Verifica delle e-mail degli utenti (illegali?) [chiuso]

Naviga le tue risposte
0

Sono l'amministratore di sistema per un'azienda che invia molte e-mail in uscita e un sacco di e-mail in entrata a potenziali clienti.

Abbiamo utilizzato uno strumento di auditing della posta elettronica per un paio di settimane che si riferisce a determinati aspetti delle e-mail (parole chiave dannose, virus potenziali, ecc.). Ho notato un picco di possibili email dannose.

Durante il mio tempo di configurazione del revisore, il nostro rappresentante delle Risorse Umane è entrato nel mio ufficio e mi ha detto che è illegale controllare un server di posta elettronica aziendale a causa del Snowden act ( Non ho idea di cosa sia, solo citando cosa mi è stato detto ). Il mio manager ha perso la testa e mi ha detto che ho bisogno di chiudere immediatamente l'auditor. Ho cercato di spiegare il motivo alla base degli audit e a cosa serve l'audit, tuttavia, hanno chiesto che venisse messo offline. Quindi ho disabilitato il mio auditor. Il problema che ho con questo è che tutto è già stato salvato dal nostro server di posta (usiamo GSuite) ed è già stato controllato, l'unica cosa che stavo facendo era instradarle tutte in una casella di posta in modo da poterle accedere in modo più efficiente se necessario .

La mia domanda è una vera affermazione, sto controllando illegalmente le e-mail dei miei utenti?

    
posta CertifcateJunky 18.04.2018 - 22:52
fonte

2 risposte

3

Ho uno sfondo decente nel campo dell'informatica e della sicurezza. Mentre sono d'accordo con Steffen Ullrich che questa è più una questione legale, ecco quello che so. Solo una divulgazione, io non sono un avvocato e non sono responsabile per eventuali problemi legali risultanti.

In ogni caso, purché la tua azienda possieda il suo server di posta nella sua interezza e tu abbia ottenuto l'accesso di root alla macchina, non stai guadagnando o superando il tuo accesso come definito nella CFAA e se il tuo reparto risorse umane fa riferimento al Freedom Act, si applica alla sorveglianza governativa a cui la vostra azienda non è soggetta. Le aziende possono stabilire i propri termini di servizio privati e le politiche sulla privacy. Finché si nota che l'e-mail aziendale è soggetta a monitoraggio per malware e divulgazione non autorizzata di materiale sensibile, si dovrebbe essere in chiaro.

In breve, non sono personalmente a conoscenza di alcuna legge che impedisca questo a condizione che la società sia interamente proprietaria del server e che gli sia stato concesso l'accesso root. A quel punto è solo una questione di politica aziendale. Se fossi in te, rispetterei la richiesta di interrompere l'auditing, trovare alcuni casi di studio online e ottenere una presentazione che fornirai alle risorse umane e al tuo manager per spiegare il vantaggio per l'azienda. Potrebbe essere necessario convincere la società ad assumere consulenti legali esterni in quanto le risorse umane non sembrano essere troppo consapevoli in materia (o forse non capisco completamente la situazione).

    
risposta data 19.04.2018 - 15:34
fonte
1

Inserire la dichiarazione IANAL accoppiata con la tua HR non sa di cosa si tratta e dovresti davvero disertare con il tuo avvocato aziendale su questo:

  1. L'Electronic Communications Privacy Act del 1986 consente ai datori di lavoro di monitorare la posta elettronica basandosi sul fatto che:
    • Fornisci una rete per la quale vengono inviate e-mail
    • Avere un caso aziendale valido per il monitoraggio delle email
  2. Il mancato monitoraggio può causare problemi legali, perché:
    • I datori di lavoro possono essere trattenuti per creare un "ambiente di lavoro ostile". Ciò include l'ostilità via email.
    • I datori di lavoro possono essere ritenuti responsabili se espongono le carte di credito tramite e-mail
    • Se hai segreti commerciali e non provi a proteggere attivamente il segreto, avrai una brutta giornata.
    • Porta fortuna attenuando la responsabilità legale se la tua azienda si imbatte in problemi legali via email e durante la scoperta viene rivelato che non hanno fatto nulla per fermarlo perché alcune persone delle risorse umane non capiscono nulla.

La risposta breve qui è che se ti interessa, devi coinvolgere il team legale della tua azienda ora. Posso quasi garantire che tutti gli avvocati d'affari che dici questo ti daranno pieno supporto per riaccenderlo.

Se ti senti abbastanza strong e la tua posizione politica è abbastanza buona, puoi persino rivedere le polizze assicurative della tua azienda. La responsabilità legale per una società calpesterà rapidamente qualsiasi sentimento dei droni HR.

Detto questo, la tua azienda potrebbe non avere alcuna politica di monitoraggio sugli utenti. In tal caso, non si controllano le e-mail, un programma filtra le e-mail.

    
risposta data 19.04.2018 - 17:34
fonte

Leggi altre domande sui tag

Solo i NIDS possono proteggere i server nella nostra rete, o anche l'applicazione HIDS? Come consentire a qualcuno l'accesso a un file, su un sito Web, in modo sicuro senza fare affidamento su una singola password?