Como administrador do sistema, se você foi solicitado a facilitar o acesso ao armazenamento de arquivos de seus usuários para que um diretor analise quais tipos de arquivos estão sendo armazenados, qual seria sua resposta?
O diretor está argumentando que os dados armazenados na rede pertencem à empresa, mas eu argumento que este arquivo (ou seja, "Meus Documentos") foi anteriormente declarado como "não para uso comercial", e nós temos um política que permite o uso pessoal de computadores, sujeito a várias restrições, é claro.
Existem preocupações de que os dados de negócios possam estar sendo armazenados em "Meus Documentos", mas isso justifica permitir que um diretor procure? Foi enfatizado pelo diretor que isso não é nada mais do que identificar dados de negócios armazenados no local errado, no entanto, estou um pouco desconfortável em permitir acesso ao que eu acho que deveria ser realmente "armazenamento de arquivos pessoais".
Se os dados são armazenados nos computadores da empresa, então são dados da empresa, a menos que as políticas da empresa digam especificamente que o funcionário pode armazenar dados nas máquinas que a empresa não estará procurando.
Isso provavelmente vai acabar sendo uma daquelas coisas que você tem que fazer, mesmo que você não goste.
"temos uma política que permite o uso pessoal de computadores, sujeito a várias restrições, é claro".
Tenha uma reunião com o solicitante, seu chefe, seu RH e seu departamento jurídico (se tiver). Essa seria minha resposta, especialmente considerando que você tem uma política que permite aos usuários fazer isso.
Isso depende inteiramente da política da sua empresa. Se você tem uma política que diz que certos dados não serão mencionados, mas seu chefe está pedindo para você, verifique um degrau acima dele.
Se seu chefe não concorda com você, então você tem duas opções:
1) Vá junto com ele.
2) Eleve a corrente ainda mais.
Isso realmente depende da clareza da sua política escrita e do que ela permite e proíbe expressamente. Não importa o que, você tem que ser cauteloso de irritar seu chefe.
Tudo isso volta à sua política de uso aceitável, especificamente à expectativa de privacidade. Se sua organização é como a maioria com a qual trabalhei, mesmo que o uso privado seja permitido, não é garantido que ela permaneça privada.
Não se esqueça de seguir a cadeia de comando estabelecida para esse tipo de solicitação e certifique-se de documentar o que você fez e por quê. Você é obrigado a seguir a ACU tanto quanto a próxima pessoa.
Como outros já disseram, a abordagem exata que você deve tomar para isso depende exatamente de como o seu PUA está escrito. É uma questão de quão strongmente suas políticas implicam que Meus documentos serão privados.
No entanto, uma coisa que não foi mencionada é que, se o objetivo for verificar se não há dados da empresa em Meus Documentos, o acesso silencioso a outra pessoa não é necessariamente a melhor maneira de atingir essa meta. E a menos que você tenha um número muito pequeno de diretórios Meus Documentos para verificar, ter uma pessoa cutucando provavelmente não é uma boa maneira de fazê-lo. Pode fazer mais sentido para o grupo de TI fazer algum tipo de auditoria - procurar por arquivos com nomes que indiquem que estão relacionados ao trabalho, ver quantos arquivos existem, em primeiro lugar, o que quer que seja.
Em nossas políticas, há declarações claras de que se a TI precisar rastrear ou corrigir um problema, isso é permitido. E como não temos toneladas de tempo livre, provavelmente encontraríamos ferramentas melhores para fazer isso do que ter alguém procurando aleatoriamente nos diretórios das pessoas.