Política de uso aceitável / política de uso de computador / política de uso de rede - por que eles são necessários?

Os comentários de dan_linder acima são um breve resumo da única razão pela qual eu acho que os AUPs têm algum valor: indicar claramente as expectativas que os usuários legítimos têm de TI e resumir claramente o que acontecerá se essas expectativas não forem atendidas.

Isso argumenta strongmente contra o AUP super-waffly estilo RH que se lê como se alguém tivesse uma ordem em massa de WeaselWords e decidiu usá-los todos de uma vez. Essas políticas são estritamente na classe cover-your-bum, de mudança de responsabilidade de AUPs, e eu nunca, nem em 21 anos de administração de redes e sistemas, achei que elas fossem de alguma utilidade. Isso também argumenta contra qualquer conceito de que você pode usar um AUP contra estranhos; eles têm que obedecer à lei, com certeza, mas eles têm que fazer isso se você a escrever ou não; Além disso, o que você escreve não tem nenhum peso sobre eles.

Então: um documento simples e curto que diz o que você não deve fazer com os computadores do trabalho, e o que acontece quando você transgride, é a única vez que eu acho que um AUP é valioso. Nesses casos, quando detecto a transgressão, posso falar com alguém de maneira não-conflituosa, apontar para um documento de duas páginas que eles assinaram dizendo que não fariam X, apontar (com especificidades) que eu sei que eles estão fazendo um monte de X, e pedir-lhes para pará-lo, então eu não tenho que invocar as Forças das Trevas e obtê-los sancionados apenas como se diz na parte inferior da página 2, logo acima sua assinatura.

Então, como você escreve um desses? Bem, o SAGE tem uma boa publicação, chamada Um Guia para Desenvolver Documentos de Política Computacional (Tópicos Curtos em Administração de Sistemas, Dijker, 1996) se você conhece alguém que tenha acesso à biblioteca SAGE.

Se isso falhar, desenvolva sua própria lista resumida das coisas que acontecem no local de trabalho que causam problemas para a rede e seus usuários como um todo. A única coisa que acho mais valiosa é uma proibição explícita de compartilhar uma senha, por qualquer motivo. Muitos funcionários acham que a melhor maneira de permitir que Sam acesse suas caixas de correio enquanto estão de férias é dar a Sam seus detalhes de login, sem saber que - embora seja bom para os negócios que Sam possa ler seus e-mails enquanto estão fora - isso pode ser feito com a mesma facilidade e segurança que a tecnologia que temos à mão. Também é uma política muito fácil de afirmar em uma única frase.

A maioria dos principais problemas pode ser proscrita em uma única sentença. Anote quantas frases assim parecerem boas para você. Concordar o conteúdo e a página de sanções com a gerência. Faça com que todos assinem e forneçam uma cópia. Trabalho feito.

ISENÇÃO DE RESPONSABILIDADE: Eu não sou um advogado. Supersimplificações brutas seguem.

Você praticamente respondeu à sua própria pergunta. As organizações usam AUPs para transferir diretamente a responsabilidade das ações de seus usuários para os usuários. Eles precisam denunciar certos tipos de atividade na Internet para se protegerem de ações legais.

PARA CLARIFICAR NOS COMENTÁRIOS: A Lei Federal dos EUA proíbe o "acesso não autorizado" de sistemas de computadores. Se você violar uma PUA, você pode estar infringindo a lei do crime cibernético!

Se eu pirateie um episódio de Game of Thrones no trabalho, os "poderes" podem processar minha empresa diretamente por violação de direitos autorais. Se eles forem ao registro explicitamente desautorizando esse tipo de uso por meio de uma PUA com consequências claras, a culpa será transferida para mim.

Do ponto de vista pessoal, a AUP oferece às organizações recursos contra "comportamentos indesejáveis" adotados por seus usuários. Eu não quero que você navegue em "materiais de natureza duvidosa" no trabalho, mas não posso simplesmente demiti-lo por acessar a Internet. Se eu declarar claramente as conseqüências de ver "materiais de natureza duvidosa" no trabalho, e você assinar indicando que concorda e compreende, então eu posso colocá-lo em uma caixa sem piscar um olho.

Simplesmente, dá-lhe o direito de tomar algumas ações, incluindo monitoramento de rede, que de outra forma seria ilegal sob as leis de escuta. Também permite que os funcionários sejam informados sobre o que é e o que não é aceitável dentro da empresa, e se essas regras forem violadas, forneça uma justificativa e raciocínio para que as ações administrativas sejam tomadas.

Ele também cobre a empresa até certo ponto, já que uma AUP pode incluir cláusulas (quando legal) para absolver a organização da responsabilidade por circunstâncias específicas.

Em suma, o ponto principal de um AUP é cobrir o seu traseiro.

Você precisará deles se sua empresa quiser cumprir padrões como o ISO27001.