Trabajo para una pequeña empresa que realiza trabajos por contrato que involucran el almacenamiento de datos de clientes en nuestros servidores durante la duración de un proyecto. Recientemente, adoptamos una seguridad de carpetas más estricta en la que cada equipo solo puede acceder a su propia carpeta. Por ejemplo, el Equipo A de la ubicación 1 no puede acceder a los datos del Equipo B, ni puede acceder a los datos del Equipo A de su hermana en la ubicación 2. Esto imita la seguridad de la carpeta del cliente y es así como mi jefe, el director de la cuenta me instruyó sobre la cuenta, y Un gerente que representa al equipo con los datos más sensibles.
Como era de esperar, desde entonces he recibido varias solicitudes para otorgar acceso adicional. He insistido en que el gerente del equipo, el más cercano al propietario de los datos en la carpeta de destino, proporcione una aprobación por escrito de las solicitudes. Cada vez, el líder de mi equipo me dijo que es una pérdida de tiempo y otorgar acceso porque estaba permitido en el servidor anterior. Cada vez, he insistido. Mi jefe está del lado del líder de mi equipo porque cree que el líder de mi equipo hará el llamado correcto.
¿Me equivoco al pensar que el hecho de otorgar acceso a los datos del cliente sin la aprobación del propietario (o tan cerca como sea) establece un mal precedente? Más específicamente, ¿puede poner en peligro la futura adopción de las normas ISO 27001 o NERC?