Tutti parlano dell'importanza della delega. Ma come può un manager delegare il lavoro se la condivisione della password è verboten nella politica di sicurezza IT dell'organizzazione? Ciò significa che l'AP non avrebbe accesso al suo account di posta elettronica, nessun accesso agli account di archiviazione sul cloud e molte altre fonti di informazione, ecc. Questo impianto immagino che renderebbe la delega del lavoro difficile se non impossibile?
In molti sistemi di posta elettronica, è possibile delegarne un altro per agire a loro nome. Quindi Pat, il segretario, può inviare posta per conto di Terry (il capo). In Outlook, ad esempio, l'e-mail dice "da Pat per conto di Terry". Inoltre, lo storage cloud e altri account possono avere più autorizzazioni su account / directory, accesso. Così Terry può concedere l'accesso a Pat a qualsiasi directory desiderata. Naturalmente Terry dovrebbe fare attenzione a non concedere un accesso eccessivo, per evitare che Pat possa accedere ai file personali di Terry, che abbastanza spesso contengono informazioni sui salari subordinati e altri documenti riservati che nessun altro dovrebbe vedere.
Questo tipo di delega è successo in ogni azienda per cui abbia mai lavorato, e immagino che qualsiasi persona IT che è stata nel business per un breve periodo sappia come gestire la delega. In questo modo hai ancora la tracciabilità dall'accesso condiviso senza condividere una password.
Pensa in questo modo: supponiamo che Pat possa accedere alla e-mail di Terry. Poi arriva un'e-mail: Pat ha fatto un lavoro fantastico. HR: per favore inviatemi immediatamente dei documenti con un aumento del 10%. Chi l'ha inviato? Non puoi provare niente; entrambe le parti lo negano. Usando la delega, possiamo vedere che Pat ha davvero fatto un lavoro fantastico e merita un bel colpo paga.
But how can a manager delegate work if password sharing is verboten under the organisation’s IT Security Policy? This means that the PA would have no access to his email account, no access to cloud storage accounts and many other information sources etc.
Perché dovrebbero condividere l'accesso allo stesso account?
La maggior parte dei sistemi consente a più utenti e spesso livelli di autorizzazione granulari per utente. Quando si delega un'attività, si concede l'accesso all'account di quella persona per eseguire l'attività, se non ce l'ha già. Questa è la parte meno frequente del principio del privilegio minimo: devi dare alle persone i privilegi di cui hanno bisogno per svolgere il loro lavoro.
Spesso la persona che ha delegato non avrà effettivamente i permessi per eseguire autonomamente il lavoro. Ad esempio, un CTO probabilmente non avrebbe accesso a modificare i record DNS, perché se ne hanno bisogno, lo delegheranno a un amministratore di sistema al di sotto di essi.
Leggi altre domande sui tag access-control