Dokumentacja poufna i rola Sysadmin

48

Mam jeszcze jeden interesujący.

Mam zamiar wykonać kopię zapasową i ponownie zainstalować komputer administratora HR. Podejrzewam, że najszybszym sposobem na to jest skorzystanie z narzędzia Windows 7 Transfer i utworzenie kopii zapasowej wszystkich profili użytkowników i ustawień na serwerze NAS.

Nie widzę z tym problemu.
Twierdzi, że nikt inny nie powinien widzieć informacji na jej komputerze. Słusznie. Myślę, że administrator systemu (ja) powinien mieć wystarczający poziom zaufania, aby móc wykonać kopię zapasową, nie zadawać pytań i usunąć kopię zapasową po zakończeniu zadania.

Jej zdaniem nikt (nawet inni dyrektorzy) nie powinien mieć możliwości przeglądania dokumentacji HR na swoim komputerze.

Mamy już częściowo kopię zapasową (pliki, a nie stan użytkownika) na box.net, która pozwala na szczegółowy dostęp do różnych użytkowników.

Pytania:

1) Który z nas to wariat, ona czy ja?

2) Czy ufasz swoim administratorom, że wykonasz kopie zapasowe plików polityki firmy / HR?

3) Czy ktoś ma LART?

Tom O'Connor
źródło
3
to brzmi jak dobre pytanie dla bezpieczeństwa informacji .
AviD
3
Zaraz, martwi się o bezpieczeństwo tych dokumentów i są one przechowywane w serwisie internetowym? Aha, niech zapisze te pliki w kontenerze TrueCrypt. W razie potrzeby możesz wykonać kopię zapasową i przywrócić kontener, a jej dokumenty są bezpieczne (r) przed innymi.
afrazier
Jedna dodatkowa warstwa rzeczy, które mogą pójść nie tak. Ponadto jedna dodatkowa warstwa, z którą nie będę w stanie pomóc.
Tom O'Connor,
9
@Tom O'Connor: Aby doprowadzić to do skrajności: dlaczego nie dać jej maszyny do pisania? Współczesny komputer ma zbyt wiele dodatkowych warstw, które i tak mogą się nie udać (zaczynając od abstrakcji / wspólnego złudzenia dyskretnych bitów i od tego czasu budując) - to jak zwykle bezpieczeństwo kontra użyteczność. Szyfrowanie jest tutaj właściwą odpowiedzią, nawet jeśli jest to niewygodne.
Piskvor
1
Ach Mam wątpliwości co do referencji, które jako główne źródło podają grupy dyskusyjne ...
Mark Henderson

Odpowiedzi:

34

Moje zdanie na ten temat może nie być tutaj popularne, ale myślę, że ma rację, HR jest bardzo specyficzną rolą w większości firm, wymagającą jednej bardzo kluczowej umiejętności - absolutnej dyskrecji. Informatycy muszą mieć bardzo szeroki zakres umiejętności i choć dyskrecja jest ważna, nie chodzi o „bądź wszystkim i zakończ wszystko”, jak w przypadku HR. Zazwyczaj rekrutacja pracowników IT jest również mniej dokładna w tym obszarze.

Być może istnieje techniczne rozwiązanie tego problemu. Co powiesz na to, aby zachęcić pracowników działu HR do tworzenia kopii zapasowych własnych danych na zaszyfrowanych dyskach zewnętrznych, które posiadają / zarządzają / przechowują?

Ostatecznie musisz się zabezpieczyć, jeśli nie ma możliwości, aby uzyskać dane HR, to masz jasność, jeśli kierownictwo widzi, że starałeś się jak najlepiej i zapewniłeś jako bezpieczny i prywatny sposób na funkcjonalne wykonanie pracy bez narażania się na zarzuty o wścibstwo danych, będą zadowoleni - nawet jeśli proces będzie niezręczny i powolny.

Zasadniczo nie bój się zakrywać własnego tyłka w tym obszarze - większość ludzi zrozumie, a pracownicy działu HR docenią, że szanujesz ich rolę i autorytet. Poza tym, oczywiście, nigdy nie powinieneś wkurzać HR, te ninny pomagają zdecydować o twoim losie z jakiegoś szalonego powodu :)

Siekacz 3
źródło
2
Myślę, że faktycznie doszliśmy do rozwiązania opartego na całej masie punktów. 1) Nic wrażliwego nie jest przechowywane na samym komputerze. 2) Kopie zapasowe będą tworzone za pośrednictwem DVD w sejfie ogniowym i Box.net. 3) Okazuje się, że mi ufają, ale wciąż muszą się upewnić, że zakrywają swoje zbiorowe osły.
Tom O'Connor,
2
„Zazwyczaj rekrutacja pracowników IT jest również mniej dokładna w tym obszarze”. To znacząca porażka HR i zarządzania. W wielu organizacjach (zwłaszcza małych i średnich firmach) dział IT ma poziomy dostępu do „klucza do zamku”, z możliwością odczytu i modyfikacji prawie każdego dokumentu i bazy danych przechowywanych w organizacji.
afrazier
1
@afrazier - masz absolutną rację, ale widziałem stosunek kierownictwa wyższego szczebla do rekrutacji IT w wielu firmach i krajach na przestrzeni lat - większość starszych ludzi myśli o wszystkich oprócz najlepszych specjalistów IT jako towar, smutny, ale prawdziwy.
Chopper3
Nie zawsze obejmuje to tylko ASSets. W wielu stanach (i niektórych krajach) brak ochrony Twojej uczciwości może otworzyć przed Tobą świat szkód prawnych.
Jim B
10

Nr 1:

Ma rację, ale ponieważ ufasz innym poufnym informacjom, powinieneś również ufać informacjom HR. Wyjaśnij, że potrzebujesz dostępu do tworzenia kopii zapasowych plików.

Nr 2:

Mam pełny dostęp do odczytu do moich obecnych systemów. Wszystko otrzymuje kopię zapasową, a dostęp do pliku jest rejestrowany. Mam ważniejsze rzeczy do zmartwienia o to, że przeglądam pliki HR lub stwierdzam, ile szkoła wydała na jedzenie dla szkolnego kota. W poprzednim miejscu pracy nie byłem w stanie wyświetlić niektórych obszarów administracyjnych (ale menedżer sieci mógł).

Nr 3:

wprowadź opis zdjęcia tutaj

tombull89
źródło
8
Jako administrator systemu masz dostęp do plików osób, ich wiadomości e-mail i ruchu sieciowego. Jeśli firma nie może zaufać swoim administratorom, ma już problem z praktyką zatrudniania. Musisz mieć dostęp do plików, aby wykonać ich kopię zapasową. Chociaż dobrze jest, że traktuje swoją pracę na tyle poważnie, aby martwić się dostępem osób do tych plików, musisz ją wykonać.
Bart Silverstrim
5
Poza tym te pliki nie należą do niej , ale do firmy. Ponieważ pracujesz dla firmy i jej interesów, nie powinna przeszkadzać ci w wykonywaniu pracy.
Bart Silverstrim
4
A co by się stało, gdyby jej komputer się zepsuł? Czy ona wierzy, że to naprawisz? Rozwiąż to? Zabrać go z powrotem do miejsca pracy? Czy wierzy, że zniszczysz sprzęt / dane przed złomowaniem wspomnianego komputera, że ​​postępujesz zgodnie z wytycznymi DoD dotyczącymi niszczenia danych? A może zabiera ze sobą komputer na emeryturę? Jeśli chciałeś danych, do których ma dostęp, czy jest ona nawet technologicznie kompetentna, aby zrozumieć, że jako administrator może nie mieć pojęcia, jak powstrzymać cię przed uzyskaniem tych informacji?
Bart Silverstrim
5
Zapamiętaj. „Odsuń się, człowieku. Jestem informatykiem”. Następnie wykonaj pracę. Jak szef. / zakłada okulary przeciwsłoneczne
Bart Silverstrim
8
Zaopiniowano na cat5 z dziewięciu ogonów.
eckza
5

Ma rację, podobnie jak ty.

Ona (może moje prawo) jest zobowiązana do ochrony tych informacji, jesteś skierowany do pracy.

To jest dylemat.

Może powinieneś zaproponować jej ponowną instalację komputera, gdy będzie w pobliżu, aby mieć pewność, że jej cenne dane nie zostaną naruszone

jojoo
źródło
2

Administratorzy systemu są tutaj zaufani, ale wszystkie działania administratora są rejestrowane. Nie wiem, jak bardzo coś takiego by ją zapewniło - rejestrowanie działań, aby można było wykazać, że tylko proces tworzenia kopii zapasowej tworzy kopię zapasową tych danych, a nie to, że czytasz je dla rozrywki.

Innymi sprawami, na które należy zwrócić uwagę, jest to, że może być tak źle, gdybyś przeczytał te rzeczy za pomocą kopii zapasowych, po pierwsze poważnie twierdzi, że byłoby to gorsze niż utrata dokumentów na zawsze, ponieważ nie zostały one zapisane, a po drugie, jako HR dyrektor, powinna być w stanie zapewnić, że każde niewłaściwe użycie uprawnień administratora systemu może być traktowane jako rażące przewinienie.

Czy jesteś członkiem stowarzyszenia BCS / innego IT Professional? Jeśli tak, mają one zasady dotyczące etyki. Jeśli jesteś członkiem takiego stowarzyszenia zawodowego, wówczas skierowanie jej do wymogów etyki zawodowej może ją uspokoić.

Rob Moir
źródło
Chodzi o to, że kopie zapasowe krytycznych plików są obsługiwane przez box.net. To wszystko jest naprawdę typu USMT.
Tom O'Connor,
ahh tęskniłem za tym. Czy nie możesz po prostu przywrócić jej danych do nowego systemu z box.net?
Rob Moir
Tak. Właśnie o to chodzi.
Tom O'Connor,
@Robert - Nawet jeśli przywrócisz pliki, jedynym sposobem na ich odczytanie jest przejęcie własności (pod Windows).
Jim B
Liga Profesjonalnych Administratorów Systemów (z którą Awaria Serwera współpracowała jakiś czas temu) posiada Kodeks Etyki, który może mieć tutaj znaczenie.
Złota rączka 5
2

To nie twoja decyzja. Zakładając, że robisz to w rozwiniętym kraju, istnieją przepisy dotyczące ujawniania prywatnych informacji. Twój specjalista HR prawdopodobnie wie o nich więcej niż ty.

Nie chodzi również o tworzenie kopii zapasowych, ale co dzieje się z tymi kopiami zapasowymi? Jeśli zawierają poufne informacje, same kopie zapasowe muszą być wyjątkowo bezpieczne - bardziej bezpieczne niż poufne informacje innych firm. Co zamierzasz zrobić, jeśli ktoś chce przywrócić plik z kopii zapasowych? Nie będziesz już w stanie przekazać ich komuś, kto mógłby je przywrócić - musisz to zrobić sam. Pamiętaj, że to także twoje poufne informacje - kogo chcesz wiedzieć o swoich sprawach dyscyplinarnych, wynagrodzeniu lub fakcie, że uzyskałeś poradę dotyczącą zdrowia psychicznego w ramach ubezpieczenia?

EDYCJA: Żeby było jasne, nie twierdzę kategorycznie „tylko szef HR powinien zobaczyć te pliki”. Istnieją jednak problemy z poufnością danych HR, które różnią się od innych tajemnic firmowych. Nie chodzi o to, czy administratorzy są „zaufani”, czy nie, ale o zmniejszenie liczby osób, które mają dostęp do rekordów HR. Ani CEO, ani sysadmins niekoniecznie potrzebują tego dostępu.

Istnieją rozwiązania techniczne i proceduralne. Być może kopie zapasowe komputera HR powinny być tworzone osobno, a kopie zapasowe przechowywane w osobnym miejscu. może to się już zdarza i twoja kadra musi być uspokojona, że ​​będzie odpowiednio opiekowana. Może ty i ty sam, a nie twój asystent zatrudniony w przyszłym roku) zaczniesz z nimi pracować.

Krótko mówiąc, żadne z was nie jest wariatem i musicie wypracować, jak sprawić, by to działało dla was obojga, pozostając w zgodzie z prawem.

DJClayworth
źródło
Z przyjemnością ujawniam moją pensję każdemu, kto o to poprosi.
Tom O'Connor,
A problemy ze zdrowiem psychicznym? :-)
DJClayworth,
Jeśli istnieją przepisy, należy poinformować IT o tych przepisach - nie otrzymuj niejasnego oświadczenia, że ​​IT nie jest upoważniona do przetwarzania danych HR.
błąka się
Nie ma żadnych
Tom O'Connor
To dobra wiadomość. Ale jeśli tak, jestem pewien, że chciałbyś, aby jak najmniej osób w firmie o nich wiedziało, jak to możliwe. Lub jest jeszcze jedna rzecz, której nie chciałbyś szeroko znać.
DJClayworth