Documentação Confidencial e o papel do Sysadmin

Minha opinião sobre isso pode não ser popular aqui, mas acho que ela está certa, o RH é um papel muito específico na maioria das empresas, exigindo uma habilidade muito importante - absoluta discrição. As pessoas de TI precisam ter uma ampla gama de habilidades e, embora a discrição seja importante, não é o 'ser tudo e acabar com tudo' que é com o RH. Normalmente, o recrutamento de pessoal de TI também é menos abrangente nesta área.

Talvez exista uma solução técnica para isso, que tal conseguir que seus funcionários de RH façam backup de seus próprios itens em discos externos criptografados que eles possuem / gerenciam / armazenam?

Em última análise, você tem que se proteger, se não tiver como obter dados de RH, ficará bem claro, se a sua gerência perceber que você tentou o melhor possível e forneceu meios seguros e particulares para obter funcionalmente seu trabalho feito sem se expor a acusações de dados, então eles ficarão felizes - mesmo que o processo seja desajeitado e lento.

Basicamente, não tenha medo de cobrir sua própria bunda nesta área - a maioria das pessoas entenderá e o pessoal de RH apreciará que você está respeitando seu papel e autoridade. Além disso, é claro que você nunca deve irritar o RH de qualquer maneira, a ajuda desses tolos decide o seu destino por algum motivo louco :)

Não. 1:

Ela tem razão, mas, como você confia em outras informações confidenciais, também deve confiar nas informações de RH. Explique que você precisa acessar o backup dos arquivos.

Não. 2:

Eu tenho acesso de leitura total aos meus sistemas atuais. Tudo fica backup e acesso a arquivos é registrado. Eu tenho coisas mais importantes para me preocupar com o uso de arquivos de RH, ou descobrir o quanto a escola gastou em comida para o gato da escola. No meu local de trabalho anterior, não consegui visualizar algumas das áreas Administrativas (mas o gerente da rede podia).

Não. 3:

Ela está certa e você também.

Ela é (talvez minha lei) obrigada a proteger essas informações, você é direcionado para fazer o seu trabalho.

Esse é o dilema.

Talvez você deva oferecê-la para reinstalar o PC enquanto ela estiver perto de você, para que ela possa ter certeza de que seus dados preciosos não serão comprometidos

Os administradores do sistema são confiáveis aqui, mas todas as ações administrativas são registradas. Eu não sei o quanto algo assim iria garantir a ela - o registro de ações para que possa ser demonstrado que apenas o processo de backup está fazendo o backup desses dados, e não você está lendo para entretenimento.

Os outros pontos a fazer é que, por pior que seja, se você leu esse material por meio dos backups, em primeiro lugar ela está dizendo seriamente que seria pior do que os documentos serem perdidos para sempre porque não tinham backup e, em segundo lugar que, como diretora de RH, ela deve ser capaz de garantir que qualquer mau uso dos privilégios de administrador do sistema possa ser tratado como falta grave.

Por fim, você é um membro da associação BCS / outros profissionais de TI? Se assim for, estes têm regras de membros sobre ética. Se você é um membro de uma associação profissional, então indicá-la aos seus requisitos de ética profissional pode garantir a ela.

Esta não é uma decisão sua. Supondo que você esteja fazendo isso em um país desenvolvido, existem leis sobre a divulgação de informações privadas. Seu profissional de RH provavelmente sabe mais sobre eles do que você.

Também não se trata de fazer backup, mas o que acontece com esses backups? Se eles contiverem informações confidenciais, os próprios backups devem ser mais seguros - mais seguros que outras informações confidenciais da empresa. O que você vai fazer se alguém quiser restaurar um arquivo dos backups? Você não poderá mais entregá-los para que outra pessoa a recupere - você terá que fazer isso sozinho. Lembre-se que esta é a sua informação confidencial também - quem você quer saber sobre suas questões disciplinares, seu pagamento, ou o fato de que você recebeu aconselhamento sobre saúde mental através do seu seguro?

EDIT: Para ser claro, eu não estou afirmando categoricamente "apenas o chefe de RH deve ver esses arquivos". Mas há questões de confidencialidade com dados de RH que são diferentes de outros segredos da empresa. Não se trata de os administradores de sistemas serem "confiáveis" ou não, mas de reduzir o número de pessoas que têm acesso aos registros de RH. Nem o CEO nem os administradores de sistema necessariamente precisam desse acesso.

Existem soluções técnicas e processuais para isso. Talvez a máquina de RH deva ter um backup separado de tudo e os backups mantidos em um local separado. talvez isso já aconteça e sua pessoa de RH só precisa ter certeza de que será devidamente cuidada. Talvez você e só você e seu assistente, que é contratado no ano que vem, trabalhem com eles.

Em suma, nenhum de vocês é louco e você precisa descobrir como fazer isso funcionar para ambos, permanecendo dentro da lei.