Documentação confidencial e o papel do administrador de sistemas

Eu tenho outro interessante.

Estou prestes a fazer backup e reinstalar o PC do administrador de RH. Suspeito que a maneira mais rápida de fazer isso seja usar a ferramenta de transferência do Windows 7 e criar um backup de todos os perfis de usuários e configurações no NAS.

Não vejo problema com isso.
Ela alega que ninguém mais poderá ver as informações em seu computador. Justo. Penso que o administrador de sistemas (eu) deve estar em um nível de confiança suficientemente significativo para poder fazer um backup, sem perguntas, e excluí-lo quando a tarefa estiver concluída.

Para ela, ninguém (nem mesmo os outros diretores) deve poder visualizar a documentação de RH em seu PC.

Já temos um semi-backup (arquivos, não o estado do usuário) no box.net, que permite acesso granular a vários usuários.

Questões:

1) Qual de nós é louco, ela ou eu?

2) Você confia em seus administradores de sistema para fazer backups dos arquivos de política / RH da empresa?

3) Alguém tem um LART?

Minha opinião sobre isso pode não ser popular aqui, mas acho que ela está certa, o RH é um papel muito específico na maioria das empresas, exigindo uma habilidade muito importante - discrição absoluta. O pessoal de TI precisa ter uma gama muito ampla de habilidades e, embora a discrição seja importante, não é o 'seja tudo e termine tudo' que ocorre com o RH. Normalmente, o recrutamento de pessoas de TI também é menos completo nessa área.

Talvez exista uma solução técnica para isso, que tal fazer com que seu pessoal de RH faça backup de seus próprios itens em discos externos criptografados que eles possuem / gerenciam / armazenam?

Em última análise, você precisa se proteger, se não há como obter dados de RH, então você está claro: se a sua gerência perceber que você fez o seu melhor e forneceu um meio seguro e privado para executar funcionalmente seu trabalho sem se expor a acusações de invasão de dados, eles ficarão felizes - mesmo que o processo seja desajeitado e lento.

Basicamente, não tenha medo de se cobrir nessa área - a maioria das pessoas entenderá e o pessoal de RH apreciará que você está respeitando o papel e a autoridade deles. Além disso, é claro que você nunca deve irritar o RH de qualquer maneira, a ajuda desses ninny decide seu destino por algum motivo louco :)

No. 1:

Ela tem razão, mas como você confia em outras informações confidenciais, você também deve confiar nas informações de RH. Explique que você precisa de acesso para fazer backup dos arquivos.

No. 2:

Eu tenho acesso total de leitura aos meus sistemas atuais. Tudo obtém backup e o acesso ao arquivo é registrado. Tenho coisas mais importantes para me preocupar com isso vasculhando os arquivos de RH ou descobrindo quanto a escola gastou em comida para o gato da escola. No local de trabalho anterior, não conseguia visualizar algumas das áreas administrativas (mas o gerente da rede podia).

N ° 3:

Ela está certa, e você também.

Ela é (talvez minha lei) obrigada a proteger essas informações, você é orientado a fazer seu trabalho.

Esse é o dilema.

Talvez você deva oferecer a ela uma reinstalação do PC enquanto ela estiver perto de você, para garantir que seus preciosos dados não sejam comprometidos.

Os administradores do sistema são confiáveis ​​aqui, mas todas as ações administrativas são registradas. Eu não sei o quanto algo assim a asseguraria - o registro de ações para que seja demonstrado que apenas o processo de backup está fazendo backup desses dados, e você não está lendo para entretenimento.

O outro ponto a ser destacado é que, por pior que seja, se você leu essas coisas por meio dos backups, primeiro ela está dizendo seriamente que seria pior do que os documentos perdidos para sempre porque não foram salvos em backup e, segundo, como RH diretor, ela deve poder garantir que qualquer uso indevido dos privilégios de administrador do sistema possa ser tratado como má conduta grave.

Por fim, você é membro da associação BCS / outro profissional de TI? Se assim for, estes têm regras de membros sobre ética. Se você é membro de uma associação profissional, apontá-la para seus requisitos de ética profissional pode tranquilizá-la.

Esta não é sua decisão. Supondo que você esteja fazendo isso em um país desenvolvido, existem leis sobre a divulgação de informações particulares. Seu profissional de RH provavelmente sabe mais sobre eles do que você.

Também não se trata de fazer backup, mas o que acontece com esses backups? Se eles contiverem informações confidenciais, os próprios backups deverão ser extremamente seguros - mais seguros do que outras informações confidenciais da empresa. O que você fará se alguém quiser restaurar um arquivo dos backups? Você não poderá mais entregá-las para outra pessoa restaurar - você precisará fazer isso sozinho. Lembre-se de que também são suas informações confidenciais - quem você deseja saber sobre seus problemas disciplinares, seu salário ou o fato de ter recebido aconselhamento em saúde mental através do seu seguro?

Edição: Para ser claro, não estou afirmando categoricamente "apenas o chefe de RH deve ver esses arquivos". Mas há problemas de confidencialidade nos dados de RH que são diferentes de outros segredos da empresa. Não se trata de saber se os administradores de sistemas são ou não confiáveis, mas de reduzir o número de pessoas que têm acesso aos registros de RH. Nem o CEO nem os administradores de sistemas precisam necessariamente desse acesso.

Existem soluções técnicas e processuais para isso. Talvez a máquina de RH deva ser copiada separadamente de todo o resto e os backups mantidos em um local separado. talvez isso já aconteça e sua pessoa de RH precise apenas ter certeza de que será cuidada adequadamente. Talvez você e você, sozinho, e não seu assistente contratado no próximo ano) trabalhem com eles.

Em resumo, nenhum de vocês é louco e precisa descobrir como fazer isso funcionar para os dois, enquanto permanece dentro da lei.