Documentation confidentielle et rôle de l'administrateur système

J'ai un autre intéressant.

Je suis sur le point de sauvegarder et de réinstaller le PC de l'administrateur des ressources humaines. Je pense que le moyen le plus rapide de procéder consiste à utiliser l'outil de transfert de Windows 7 et à créer une sauvegarde de l'intégralité des profils Utilisateurs et Paramètres sur le NAS.

Je ne vois pas de problème avec ça.
Elle affirme que personne d'autre ne devrait être capable de voir les informations sur son ordinateur. C'est suffisant. Je pense que l'administrateur système (moi) devrait avoir un niveau de confiance suffisamment important pour pouvoir effectuer une sauvegarde, ne pas poser de questions et supprimer la sauvegarde une fois la tâche terminée.

Selon elle, personne (pas même les autres directeurs) ne devrait être en mesure de visualiser la documentation des ressources humaines sur son PC.

Nous avons déjà une boîte de sauvegarde (fichiers, pas utilisateur-état) sur box.net, ce qui permet un accès granulaire à différents utilisateurs.

Des questions:

1) Lequel d'entre nous est fou, elle ou moi?

2) Faites-vous confiance à vos administrateurs système pour effectuer des sauvegardes de fichiers de stratégie / ressources humaines?

3) Quelqu'un at-il un LART?

Mon opinion à ce sujet n’est peut-être pas très populaire ici, mais je pense qu’elle a raison. Les ressources humaines jouent un rôle très spécifique dans la plupart des entreprises et exigent une compétence très essentielle: la discrétion absolue. Les informaticiens doivent avoir un très large éventail de compétences et, même s'il est important de faire preuve de discrétion, ce n'est pas la panacée qui convient aux ressources humaines. Généralement, le recrutement de personnel informatique est moins approfondi dans ce domaine également.

Peut-être y a-t-il une solution technique à cela, que diriez-vous de demander à vos ressources humaines de sauvegarder leurs propres données sur des disques externes cryptés qu’elles possèdent / gèrent / stockent?

En fin de compte, vous devez vous protéger. S'il est impossible d'obtenir des données relatives aux ressources humaines, vous êtes au clair, si votre direction constate que vous avez fait de votre mieux et fourni un moyen sécurisé et privé de mener à bien votre travail de manière fonctionnelle. sans s'exposer à des accusations de collecte de données, ils seront heureux, même si le processus est lent et laborieux.

Fondamentalement, n’ayez pas peur de couvrir vos propres problèmes dans ce domaine - la plupart des gens comprendront et les responsables des ressources humaines apprécieront le fait que vous respectez leur rôle et leur autorité. De plus, bien sûr, vous ne devriez jamais énerver les ressources humaines de toute façon, l'aide de ces ninny décide de votre sort pour une raison folle :)

N ° 1:

Elle a raison, mais comme on vous fait confiance avec d'autres informations sensibles, vous devriez également avoir confiance en vos informations RH. Expliquez que vous avez besoin d'un accès pour sauvegarder les fichiers.

N ° 2:

J'ai un accès complet en lecture à mes systèmes actuels. Tout est sauvegardé et l'accès aux fichiers est enregistré. J'ai des choses plus importantes à craindre que de fouiller dans les dossiers des ressources humaines ou de savoir combien l'école a dépensé en nourriture pour le chat de l'école. Dans mon ancien lieu de travail, je n’étais pas en mesure d’afficher certaines zones d’administrateur (mais le gestionnaire de réseau le pouvait).

N ° 3:

Elle a raison et toi aussi.

Elle est (peut-être ma loi) obligée de protéger ces informations, il vous est demandé de faire votre travail.

Thats le dilemme.

Peut-être devriez-vous lui proposer de réinstaller son PC alors qu'elle est près de vous, afin qu'elle puisse être sûre que ses précieuses données ne sont pas compromises

Les administrateurs système sont approuvés ici, mais toutes les actions de l'administrateur sont enregistrées. Je ne sais pas à quel point quelque chose comme cela la rassurerait - la consignation des actions afin de pouvoir démontrer que seul le processus de sauvegarde sauvegarde ces données, et non pas que vous les lisiez à des fins de divertissement.

L’autre remarque à faire est que si grave que cela soit si vous lisiez ces documents via les copies de sauvegarde, elle affirme sérieusement que ce serait pire que les documents perdus à jamais parce qu’ils n’auraient pas été sauvegardés, et deuxièmement, que les ressources humaines En tant que directrice, elle devrait pouvoir garantir que toute utilisation abusive des privilèges d’administrateur système puisse être traitée comme une faute grave.

Enfin, êtes-vous membre de l'association BCS / autre professionnel de l'informatique? Si tel est le cas, il existe des règles concernant l'éthique pour les membres. Si vous êtes membre d'une association professionnelle de ce type, il peut être réassuré si vous lui indiquez vos exigences en matière d'éthique professionnelle.

Ce n'est pas ta décision. En supposant que vous le fassiez dans un pays développé, il existe des lois sur la divulgation d'informations privées. Votre professionnel des ressources humaines en sait probablement plus que vous sur ces personnes.

Il ne s'agit pas non plus d'une sauvegarde, mais qu'advient-il de ces sauvegardes? Si elles contiennent des informations confidentielles, les sauvegardes elles-mêmes doivent être extrêmement sécurisées, plus que les informations confidentielles d'autres sociétés. Qu'allez-vous faire si quelqu'un veut restaurer un fichier à partir des sauvegardes? Vous ne pourrez plus les remettre à quelqu'un d'autre à qui restaurer, vous devrez le faire vous-même. N'oubliez pas qu'il s'agit également de vos informations confidentielles. Qui souhaitez-vous connaître à propos de vos problèmes de discipline, de votre rémunération ou du fait que vous avez reçu des conseils en matière de santé mentale via votre assurance?

EDIT: Pour être clair, je ne déclare pas catégoriquement "seul le responsable des ressources humaines devrait voir ces fichiers". Cependant, les données relatives aux ressources humaines présentent des problèmes de confidentialité différents des autres secrets d'entreprise. Il ne s'agit pas de savoir si les administrateurs système sont «dignes de confiance» ou non, mais de réduire le nombre de personnes ayant accès aux archives des ressources humaines. Ni le PDG ni les administrateurs système n’ont nécessairement besoin de cet accès.

Il existe des solutions techniques et procédurales à cela. Peut-être que la machine HR devrait être sauvegardée séparément de tout le reste et les sauvegardes conservées dans un endroit séparé. peut-être cela se produit-il déjà et votre responsable des ressources humaines a juste besoin d'être rassuré sur le fait qu'il sera correctement pris en charge. Peut-être que vous et vous seul (et non votre assistant embauché l'année prochaine) travaillerez avec eux.

En bref, aucun d’entre vous n’est fou et vous devez trouver le moyen de faire en sorte que cela fonctionne pour vous deux, tout en respectant la loi.