Mein Chef hat die IT gebeten, mein Firmenkennwort zu ändern, während ich nicht im Büro war, ohne es mir mitzuteilen. Er benutzte das neue Passwort, um sich als ich an meinem PC anzumelden, und kopierte mein Projekt (ich weiß nicht, was er sonst noch gemacht hat).
Als ich wieder im Büro war, lag ein gelber Stick mit dem neuen Passwort auf meinem Desktop. Er sagte mir, das sei mein neues Passwort, als er mich im Büro sah. Ist das eine Sicherheitsverletzung? Eine Verletzung der Privatsphäre?
Sie sollten nicht erwarten, auf einem firmeneigenen Rechner Privatsphäre zu haben. In einer gesunden IT-Umgebung würde Ihr Manager dies jedoch tun, indem er die IT auffordert, ihm die gesuchten Dateien zu senden, die er abrufen kann, indem er mit seinen eigenen Administratorkonten auf den Computer zugreift, nicht mit Ihrem Konto. Wenn sie es auf diese Weise tun, gibt es nie eine Prüfungsfrage, wer auf die Dateien zugegriffen hat oder ob eine von Ihrem Konto durchgeführte Aktion tatsächlich eine Aktion von Ihnen ist. Ihre IT-Abteilung sollte auch alle Richtlinien befolgen, die ihr gegeben wurden, um den Zugriff zu erleichtern – dies kann das Einholen der Erlaubnis des Rechtsbeistands Ihres Unternehmens, das Bereitstellen von Begründungsdokumenten usw. umfassen.
Ob dies eine Sicherheitsverletzung darstellt oder nicht, hängt von der Unternehmensrichtlinie und den geltenden Gesetzen/vertraglichen Verpflichtungen ab. Sie können dies mit Ihrem Vorgesetzten besprechen, wenn Sie möchten, und Ihre Bedenken äußern, und es gibt einige berechtigte. Wie bereits erwähnt, vereitelt die Anmeldung bei Ihrem Konto direkt die Prüfung – Ihr Sicherheitsteam kann nicht mehr hinreichend sicher sein, dass die von Ihrem Konto vorgenommenen Aktionen von Ihnen ausgeführt wurden, wenn sich andere Personen bei dem Konto anmelden. Abhängig von Ihrem Job haben Sie möglicherweise auch Zugriff auf Informationen, die Ihr Chef nicht hat – dies können HR-bezogene Informationen, Kundendaten für Verträge, die Ihr Chef nicht hat, und so weiter umfassen. Die Änderung des Systems, um diese Art des Zugriffs zu ermöglichen, ist jedoch möglicherweise keine lohnende Investition für ein kleines Unternehmen, das nicht mit sensiblen Informationen umgeht.
Wie Edgar erwähnte, verschlimmert das Weglassen Ihres Passworts auf einer Haftnotiz das Auditing-Problem, da jetzt jeder in Ihrem Unternehmen auf Ihr Konto zugreifen könnte, während Sie weg waren. Wenn das Unternehmen nicht bereit ist, seine Richtlinie zum Zurücksetzen von Konten zu ändern, sollten Sie zumindest Ihren Vorgesetzten bitten, Ihnen das Passwort persönlich mitzuteilen, wenn Sie in Zukunft zurückkommen, oder es von der IT erneut auf etwas zurücksetzen lassen, das von einem sicheren Konto generiert wurde Zufallspasswortgenerator und notieren Sie es nicht, setzen Sie es dann zurück und lassen Sie sich ein neues Passwort aussuchen, wenn Sie zurückkommen.
Der „gelbe Notizblock mit dem neuen Passwort auf meinem Desktop“ ist definitiv eine Verletzung der Sicherheit und der Chef eines jeden Unternehmens sollte das wissen.
Er könnte einen Grund haben, warum er auf Ihren PC zugreifen muss, und er könnte einen Grund haben, die IT zu bitten, Ihr Passwort zurückzusetzen. Aber es ist unverzeihlich, dass er dieses neue Passwort offengelegt hat. Er hätte Ihnen mitteilen müssen, dass er das Passwort zurücksetzen musste, und dann hätte die IT es erneut zurücksetzen und Ihnen ein neues Passwort geben können – was Ihr Chef nicht kennt.
Bearbeiten: Über die Verwendung des Benutzerkontos oder eines anderen Kontos: Ja, die IT sollte in der Lage sein, Daten von diesem PC mit einem anderen Konto abzurufen. Aber im wirklichen Leben ist es oft einfach viel einfacher, sich mit dem "normalen" Benutzerkonto anzumelden. Ich denke, das ist eine Frage der Firmenpolitik und der Umstände und nicht einfach zu beantworten.
Die rechtlichen Auswirkungen hängen vom jeweiligen Land ab. In Frankreich zum Beispiel wäre das eine schreckliche Sache, da es Ihnen gesetzlich erlaubt ist , persönliche Daten auf Ihrem Computer zu haben. Bitte beachten Sie, dass ich schreckliche Dinge schreibe und keine illegalen Dinge, da er möglicherweise immer noch auf Ihre beruflichen Daten zugreifen kann, wenn er fit erscheint.
Dann kommt die Frage der Rückverfolgbarkeit. Von dem Moment an, in dem er Ihr Passwort erhalten hat, bis zu dem Moment, in dem Sie es geändert haben, ist er für alles verantwortlich, was mit Ihrem Konto passiert ist. Insbesondere wenn Sie Ihr Passwort nicht ändern, bleibt er immer noch Sie. Vielleicht möchten Sie dies ausdrücklich dokumentieren.
Aus Sicht der Informationssicherheit (was ich aus erster Hand kommentieren kann) zeigt eine solche Aktion, dass Ihr Unternehmen keine soliden Sicherheitsrichtlinien hat. Je nach Branche, in der Sie arbeiten, kann dies ein Problem sein oder auch nicht.
Patricia Shanahan
Slothario
Erik
Lilienthal
pmf
mustaccio
gnasher729