Mentre lavoro principalmente con i test di penetrazione per la mia azienda (una piccola / media azienda con circa 50 dipendenti), sono anche un membro part-time del loro team sys-admins (è comodo tenersi aggiornati con ambienti / reti server ecc.). C'è un manager in un ufficio remoto che "sa cosa è meglio" e sempre "vuole fare le cose ora". Il MD gli ha dato l'approvazione per avere un account di amministratore di dominio, ma non sono sicuro che capiscano qual è l'implicazione di quello.
Il gestore non è particolarmente tecnico e ha una conoscenza abbastanza rudimentale dell'IT. Ciò nonostante, lo troviamo a dover apportare modifiche al nostro ambiente (reimpostazione delle password, installazione di nuovi software / applicazioni / server) e dettare le indicazioni (scelta dell'hardware, ecc.) Per noi. Sono piuttosto stanco di ciò, e mi piacerebbe presentare un elenco di motivi convincenti per cui questo non dovrebbe essere consentito.
Principalmente siamo una società di sicurezza quindi, vorrei concentrarmi sul lato della sicurezza delle cose (è lì che risiede la mia esperienza in modo che abbia il maggior peso se parlo ai "più alti") ma qualsiasi sarebbe bene avere anche ragioni commerciali.
Modifica
Va bene. Quindi forse sono un po 'unico nel fatto che personalmente mi interessa se qualcosa va storto nel nostro ambiente. Sono personalmente molto affezionato al lavoro che faccio e alla compagnia per cui lavoro. Ma dal momento che siamo una società piuttosto piccola, la maggior parte delle persone è in qualche modo coinvolta. Se qualcosa va storto sono coperto, ma ci saranno ancora dei fall-out di qualche tipo che potrebbero avere un impatto sul business.