Lavoro per una piccola azienda che fa un lavoro a contratto che comporta la memorizzazione dei dati dei clienti sui nostri server per la durata di un progetto. Recentemente abbiamo adottato una protezione delle cartelle più rigida in cui ogni team può accedere solo alla propria cartella. Ad esempio, la Squadra A dalla posizione 1 non può accedere ai dati del Team B, né possono accedere ai dati del proprio Team A sorella nella posizione 2. Ciò imita la sicurezza della cartella del cliente ed è il modo in cui sono stato istruito dal mio capo, dal direttore sull'account e un manager che rappresenta il team con i dati più sensibili.
Come ci si aspetterebbe, da allora ho ricevuto più richieste per concedere un accesso aggiuntivo. Ho insistito sul fatto che il manager del team, il più vicino al proprietario dei dati nella cartella di destinazione, fornisca l'approvazione scritta delle richieste. Ogni volta, il mio team leader mi ha detto che è uno spreco di tempo e di concedere l'accesso perché era consentito sul vecchio server. Ogni volta, ho insistito. Il mio capo è in vantaggio con la mia squadra in testa perché crede che il mio team guiderà la chiamata giusta.
Ho sbagliato a pensare che l'IT che concede l'accesso ai dati dei clienti senza l'approvazione del proprietario (o il più vicino possibile a noi) crea un precedente negativo? Più specificamente, può mettere a repentaglio la futura adozione degli standard ISO 27001 o NERC?