Vertrauliche Dokumentation und die Rolle des Sysadmin

48

Ich habe noch eine interessante.

Ich bin dabei, den PC des Personaladministrators zu sichern und neu zu installieren. Ich vermute, dass die schnellste Möglichkeit hierfür die Verwendung des Windows 7-Übertragungstools und die Erstellung einer Sicherungskopie der gesamten Benutzer- und Einstellungsprofile auf dem NAS ist.

Ich sehe kein Problem damit.
Sie behauptet, dass niemand sonst die Informationen auf ihrem Computer sehen dürfe. Fair genug. Ich bin der Meinung, dass der Systemadministrator (ich) eine ausreichende Vertrauensstufe haben sollte, um eine Sicherung ohne weitere Fragen erstellen und die Sicherung löschen zu können, sobald die Aufgabe abgeschlossen ist.

Sie ist der Ansicht, dass niemand (auch nicht die anderen Direktoren) die HR-Dokumentation auf ihrem PC einsehen darf.

Wir haben bereits ein Semi-Backup (Dateien, kein Benutzerstatus) auf box.net, das den granularen Zugriff auf verschiedene Benutzer ermöglicht.

Fragen:

1) Wer von uns ist verrückt, sie oder ich?

2) Vertrauen Sie Ihren Systemadministratoren, dass sie Backups von Unternehmensrichtlinien / HR-Dateien erstellen?

3) Hat jemand eine LART?

Tom O'Connor
quelle
3
Das klingt nach einer guten Frage für die Informationssicherheit .
AviD
3
Warten Sie, sie ist besorgt über die Sicherheit dieser Dokumente und sie werden in einem Onlinedienst gespeichert. Oh, und lassen Sie sie diese Dateien in einem TrueCrypt-Container speichern. Sie können den Container nach Bedarf sichern und wiederherstellen, und ihre Dokumente sind vor anderen sicher.
afrazier
Eine zusätzliche Schicht von Dingen, die schief gehen. Außerdem eine zusätzliche Schicht, bei der ich nicht helfen kann.
Tom O'Connor
9
@ Tom O'Connor: Um es auf das Äußerste zu bringen: Warum holt ihr nicht eine Schreibmaschine? Ein moderner Computer verfügt über zu viele zusätzliche Ebenen, die ohnehin schief gehen könnten (angefangen mit der Abstraktion / gemeinsamen Täuschung einzelner Bits und deren Aufbau) - es geht wie üblich um Sicherheit und Benutzerfreundlichkeit. Verschlüsselung ist in der Tat die richtige Antwort, auch wenn dies unpraktisch ist.
Piskvor
1
Ah. Ich bin zweifelhaft, welche Referenzen Newsgroups als Hauptquelle
Mark Henderson

Antworten:

34

Meine Meinung dazu mag hier nicht sehr beliebt sein, aber ich denke, sie hat Recht, HR spielt in den meisten Unternehmen eine sehr spezielle Rolle und erfordert eine Schlüsselkompetenz - absolute Diskretion. IT-Mitarbeiter müssen über ein breites Spektrum an Fähigkeiten verfügen, und obwohl Diskretion wichtig ist, ist HR nicht das A und O. Auch in diesem Bereich ist die Rekrutierung von IT-Mitarbeitern in der Regel weniger gründlich.

Vielleicht gibt es eine technische Lösung dafür. Wie wäre es, wenn Sie Ihre HR-Mitarbeiter dazu bringen, ihre eigenen Daten auf verschlüsselte externe Festplatten zu sichern, die sie besitzen / verwalten / speichern?

Letztendlich müssen Sie sich schützen. Wenn es keine Möglichkeit gibt, an HR-Daten zu gelangen, sind Sie im Klaren, wenn Ihr Management feststellt, dass Sie Ihr Bestes gegeben haben und als sicheres und privates Mittel zur Verfügung stehen, um Ihre Arbeit funktionell zu erledigen Wenn Sie sich nicht den Vorwürfen aussetzen, dass Sie Daten ausspioniert haben, werden Sie glücklich sein - auch wenn der Prozess klobig und langsam ist.

Grundsätzlich haben Sie keine Angst davor, Ihren eigenen Hintern in diesem Bereich zu bedecken - die meisten Leute werden verstehen und die HR-Leute werden es zu schätzen wissen, dass Sie ihre Rolle und Autorität respektieren. Außerdem solltest du auf keinen Fall die Personalabteilung verärgern, diese Ninny's helfen dir aus irgendeinem verrückten Grund, über dein Schicksal zu entscheiden :)

Chopper3
quelle
2
Ich denke, wir sind tatsächlich zu einer Lösung gekommen, die auf einer ganzen Reihe von Punkten basiert. 1) Auf dem PC selbst ist nichts Sensibles gespeichert. 2) Backups werden via DVD in den Fire Safe und Box.net gemacht. 3) Es stellt sich heraus, dass sie mir vertrauen, aber dennoch sicherstellen müssen, dass sie ihre kollektiven Ärsche verstecken.
Tom O'Connor
2
"In der Regel ist die Rekrutierung von IT-Mitarbeitern auch in diesem Bereich weniger gründlich." Das ist ein schwerwiegender Fehler in der Personalabteilung und im Management. In vielen Organisationen (insbesondere in KMUs) verfügt die IT über "Schlüssel zum Schloss" -Zugriffsebenen, mit der Möglichkeit, nahezu jedes Dokument und jede Datenbank zu lesen und zu ändern, die in der Organisation gespeichert sind.
afrazier
1
@afrazier - Sie haben vollkommen recht, aber ich habe über die Jahre hinweg die Haltung der Geschäftsleitung zur Einstellung von IT-Mitarbeitern in einer Reihe von Unternehmen und Ländern gesehen. Die meisten leitenden Angestellten halten alle außer ihren Top-IT-Mitarbeitern für eine Ware, traurig, aber wahr.
Chopper3
Es geht nicht immer nur um Ihre Vermögenswerte. In vielen Staaten (und einigen Ländern) kann die Nichteinhaltung Ihrer Integrität eine Welt von Rechtsverletzungen für Sie eröffnen.
Jim B
10

Nr. 1:

Sie hat einen Punkt, aber da Sie mit anderen vertraulichen Informationen vertraut werden, sollten Sie auch mit HR-Informationen vertraut werden. Erklären Sie, dass Sie Zugriff zum Sichern der Dateien benötigen.

Nr. 2:

Ich habe vollen Lesezugriff auf meine aktuellen Systeme. Alles wird gesichert und der Dateizugriff protokolliert. Ich muss mir noch mehr Sorgen machen, wenn ich in Personalakten stöbere oder herausfinde, wie viel die Schule für das Futter für die Schulkatze ausgegeben hat. An meinem früheren Arbeitsplatz konnte ich einige Admin-Bereiche nicht anzeigen (der Netzwerkmanager jedoch).

Nr. 3:

Bildbeschreibung hier eingeben

tombull89
quelle
8
Als Systemadministrator haben Sie Zugriff auf die Dateien, E-Mails und den Netzwerkverkehr von Personen. Wenn ein Unternehmen seinen Systemadministratoren nicht vertrauen kann, haben sie bereits ein Problem mit den Einstellungspraktiken. Sie müssen Zugriff auf Dateien haben, um diese sichern zu können. Es ist zwar gut, dass sie ihren Job ernst genug nimmt, um sich Sorgen darüber zu machen, dass Personen auf diese Dateien zugreifen, aber Sie müssen den Job erledigen.
Bart Silverstrim
5
Außerdem gehören diese Dateien nicht ihr , sondern dem Unternehmen. Da Sie für das Unternehmen und die Unternehmensinteressen arbeiten, sollte sie Ihre Arbeit nicht behindern.
Bart Silverstrim
4
Was würde auch passieren, wenn ihr Computer ausfällt? Vertraut sie dir, dass du es reparierst? Problembehandlung Zum Arbeitsbereich zurückbringen, an dem gearbeitet werden soll? Vertraut sie darauf, dass Sie Hardware / Daten zerstören, bevor Sie den Computer vernichten, und dass Sie die DoD-Richtlinien zur Datenvernichtung befolgen? Oder nimmt sie den Computer mit, wenn sie in Rente geht? Wenn Sie die Daten haben möchten, auf die sie Zugriff hat, ist sie überhaupt technisch kompetent, um zu verstehen, dass sie als Systemadministrator möglicherweise keine Ahnung hat, wie Sie diese Informationen nicht abrufen können?
Bart Silverstrim
5
Merken. "Zurück Mann. Ich bin ein Informatiker." Dann mach den Job. Wie ein Chef. Ich setze eine Sonnenbrille auf
Bart Silverstrim
8
Upvoted for Cat5-of-Nine-Tails.
Eckza
5

Sie hat recht, und Sie auch.

Sie ist (möglicherweise mein Gesetz) verpflichtet, diese Informationen zu schützen. Sie sind angewiesen, Ihre Arbeit zu erledigen.

Das ist das Dilemma.

Vielleicht sollten Sie ihr anbieten, ihren PC neu zu installieren, während sie in Ihrer Nähe ist, damit sie sicher sein kann, dass ihre wertvollen Daten nicht kompromittiert werden

jojoo
quelle
2

Systemadministratoren wird hier vertraut, aber alle Administratoraktionen werden protokolliert. Ich weiß nicht, inwieweit so etwas sie noch einmal versichern würde - das Protokollieren von Aktionen, damit gezeigt werden kann, dass nur der Sicherungsvorgang diese Daten sichert, nicht Sie, um sie zu unterhalten.

Der andere Punkt, den Sie ansprechen sollten, ist der, der so schlimm wäre, als wenn Sie dieses Zeug über die Backups gelesen hätten. Erstens meint sie ernsthaft, das wäre schlimmer, als wenn die Dokumente für immer verloren wären, weil sie nicht gesichert wurden, und zweitens als HR Sie sollte in der Lage sein, sicherzustellen, dass jeder Missbrauch von Systemadministratorrechten als grobes Fehlverhalten behandelt wird.

Sind Sie Mitglied der BCS / other IT Professional Association? Wenn ja, haben diese Mitglieder Regeln zur Ethik. Wenn Sie Mitglied einer solchen Berufsvereinigung sind, können Sie sich sicher sein, dass Sie sie auf Ihre berufsethischen Anforderungen hinweisen.

Rob Moir
quelle
Das Wichtigste ist, dass die Sicherungen der kritischen Dateien von box.net durchgeführt werden. Das ist wirklich alles USMT-Zeug.
Tom O'Connor
ahh das habe ich verpasst. Können Sie ihre Daten nicht einfach von box.net auf dem neuen System wiederherstellen?
Rob Moir
Ja. Genau darum geht es.
Tom O'Connor
@Robert - Auch wenn Sie die Dateien wiederherstellen, können Sie sie nur lesen, wenn Sie den Besitz übernommen haben (unter Windows).
Jim B
Die Liga der professionellen Systemadministratoren (mit der Server Fault vor einiger Zeit zusammengearbeitet hat) hat einen Ethik-Kodex, der hier relevant sein könnte.
Handwerker5
2

Das ist nicht deine Entscheidung. Angenommen, Sie tun dies in einem entwickelten Land, dann gibt es Gesetze zur Offenlegung privater Informationen. Ihr HR-Experte weiß wahrscheinlich mehr darüber als Sie.

Es geht auch nicht darum, ein Backup zu erstellen, aber was passiert mit diesen Backups? Wenn sie vertrauliche Informationen enthalten, müssen die Sicherungen selbst besonders sicher sein - sicherer als andere vertrauliche Unternehmensinformationen. Was machen Sie, wenn jemand eine Datei aus den Backups wiederherstellen möchte? Sie können sie nicht mehr an andere Personen weitergeben, von denen sie wiederhergestellt werden können - Sie müssen es selbst tun. Denken Sie daran, dass dies auch Ihre vertraulichen Informationen sind - wen möchten Sie über Ihre Disziplinarangelegenheiten, Ihr Gehalt oder die Tatsache, dass Sie über Ihre Versicherung eine psychologische Beratung erhalten haben, informieren?

EDIT: Um klar zu sein, ich sage nicht kategorisch "nur der Leiter der Personalabteilung sollte diese Dateien sehen". Es gibt jedoch Vertraulichkeitsprobleme mit HR-Daten, die sich von anderen Unternehmensgeheimnissen unterscheiden. Es geht nicht darum, ob die Sysadmins "vertrauenswürdig" sind oder nicht, sondern darum, die Anzahl der Personen zu verringern, die Zugriff auf Personalakten haben. Weder Geschäftsführer noch Systemadministratoren benötigen diesen Zugriff unbedingt.

Hierfür gibt es technische und verfahrenstechnische Lösungen. Vielleicht sollte die HR-Maschine getrennt von allem anderen gesichert und die Backups an einem separaten Ort aufbewahrt werden. Vielleicht passiert das bereits und Ihre HR-Person muss nur beruhigt werden, dass sie ordnungsgemäß betreut wird. Vielleicht können Sie und Sie allein und nicht Ihr Assistent, der nächstes Jahr eingestellt wird, mit ihnen zusammenarbeiten.

Kurz gesagt, keiner von Ihnen ist verrückt und Sie müssen herausfinden, wie Sie dies für beide tun können, während Sie sich an das Gesetz halten.

DJClayworth
quelle
Ich bin mehr als glücklich, mein Gehalt an jeden weiterzugeben, der danach fragt.
Tom O'Connor
Und die psychischen Probleme? :-)
DJClayworth
Wenn es Gesetze gibt, sollte die IT auf diese Gesetze aufmerksam gemacht werden - keine vage Aussage darüber, dass die IT nicht zum Umgang mit HR-Daten berechtigt ist.
Fehler
Es gibt keine.
Tom O'Connor
Das sind gute Neuigkeiten. Ich bin mir jedoch ziemlich sicher, dass Sie möchten, dass möglichst wenige Mitarbeiter im Unternehmen davon erfahren. Oder es gibt eine andere Sache, die Sie nicht allgemein kennenlernen möchten.
DJClayworth