Un'autentica fonte unica per questo può essere difficile da trovare così com'è, in definitiva, soggettiva. Tuttavia, non condividere le credenziali è un'aspettativa fondamentale del nostro attuale paradigma informatico. L'uso di login e password è fondamentale per questa realtà e uscire da questo viola quel paradigma e ogni sistema che è stato costruito attorno ad esso.
Risorse con accesso limitato
Le restrizioni IT sono simili a quelle di un cassetto di file bloccato o di una cassetta di sicurezza bancaria. È simile alle leggi e alle aspettative generali riguardanti l'apertura della posta di altre persone. Certo, quella carta caratteristica con una firma non è di per sé sensibile, ma ha un pubblico e un elenco di accesso specifici.
Indipendentemente dal contenuto e dal loro significato o valore, gli articoli sono protetti e l'accesso è stato limitato. Ovviamente potremmo discutere su valore, sensibilità, ecc. Ma questo è dopo il fatto.
La rappresentazione
Non vai in giro con il nome del tuo collega di lavoro, costruisci la chiave di accesso o ti siedi nel loro cubicolo. Perché dovresti usare le loro risorse IT? Tutti i problemi e le preoccupazioni della rappresentazione in un ambiente fisico esistono su reti e dischi. I rischi di imitazione sono maggiori data la capacità di identificare questa imitazione minore e la durata potenziale della rappresentazione dura più a lungo con le credenziali di sistema.
La maggior parte delle aziende è "a volontà dei datori di lavoro"
Come tale, e dal momento che è probabile che accedano alle loro risorse, attraverso i loro sistemi, l'unica vera linea di difesa legale è smettere. Le sfumature di questo, compresi i problemi di BYOD, sono probabilmente fuori portata per questo sito o almeno per la mia area di competenza.
L'aspetto secondario di questo però è che l'azienda ha già, probabilmente, accesso a tutto ciò che hai o sta facendo. Un buon consiglio commerciale è rischio vs premio . Per nessun compenso si guadagna un rischio significativo per tutte le parti. Il destinatario della password ora è, come notato da schroeder, responsabile per le azioni intraprese sotto le tue credenziali. Sei responsabile di eventuali azioni intraprese da chiunque usi le tue credenziali. Chi è la persona successiva per ottenere la password? Anche se ti fidi completamente di tutti, le persone commettono errori? In che modo potrebbero influire gli individui e l'organizzazione?
Un ulteriore rischio sorge quando l'azienda sta promuovendo un ambiente di condivisione delle credenziali e rischia tutte le risorse attraverso l'erosione delle migliori pratiche di base che contrastano il phishing, l'ingegneria sociale, il keylogging, i principi di minor accesso e altro ancora. La persona che sta chiedendo le tue credenziali è effettivamente supporto per il livello 1? Non hai nulla di valore sul tuo computer, ma chi a sua volta darà la "tua" password?
Come ultima parte, HIPPA / HITECH, a mio parere, non ha una formulazione specifica per le password o la condivisione delle password. È così che tu fai una legge "buona" però. La capacità di soddisfare i numerosi requisiti di sicurezza, segmentazione e verifica dei dati non è possibile in un ambiente in cui si verifica la condivisione delle credenziali. Quando le persone condividono le password, gli ACL non hanno senso e l'auditing è essenzialmente un falso accesso effettivo. Dalla mia prospettiva plebea, questa è una violazione della legge federale.
*** Nota Parlo / scrivo colloquialmente con "tu" e non intendo indicare l'avvocato del diavolo, ma piuttosto qualsiasi lettore o persona generale a cui questo possa essere applicato.