La concessione dell'accesso ai dati senza l'approvazione del proprietario ha creato un brutto precedente?

1

Lavoro per una piccola azienda che fa un lavoro a contratto che comporta la memorizzazione dei dati dei clienti sui nostri server per la durata di un progetto. Recentemente abbiamo adottato una protezione delle cartelle più rigida in cui ogni team può accedere solo alla propria cartella. Ad esempio, la Squadra A dalla posizione 1 non può accedere ai dati del Team B, né possono accedere ai dati del proprio Team A sorella nella posizione 2. Ciò imita la sicurezza della cartella del cliente ed è il modo in cui sono stato istruito dal mio capo, dal direttore sull'account e un manager che rappresenta il team con i dati più sensibili.

Come ci si aspetterebbe, da allora ho ricevuto più richieste per concedere un accesso aggiuntivo. Ho insistito sul fatto che il manager del team, il più vicino al proprietario dei dati nella cartella di destinazione, fornisca l'approvazione scritta delle richieste. Ogni volta, il mio team leader mi ha detto che è uno spreco di tempo e di concedere l'accesso perché era consentito sul vecchio server. Ogni volta, ho insistito. Il mio capo è in vantaggio con la mia squadra in testa perché crede che il mio team guiderà la chiamata giusta.

Ho sbagliato a pensare che l'IT che concede l'accesso ai dati dei clienti senza l'approvazione del proprietario (o il più vicino possibile a noi) crea un precedente negativo? Più specificamente, può mettere a repentaglio la futura adozione degli standard ISO 27001 o NERC?

    
posta Bad Neighbor 03.05.2017 - 20:11
fonte

1 risposta

1

Per rispondere alla tua domanda su ISO 27001; L'accreditamento ISO si basa su pratiche e processi in vigore al momento dell'audit. Se il processo originale era quello di lasciare tutti i dati sensibili su una chiavetta USB nel mezzo della stanza e ora cambi il processo e metti in atto controlli di accesso, gestione dei diritti, ecc., Allora il tuo accreditamento ISO si baserà su quello che sei facendo proprio ora.

Se d'altra parte il capo sta bypassando sistematicamente le misure di sicurezza durante e dopo l'audit, allora non otterresti l'accreditamento ISO.

Nel tuo scenario particolare suggerirei di stabilire zone di condivisione tra ogni coppia di team in modo che le autorizzazioni restino comunque forti, ma l'accesso controllato può essere garantito. Una volta stabilita la zona di condivisione, la scelta di cosa condividere passa dalla responsabilità dell'IT al responsabile del gruppo. Se un documento deve essere rimosso dalla zona, allora può anche essere fatto facilmente. Le preoccupazioni per gli utenti di essere pigri e il dumping di tutto nelle zone di condivisione sono il problema del gestore.

    
risposta data 03.05.2017 - 20:30
fonte

Leggi altre domande sui tag