Mi jefe solicitó a TI que cambiara mi contraseña corporativa mientras estaba fuera de la oficina sin decírmelo. Usó la nueva contraseña para iniciar sesión en mi PC como yo y copió mi proyecto (no sé qué más hizo).
Cuando estaba de vuelta en la oficina, una nota adhesiva amarilla con la nueva contraseña estaba en mi escritorio. Me dijo que esa es mi nueva contraseña cuando me vio en la oficina. ¿Es esto una violación de la seguridad? ¿Una violación de la privacidad?
No debe esperar tener privacidad en una máquina propiedad de la empresa. Sin embargo, en un entorno de TI saludable, su gerente haría esto pidiéndole a TI que le envíe los archivos que está buscando, que pueden recuperar accediendo a la computadora usando sus propias cuentas administrativas, no accediendo con su cuenta. Si lo hacen de esta manera, nunca hay una pregunta de auditoría sobre quién accedió a los archivos o si una acción realizada por su cuenta es realmente una acción que usted realizó. Su departamento de TI también debe seguir las pautas que se le hayan dado para facilitar el acceso; esto podría incluir obtener el permiso del asesor legal de su empresa, proporcionar documentación de justificación, etc.
Si se trata o no de una violación de la seguridad, depende de la política de la empresa y de las leyes/obligaciones contractuales aplicables. Puede hablar de esto con su gerente si lo desea y expresar sus inquietudes, y hay bastantes válidas. Como se mencionó, iniciar sesión en su cuenta anula directamente la auditoría: su equipo de seguridad ya no puede estar razonablemente seguro de que usted tomó las acciones realizadas por su cuenta si otras personas inician sesión en la cuenta. Dependiendo de su trabajo, también puede tener acceso a información que su jefe no tiene; esto podría incluir información relacionada con recursos humanos, datos de clientes para contratos en los que su jefe no está, etc. Sin embargo, cambiar el sistema para permitir este tipo de acceso puede no considerarse una inversión que valga la pena para una pequeña empresa que no maneja información confidencial.
Además, como mencionó Edgar, dejar su contraseña en una nota adhesiva exacerba el problema de auditoría, ya que ahora cualquier persona de su empresa podría haber accedido a su cuenta mientras no estaba. Como mínimo, si la empresa no está dispuesta a cambiar su política sobre el restablecimiento de cuentas, debe pedirle a su gerente que le diga la contraseña en persona cuando regrese en el futuro, o pedirle a TI que la restablezca nuevamente a algo generado por un sistema seguro. generador de contraseñas aleatorias y no las escriba, luego reinicie y le permitirá elegir una nueva contraseña cuando regrese.
El "bloc de notas adhesivo amarillo con la nueva contraseña en mi escritorio" es definitivamente una violación de la seguridad y el jefe de cualquier empresa debe saberlo.
Él podría tener una razón por la que tiene que acceder a su PC y podría tener una razón para pedirle a TI que restablezca su contraseña. Pero es imperdonable que pusiera a la luz esa nueva contraseña. Debería haberle informado que tenía que restablecer la contraseña y luego TI podría haberla restablecido nuevamente y darle una nueva contraseña, que su jefe no conoce.
Editar: sobre el uso de la cuenta de usuario o una cuenta diferente: sí, TI debería poder obtener datos de esa PC usando una cuenta diferente. Pero en la vida real, a menudo es mucho más fácil iniciar sesión con la cuenta de usuario "normal". Creo que es una cuestión de política de la empresa y de las circunstancias y no es fácil de responder.
Las implicaciones legales dependerán del país. En Francia, por ejemplo, eso sería terrible, ya que la ley le permite tener datos personales en su computadora. Tenga en cuenta que estoy escribiendo algo terrible y no algo ilegal, ya que aún puede acceder a sus datos profesionales como le parezca adecuado.
Luego viene la cuestión de la trazabilidad. Desde el momento en que obtuvo su contraseña hasta el momento en que la cambió, él es responsable de lo que haya sucedido con su cuenta. En particular, si no cambia su contraseña, él sigue siendo usted. Es posible que desee documentar eso específicamente.
Desde una perspectiva de seguridad de la información (algo que puedo comentar de primera mano), tal acción demuestra que su empresa no tiene políticas de seguridad sólidas. Esto puede o no ser un problema, dependiendo de la industria en la que trabaje.
patricia shanahan
Slothario
erik
Lilienthal
pmf
mustaccio
gnasher729