¿Puede un jefe solicitar a TI que cambie su contraseña e inicie sesión en su PC como usted? [cerrado]

Mi jefe solicitó a TI que cambiara mi contraseña corporativa mientras estaba fuera de la oficina sin decírmelo. Usó la nueva contraseña para iniciar sesión en mi PC como yo y copió mi proyecto (no sé qué más hizo).

Cuando estaba de vuelta en la oficina, una nota adhesiva amarilla con la nueva contraseña estaba en mi escritorio. Me dijo que esa es mi nueva contraseña cuando me vio en la oficina. ¿Es esto una violación de la seguridad? ¿Una violación de la privacidad?

¿Iniciar sesión en su PC como usted era la única forma de acceder a los archivos del proyecto? ¿Había algo más que su gerente podría/debería haber hecho para obtener una copia del proyecto?
¿Ético? No. ¿Buena política de TI? No. ¿Puede hacerlo? Sí. Y no hay mucho que puedas hacer al respecto.
¿Cuál es tu ubicación? Esto varía según la ubicación.
Para preguntas de seguridad, consulte Seguridad de la información . Para cuestiones legales ver Ley . No veo una pregunta que se pueda responder/práctica en esta publicación, así que la dejo en suspenso. Consulte el centro de ayuda si desea hacer una pregunta sobre esta situación que podamos responder .
"¿Es esto una violación de la seguridad? ¿Una violación de la privacidad?" No y no, lo más probable. Esto no es raro en situaciones de emergencia (compañero de trabajo MIA o enfermo) y no ha almacenado el proyecto en recursos compartidos de red o en el control de versiones.
Tiene suerte de que el jefe exija cambiar su contraseña, por lo que nadie sabrá su contraseña original.

Respuestas (3)

No debe esperar tener privacidad en una máquina propiedad de la empresa. Sin embargo, en un entorno de TI saludable, su gerente haría esto pidiéndole a TI que le envíe los archivos que está buscando, que pueden recuperar accediendo a la computadora usando sus propias cuentas administrativas, no accediendo con su cuenta. Si lo hacen de esta manera, nunca hay una pregunta de auditoría sobre quién accedió a los archivos o si una acción realizada por su cuenta es realmente una acción que usted realizó. Su departamento de TI también debe seguir las pautas que se le hayan dado para facilitar el acceso; esto podría incluir obtener el permiso del asesor legal de su empresa, proporcionar documentación de justificación, etc.

Si se trata o no de una violación de la seguridad, depende de la política de la empresa y de las leyes/obligaciones contractuales aplicables. Puede hablar de esto con su gerente si lo desea y expresar sus inquietudes, y hay bastantes válidas. Como se mencionó, iniciar sesión en su cuenta anula directamente la auditoría: su equipo de seguridad ya no puede estar razonablemente seguro de que usted tomó las acciones realizadas por su cuenta si otras personas inician sesión en la cuenta. Dependiendo de su trabajo, también puede tener acceso a información que su jefe no tiene; esto podría incluir información relacionada con recursos humanos, datos de clientes para contratos en los que su jefe no está, etc. Sin embargo, cambiar el sistema para permitir este tipo de acceso puede no considerarse una inversión que valga la pena para una pequeña empresa que no maneja información confidencial.

Además, como mencionó Edgar, dejar su contraseña en una nota adhesiva exacerba el problema de auditoría, ya que ahora cualquier persona de su empresa podría haber accedido a su cuenta mientras no estaba. Como mínimo, si la empresa no está dispuesta a cambiar su política sobre el restablecimiento de cuentas, debe pedirle a su gerente que le diga la contraseña en persona cuando regrese en el futuro, o pedirle a TI que la restablezca nuevamente a algo generado por un sistema seguro. generador de contraseñas aleatorias y no las escriba, luego reinicie y le permitirá elegir una nueva contraseña cuando regrese.

Esto está relacionado con la cultura. La cultura aquí (Bélgica) es que aunque, por supuesto, no se le da un pase libre para almacenar lo que quiera en la computadora, todavía existe una expectativa de privacidad. Se emitió un fallo judicial, declarando un archivo de correo electrónico personal y un libro que el empleado había estado escribiendo (fuera del horario de oficina) como privado . Compárelo con obtener un casillero de la empresa. Ser un casillero (= cuenta segura) implica privacidad. Si bien no obtiene un pase gratuito para almacenar nada allí (por ejemplo, sin CP o uranio empobrecido), eso no significa que las personas puedan ingresar sin una causa razonable.
@flater: ¿puede proporcionar alguna metainformación sobre esa decisión (¿enlace?)? ¡Me encantaría saber más al respecto!
@user189035 Aquí (en holandés). (1) Los empleadores no pueden monitorear el comportamiento de los empleados en la computadora sin el permiso expreso del empleado (2) Al monitorear, solo se puede monitorear la actividad, no el contenido de la actividad. Por ejemplo, si su trabajo implica navegar por la web, el monitoreo no puede distinguir entre navegar dentro o fuera del trabajo, solo que usted está navegando. (3) Las restricciones de privacidad se aplican a cualquier archivo que el empleado coloque en el disco duro. (4) Está prohibido rastrear qué sitios fueron visitados.
@ user189035: Sin embargo, también menciona que aquí hay una laguna de "mayor importancia". Los tribunales considerarán el uso de Facebook como una violación de la privacidad y no lo aceptarán como un motivo válido para la terminación del empleo; pero navegar en busca de pornografía infantil no se considerará una violación de la privacidad debido a la mayor importancia del delito sobre el contrato de trabajo. En otras palabras, estas reglas se pueden levantar para asuntos que superan las violaciones de contrato de trabajo y se desvían hacia el territorio de un delito grave. ("El riesgo de malware de sitios malos" se niega explícitamente como "mayor importancia", por cierto)
@Flater: ¡Gracias por toda esta información! Pero, ¿tiene un puntero a la sentencia en sí? Me gustaría tener también una referencia.
@user189035: Yo no. Fue un tema candente hace varios años. Lo he buscado durante un tiempo, y el sitio de este abogado tiene una lista decente de varios casos judiciales que fueron aplicaciones o precedentes de la legislación belga actual relacionada con la privacidad en el trabajo. De los artículos relacionados a continuación, este debería ser un ejemplo de "privacidad de navegación". Pero mi jerga legal no es muy buena, así que puede que me vaya.
@Flater Cuando inicialmente estaba escribiendo esto, tenía una oración que mencionaba que la expectativa es diferente entre los EE. UU. y la UE, pero la eliminé porque pensé que no era realmente necesario. Si la ubicación del OP tiene un precedente como el de Bélgica, también puede mencionarlo si quiere, pero creo que es un consejo razonable en cualquier lugar nunca asumir que lo que hace en la computadora de su trabajo siempre será privado.
@IllusiveBrian: Supongo que depende de lo que quieras decir si te refieres a privado. Si no quieres que nadie se entere nunca de algo; Estás en lo correcto. Pero si simplemente no desea que nadie use legalmente algo en su contra, esa es parte de la razón por la que existen leyes de protección de la privacidad (para que las violaciones sean inadmisibles en un contexto legal).
@IllusiveBrian: Perdón por haber alejado la conversación de la pregunta del OP. ¡Resulta que vivo en Bélgica y el comentario de Flater (que pretendía ser tomado para ilustrar su punto anterior) despertó mi interés! Quería saber más (¡gracias Flater!)
Quería agregar que Alemania también tiene fallos similares a los de Bélgica , consulte este artículo (alemán)

El "bloc de notas adhesivo amarillo con la nueva contraseña en mi escritorio" es definitivamente una violación de la seguridad y el jefe de cualquier empresa debe saberlo.

Él podría tener una razón por la que tiene que acceder a su PC y podría tener una razón para pedirle a TI que restablezca su contraseña. Pero es imperdonable que pusiera a la luz esa nueva contraseña. Debería haberle informado que tenía que restablecer la contraseña y luego TI podría haberla restablecido nuevamente y darle una nueva contraseña, que su jefe no conoce.

Editar: sobre el uso de la cuenta de usuario o una cuenta diferente: sí, TI debería poder obtener datos de esa PC usando una cuenta diferente. Pero en la vida real, a menudo es mucho más fácil iniciar sesión con la cuenta de usuario "normal". Creo que es una cuestión de política de la empresa y de las circunstancias y no es fácil de responder.

Me pregunto por qué el voto negativo? (De hecho, voto a favor porque creo que la respuesta es correcta).
Mejor aún, TI debería haber podido iniciar sesión con una cuenta diferente.
Esta respuesta asume que las contraseñas en esta empresa se cumplen estrictamente. En mi antigua empresa, las computadoras eran básicamente parte de una infraestructura compartida y las contraseñas solo servían para ayudar a los gerentes a identificar quién estaba usando qué computadora en ese momento (para que pudieran usar PCAnywhere para ver las cuentas que presentaban problemas). No había ninguna expectativa de privacidad informática y la auditoría no era un problema.
@Richard En su antigua empresa, ¿la contraseña permitía que alguien iniciara sesión en la computadora? Si un conserje vio la etiqueta amarilla por la noche, ¿puede usarla para ingresar a la infraestructura de la empresa?
@scaaahu: las cosas serias de infraestructura (registros de personal y similares) se restringieron aún más (a las personas mayores de la empresa) mediante una segunda carpeta con contraseña

Las implicaciones legales dependerán del país. En Francia, por ejemplo, eso sería terrible, ya que la ley le permite tener datos personales en su computadora. Tenga en cuenta que estoy escribiendo algo terrible y no algo ilegal, ya que aún puede acceder a sus datos profesionales como le parezca adecuado.

Luego viene la cuestión de la trazabilidad. Desde el momento en que obtuvo su contraseña hasta el momento en que la cambió, él es responsable de lo que haya sucedido con su cuenta. En particular, si no cambia su contraseña, él sigue siendo usted. Es posible que desee documentar eso específicamente.

Desde una perspectiva de seguridad de la información (algo que puedo comentar de primera mano), tal acción demuestra que su empresa no tiene políticas de seguridad sólidas. Esto puede o no ser un problema, dependiendo de la industria en la que trabaje.

¿Puede un jefe solicitar a TI que cambie su contraseña e inicie sesión en su PC como usted? [cerrado]
RespuestasAquíPolítica de privacidad1y, 0v