Documentación confidencial y el papel del administrador de sistemas

48

Tengo otro interesante.

Estoy a punto de hacer una copia de seguridad y reinstalar la PC del Administrador de Recursos Humanos. Sospecho que la forma más rápida de hacerlo es utilizar la herramienta de transferencia de Windows 7 y crear una copia de seguridad de todos los perfiles de usuarios y configuraciones en el NAS.

No veo un problema con esto.
Ella afirma que nadie más debería poder ver la información en su computadora. Lo suficientemente justo. Creo que el administrador de sistemas (yo) debería tener un nivel de confianza lo suficientemente significativo como para poder hacer una copia de seguridad, sin hacer preguntas, y eliminar la copia de seguridad una vez que se complete la tarea.

Su opinión es que nadie (ni siquiera los otros directores) deberían poder ver la documentación de Recursos Humanos en su PC.

Ya tenemos una semi-copia de seguridad (archivos, no estado de usuario) en box.net, que permite el acceso granular a varios usuarios.

Preguntas:

1) ¿Cuál de nosotros está loco, ella o yo?

2) ¿Confía en sus administradores de sistemas para realizar copias de seguridad de los archivos de políticas / recursos humanos de la empresa?

3) ¿Alguien tiene un LART?

Tom O'Connor
fuente
3
Esto suena como una buena pregunta para la seguridad de la información .
AviD
3
Espera, ¿le preocupa la seguridad de estos documentos y están almacenados en un servicio en línea? Ah, y que almacene esos archivos en un contenedor TrueCrypt. Puede hacer una copia de seguridad y restaurar el contenedor según sea necesario, y sus documentos están a salvo (r) de los demás.
Afrazier
Una capa extra de cosas que salen mal. Además, una capa adicional con la que no podré ayudar.
Tom O'Connor
99
@ Tom O'Connor: Para llevar esto al extremo: ¿por qué no conseguirle una máquina de escribir? Una computadora moderna tiene muchísimas capas adicionales que podrían salir mal de todos modos (comenzando con la abstracción / ilusión compartida de bits discretos y desarrollándose a partir de ahí): es seguridad versus usabilidad, como de costumbre. El cifrado es la respuesta correcta aquí, incluso si eso es inconveniente.
Piskvor
1
Ah Tengo dudas sobre las referencias que citan a los grupos de noticias como su fuente principal ...
Mark Henderson

Respuestas:

34

Mi opinión sobre esto puede no ser popular aquí, pero creo que tiene razón, RR.HH. es un papel muy específico en la mayoría de las empresas, que requiere una habilidad muy clave: discreción absoluta. Las personas de TI deben tener una amplia gama de habilidades y, aunque la discreción es importante, no es el 'ser todo y terminar todo' que es con RRHH. Por lo general, el reclutamiento de personal de TI también es menos exhaustivo en esta área.

Quizás haya una solución técnica para esto, ¿qué tal hacer que su personal de Recursos Humanos haga una copia de seguridad de sus propias cosas en discos externos encriptados que poseen / administran / almacenan?

En última instancia, debe protegerse, si no hay forma de obtener datos de recursos humanos, entonces está en claro, si su gerencia ve que ha hecho todo lo posible y ha proporcionado un medio seguro y privado para hacer su trabajo funcionalmente sin exponerse a acusaciones de intromisión de datos, serán felices, incluso si el proceso es torpe y lento.

Básicamente, no tengas miedo de cubrir tu propio trasero en esta área: la mayoría de las personas lo entenderán y los recursos humanos apreciarán que respetas su papel y autoridad. Además, por supuesto, nunca deberías cabrear los recursos humanos de todos modos, estos ninny ayudan a decidir tu destino por alguna loca razón :)

Chopper3
fuente
2
Creo que hemos llegado a una resolución basada en un montón de puntos. 1) Nada sensible se almacena en la PC. 2) Las copias de seguridad se realizarán a través de DVD en la caja fuerte contra incendios y Box.net. 3) Resulta que sí confían en mí, pero todavía tienen que asegurarse de que están cubriendo sus traseros colectivos.
Tom O'Connor
2
"Por lo general, el reclutamiento de personal de TI también es menos exhaustivo en esta área". Esa es una falla significativa de recursos humanos y gestión. En muchas organizaciones (particularmente PYMEs), TI tiene niveles de acceso "claves para el castillo", con la capacidad de leer y modificar casi todos los documentos y bases de datos almacenados dentro de la organización.
Afrazier
1
@afrazier: tiene toda la razón, pero he visto la actitud de la alta gerencia hacia el reclutamiento de TI en varias empresas y países a lo largo de los años: la mayoría de las personas de mayor edad piensan en todos, excepto en sus principales empleados de TI, como un producto básico, triste pero cierto.
Chopper3
No siempre se trata solo de cubrir tus activos. En muchos estados (y en algunos países) la falta de protección de su integridad puede abrir un mundo de daños legales para usted.
Jim B
10

No 1:

Ella tiene un punto, pero como a usted se le confía otra información confidencial, también se le debe confiar a usted con información de recursos humanos. Explique que necesita acceso para hacer una copia de seguridad de los archivos.

No 2:

Tengo acceso de lectura completo a mis sistemas actuales. Todo obtiene respaldo y se registra el acceso a los archivos. Tengo cosas más importantes de las que preocuparme por revisar los archivos de recursos humanos o descubrir cuánto gastó la escuela en comida para el gato de la escuela. En mi lugar de trabajo anterior, no podía ver algunas de las áreas de administración (pero el administrador de la red podía).

Numero 3:

ingrese la descripción de la imagen aquí

tombull89
fuente
8
Como administrador del sistema, tiene acceso a los archivos de las personas, sus correos electrónicos y el tráfico de la red. Si una empresa no puede confiar en sus administradores de sistemas, entonces ya tienen un problema con las prácticas de contratación. Debe tener acceso a los archivos para hacer una copia de seguridad de ellos. Si bien es bueno que ella tome su trabajo lo suficientemente en serio como para preocuparse de que las personas accedan a esos archivos, usted necesita hacer el trabajo.
Bart Silverstrim
55
Además, esos archivos no son de ella , per se, sino de la compañía. Mientras trabajas para la compañía y los intereses de la compañía, ella no debería interponerse en tu forma de hacer tu trabajo.
Bart Silverstrim
44
Además, ¿qué pasaría si su computadora se rompe? ¿Confía en ti para repararlo? ¿Solucionarlo? ¿Llevarlo de vuelta al área de trabajo para trabajar? ¿Confía en usted para destruir el hardware / datos antes de descartar dicha computadora, que está siguiendo las pautas del Departamento de Defensa para la destrucción de datos? ¿O se lleva la computadora con ella cuando se retira? Si quería los datos a los que tiene acceso, ¿es ella incluso tecnológicamente competente para entender que, como administradora de sistemas, puede que no tenga idea de cómo impedir que obtenga esa información?
Bart Silverstrim
55
Recuerda. "Retrocede hombre. Soy un informático". Entonces haz el trabajo. Como un jefe. / se pone gafas de sol
Bart Silverstrim
8
Votado a favor de cat5-de-nueve-colas.
eckza
5

Ella tiene razón, y tú también.

Ella está (tal vez mi ley) obligada a proteger esta información, se le indica que haga su trabajo.

Ese es el dilema.

Tal vez deberías ofrecerle que reinstale su PC mientras está cerca de ti, para que pueda estar segura de que sus valiosos datos no se ven comprometidos

jojoo
fuente
2

Los administradores del sistema son de confianza aquí, pero todas las acciones de administrador se registran. No sé cuánto le aseguraría algo así: el registro de acciones para que pueda demostrarse que solo el proceso de copia de seguridad está haciendo una copia de seguridad de estos datos, no que usted los lea para entretenerse.

El otro punto a destacar es que, si lo leyera si lo leyera a través de las copias de seguridad, en primer lugar está diciendo en serio que sería peor que perder los documentos para siempre porque no se hicieron copias de seguridad, y en segundo lugar, como RR. como directora, debería poder garantizar que cualquier uso indebido de los privilegios de administrador del sistema se pueda tratar como una mala conducta grave.

Por último, ¿eres miembro de BCS / otra asociación de profesionales de TI? Si es así, estos tienen reglas para los miembros sobre ética. Si usted es miembro de una asociación profesional de este tipo, entonces señalarla a sus requisitos de ética profesional podría tranquilizarla.

Rob Moir
fuente
La cuestión es que las copias de seguridad de los archivos críticos son manejadas por box.net. Todo esto es realmente de tipo USMT.
Tom O'Connor
Ahh, me perdí eso. ¿No puede simplemente restaurar sus datos en el nuevo sistema desde box.net?
Rob Moir
Sí. Ese es precisamente el punto.
Tom O'Connor
@Robert: incluso si restaura los archivos, la única forma de leerlos es si toma la propiedad (en Windows).
Jim B
La Liga de Administradores de Sistemas Profesionales (con la que Fault Server se asoció hace un tiempo) tiene un Código de Ética que podría ser pertinente aquí.
Handyman5
2

Esta no es tu decisión. Suponiendo que está haciendo esto en un país desarrollado, existen leyes sobre la divulgación de información privada. Su profesional de recursos humanos probablemente sepa más sobre ellos que usted.

Tampoco se trata de hacer una copia de seguridad, pero ¿qué pasa con esas copias de seguridad? Si contienen información confidencial, las copias de seguridad mismas deben ser más seguras, más seguras que otras informaciones confidenciales de la compañía. ¿Qué vas a hacer si alguien quiere restaurar un archivo de las copias de seguridad? Ya no podrás entregárselos para que alguien más los restaure, tendrás que hacerlo tú mismo. Recuerde que esta es su información confidencial también: ¿a quién desea conocer sobre sus problemas disciplinarios, su paga o el hecho de que recibió asesoramiento de salud mental a través de su seguro?

EDITAR: Para ser claros, no estoy afirmando categóricamente "solo el jefe de recursos humanos debería ver estos archivos". Pero hay problemas de confidencialidad con los datos de recursos humanos que son diferentes de los secretos de otras compañías. No se trata de si los administradores de sistemas son 'confiables' o no, sino de reducir la cantidad de personas que tienen acceso a los registros de recursos humanos. Ni el CEO ni los administradores de sistemas necesitan necesariamente ese acceso.

Hay soluciones técnicas y de procedimiento para esto. Tal vez la máquina de recursos humanos debe ser respaldada por separado de todo lo demás y las copias de seguridad deben guardarse en un lugar separado. tal vez eso ya suceda y su persona de recursos humanos solo necesite estar segura de que serán atendidos adecuadamente. Quizás usted y usted solo (y no su asistente que es contratado el próximo año) puedan trabajar con ellos.

En resumen, ninguno de ustedes está loco y necesitan descubrir cómo hacer que esto funcione para ambos, mientras permanecen dentro de la ley.

DJClayworth
fuente
Estoy más que feliz de revelar mi salario a cualquiera que pregunte.
Tom O'Connor
¿Y los problemas de salud mental? :-)
DJClayworth
Si hay leyes, TI debe estar al tanto de esas leyes, no obtener una declaración vaga de que TI no está autorizado para manejar datos de recursos humanos.
errores el
No hay ninguno
Tom O'Connor
Esas son buenas noticias. Pero si lo hiciera, estoy bastante seguro de que desearía que la menor cantidad de personas en la empresa los conozca como sea posible. O hay alguna otra cosa que no le gustaría conocer ampliamente.
DJClayworth