¿Una fuente autorizada de por qué NUNCA debe dar su contraseña a nadie?

En un entorno corporativo, hay algunos lugares donde puedes mirar. Las Políticas de Uso Aceptable de la Compañía generalmente tendrán una cláusula que dice no compartir cuentas o revelar contraseñas. Si su compañía está sujeta a ciertas regulaciones (PCI-DSS, SOC2, HIPAA, etc.) tendrán requisitos similares.

Debido a que desea comunicarse con su jefe, hay una ruta no técnica que puede tomar.

Esas regulaciones y políticas se basan en el mismo principio general: responsabilidad. Este es un concepto legal que tiene que ver con la idea de que una vez que comparte ese acceso (eso es lo que les está dando), ahora son responsables de ese acceso. En este caso, usted está compartiendo la responsabilidad. ¿Qué sucede si la persona de TI usa su cuenta para hacer algo ilegal? Debido a que es su nombre en la cuenta, usted es el principal responsable de esa actividad, pero si se trata de una cuenta "compartida", esa responsabilidad se comparte con aquellos que tienen acceso a esa cuenta (el responsable de TI o el resto de la empresa) . Si no se puede saber quién hizo algo, entonces hay muchas menos opciones para tratar de corregir o solucionar problemas.

Por lo tanto, puede decirle a su jefe que simplemente no desea compartir la responsabilidad con todo el personal de TI. Las cuentas están destinadas a ser personales para que se puedan realizar las atribuciones adecuadas, y eso reduce el riesgo para la empresa.

Una fuente autorizada única para esto puede ser difícil de encontrar, ya que es, en última instancia, subjetiva. Sin embargo, no compartir credenciales es una expectativa fundamental de nuestro paradigma informático actual. El uso de inicios de sesión y contraseñas es fundamental para esta realidad y para salir de esto se viola ese paradigma y todos los sistemas que se han construido a su alrededor.

Acceder a recursos restringidos

Las restricciones de TI tienen una intención similar a la de un cajón de archivos bloqueado o una caja de seguridad bancaria. Es similar a las leyes y expectativas generales con respecto a abrir el correo de otras personas. Seguro que la tarjeta de identificación con una firma no es sensible en sí misma, pero tiene un público específico y una lista de acceso.

Independientemente del contenido y su significado o valor, los elementos están protegidos y el acceso ha sido restringido. Obviamente, podríamos discutir sobre el valor, la sensibilidad, etc., pero eso es así.

Impersonation

No caminas alrededor con el nombre de tu compañero de trabajo, la clave de acceso al edificio ni te sientas en su cubículo. ¿Por qué usarías sus recursos de TI? Todos los problemas y preocupaciones de la suplantación en un entorno físico existen en redes y discos. Los riesgos de suplantación son mayores dada la capacidad de identificar que esta suplantación es menor y la duración potencial de la suplantación dura más con las credenciales del sistema.

La mayoría de las empresas son "a voluntad de los empleadores"

Como tal, y dado que es probable que acceda a sus recursos, a través de sus sistemas, su única línea real de defensa legal es renunciar. Los matices de esto, incluidas las cuestiones de BYOD, probablemente están fuera del alcance de este sitio o al menos de mi área de especialización.

Sin embargo, el aspecto secundario de esto es que la empresa ya tiene acceso a todo lo que tienes o estás haciendo. Un buen indicador comercial es riesgo frente a recompensa . Sin recompensa, usted gana un riesgo significativo para todas las partes. El receptor de contraseñas ahora es, como lo señala schroeder, responsable de las acciones tomadas bajo sus credenciales. Usted es responsable de cualquier acción que tome cualquier persona que use sus credenciales. ¿Quién es la siguiente persona para obtener la contraseña? Incluso si confías en todos completamente, ¿la gente comete errores? ¿Cómo podrían afectar a las personas y a la organización?

El riesgo adicional surge cuando la empresa está fomentando un entorno de intercambio de credenciales y arriesga todos los recursos a través de la erosión de las mejores prácticas básicas que contrarrestan el falseamiento (ingeniería), la ingeniería social, el registro de teclas, los principios de menor acceso y más. ¿La persona que solicita su credencial es realmente soporte de nivel 1? No tiene nada de valor en su computadora, pero ¿quién a su vez le dará su contraseña a usted?

Como nota final, HIPPA / HITECH no tiene, a mi entender, una redacción específica para las contraseñas o el intercambio de contraseñas. Así es como haces una "buena" ley sin embargo. La capacidad de cumplir con los numerosos requisitos de seguridad, segmentación y auditoría de datos no es posible en un entorno donde se produce el intercambio de credenciales. Cuando las personas comparten contraseñas, las ACL carecen de significado y la auditoría es esencialmente una falsificación del acceso real. Desde mi perspectiva plebeya, esto es una violación de la ley federal.

*** Nota: hablo / escribo coloquialmente con "usted" y no quiero indicar a Devil's Advocate sino a cualquier lector general o persona a la que se pueda aplicar.

No, no puede haber una fuente autorizada porque la declaración no es verdadera. Hay ocasiones en las que deberías dar tu contraseña a otras personas.

Hay muchos escenarios en los que el beneficio de proporcionarle su contraseña a alguien es mayor que el costo del peor de los casos al proporcionarle su contraseña, y en el que el inicio de sesión es imposible dentro del período de tiempo requerido.

Para tomar un ejemplo trivial (aunque hay muchas cosas que podrían aplicarse al trabajo), un amigo que se queda en tu casa y quiere ver tu netflix mientras estás en el trabajo.