplio, pero si ella está decidida a encontrar fallas, la solución más fácil podría ser dejar que construya un caso de pereza en su lugar:
Se recomienda restablecer la contraseña de una cuenta anterior porque garantiza que ya no podré acceder a nada que no deba. También significa que puedo usar contraseñas similares en otros lugares en el futuro.
Obviamente, nunca deberías reutilizar las contraseñas. Pero al mencionar la suplantación de forma oblicua y luego dirigir la discusión hacia un hipotético pecado "seguro", puede darle espacio para que llene los espacios en blanco por sí misma.
Si su jefe insiste en que le den las contraseñas de sus cuentas de trabajo, y usted no quiere dar aquí esas contraseñas (por ejemplo, porque usó la misma contraseña para cuentas personales), en lugar de pelear con él/ella por el asunto, podría cambie todas sus contraseñas a Password123. O tal vez pídale a TI que sugiera una contraseña y cambie todas sus contraseñas a la contraseña que sugieren. Y entrega esa contraseña.
fundako
BeboyConozcoCosas
Chris E.
usuario8365
Neo
dlb
Cayo