Als ich zu diesem Unternehmen kam, hatte ich die unglückliche Erfahrung, mit sehr abgestumpften und unprofessionellen Entwicklern zusammenzuarbeiten. Sie wollten, dass ich an ihren persönlichen Projekten arbeite und meine Aktivitäten vor der IT verberge, indem ich ein anderes Betriebssystem auf einer Testmaschine installiere, die die IT nicht ausspionieren kann. Ich lehnte ab und wollte mich stattdessen auf meine eigentliche Arbeit konzentrieren. Mein Ruf wurde hinter meinem Rücken beschmiert, ich wurde wegen Projekten belogen und zum Scheitern verurteilt.
Einer dieser Entwickler namens Bob hat das Passwort zu meinem Arbeits-PC. Er hat es mir aus der IT mitgebracht, als ich dort anfing zu arbeiten. Er versuchte, es so aussehen zu lassen, als würde er helfen, aber ich bin äußerst misstrauisch. Die IT muss auch unsere Passwörter kennen. Dieser Typ arbeitet mit einem Familienmitglied zusammen und ist mit der Geschäftsleitung in unserem Büro befreundet, einschließlich des Chefingenieurs und des Sicherheitschefs. Der Chefingenieur und Sicherheitschef feuerte den IT-Mann und beförderte seine Freunde zu den neuen IT-Leuten, sodass er die IT vollständig kontrolliert. Dieser Platzhirsch ist sehr informell und neckt gerne Leute, daher bezweifle ich, dass er Bedenken bezüglich Mobbing oder IT-Verstößen ernst nimmt.
Ich mache mir Sorgen, dass Bob etwas in meinen PC eingeschleust haben könnte, da er mein Passwort hat. Ich habe mein Passwort nie geändert, da die IT sowieso unsere Passwörter kennt. Ich bezweifle nicht, dass er mein Passwort hätte bekommen können, wenn ich es geändert hätte.
Wenn ich etwas melde, werde ich meinen Job wahrscheinlich nicht behalten. Ich bezweifle, dass das Management riskieren würde, mehrere Entwickler und Freunde der Familie zu disziplinieren und zu verärgern. Es wäre einfacher, mich loszuwerden.
Wie kann ich dieses Unternehmen verlassen und die Haftung minimieren, einen Computer zurückzulassen, der in Zukunft gegen mich verwendet werden könnte?
Ich arbeite in den USA und diese Typen arbeiten für die Regierung.
Ich werde meine Antwort möglicherweise ablehnen, aber ich werde antworten, da ich im IT-Sicherheitsberuf arbeite und grundlegende Sicherheitsprobleme sehe, die nicht angesprochen werden und ein echtes Risiko für Sie darstellen. Es gibt auch eine implizite Frage, die sehr legitim ist:
„Wie schütze ich mich beim Verlassen des Unternehmens“
Erstens versagt Ihr Unternehmen auf Unternehmensebene an den Grundlagen der Computersicherheit und arbeitet mit Praktiken, die in einem regulierten Umfeld (wie der Regierung) nicht funktionieren. Ein eklatantes Beispiel ist die folgende Aussage:
Die IT muss unsere Passwörter kennen.
Allein die Tatsache, dass die IT das Passwort für Ihren Computer hat, bedeutet, dass sie sich als Sie ausgeben kann . Alle skrupellosen Aktionen, die sie im Netzwerk durchführen, werden direkt zu Ihnen zurückverfolgt, und Sie können die Aktion nicht leugnen, da Ihr Konto verwendet wurde. Die Tatsache, dass jetzt mehrere andere Personen Ihr Konto verwenden können, spielt keine Rolle, da in den Prüfprotokollen nur Ihre Benutzer-ID mit legitimen oder böswilligen Änderungen verknüpft wird.
Einige Ihrer Aussagen sind auch problematisch. Sie geben an, dass diese Leute in der Regierung arbeiten und dass die IT sehr informell ist. Nur weil die IT informell agiert, wie es oft die IT-Kultur ist, heißt das nicht, dass Security Best Practices plötzlich nicht mehr anwendbar sind.
Ich habe mein Passwort sowieso nie geändert
Es sollte Ihnen gar nicht erst möglich gewesen sein, die Wahl zu haben. Gute Praxis schreibt vor, dass das Passwort bei der ersten Verwendung durch den zugewiesenen Benutzer geändert wird.
Um sich selbst zu schützen, können Sie verlangen, dass Ihr Gerät vor dem Verlassen abgewischt wird, wodurch das Gerät für den nächsten Benutzer desinfiziert werden sollte. Darüber hinaus schützt Sie eine klare Dokumentation von Vorfällen, z. B. wenn Sie gebeten wurden, an Lieblingsprojekten zu arbeiten, und von wem, und nicht durch legitime Arbeit, indem Sie eine Papierspur über das Gesagte führen.
Obwohl Sie dieses Mal möglicherweise keine große Chance haben, können die obigen Informationen verwendet werden, wenn Sie in Zukunft jemals in eine ähnliche Situation geraten.
Ed Heil
Maskierter Mann
HorusKol
piet.t
Ed Heil
Simon
beere120
kabZX
Brandin
DJ Clayworth
Jack
Integration
gnasher729
Ben Barden