Una fuente autorizada única para esto puede ser difícil de encontrar, ya que es, en última instancia, subjetiva. Sin embargo, no compartir credenciales es una expectativa fundamental de nuestro paradigma informático actual. El uso de inicios de sesión y contraseñas es fundamental para esta realidad y para salir de esto se viola ese paradigma y todos los sistemas que se han construido a su alrededor.
Acceder a recursos restringidos
Las restricciones de TI tienen una intención similar a la de un cajón de archivos bloqueado o una caja de seguridad bancaria. Es similar a las leyes y expectativas generales con respecto a abrir el correo de otras personas. Seguro que la tarjeta de identificación con una firma no es sensible en sí misma, pero tiene un público específico y una lista de acceso.
Independientemente del contenido y su significado o valor, los elementos están protegidos y el acceso ha sido restringido. Obviamente, podríamos discutir sobre el valor, la sensibilidad, etc., pero eso es así.
Impersonation
No caminas alrededor con el nombre de tu compañero de trabajo, la clave de acceso al edificio ni te sientas en su cubículo. ¿Por qué usarías sus recursos de TI? Todos los problemas y preocupaciones de la suplantación en un entorno físico existen en redes y discos. Los riesgos de suplantación son mayores dada la capacidad de identificar que esta suplantación es menor y la duración potencial de la suplantación dura más con las credenciales del sistema.
La mayoría de las empresas son "a voluntad de los empleadores"
Como tal, y dado que es probable que acceda a sus recursos, a través de sus sistemas, su única línea real de defensa legal es renunciar. Los matices de esto, incluidas las cuestiones de BYOD, probablemente están fuera del alcance de este sitio o al menos de mi área de especialización.
Sin embargo, el aspecto secundario de esto es que la empresa ya tiene acceso a todo lo que tienes o estás haciendo. Un buen indicador comercial es riesgo frente a recompensa . Sin recompensa, usted gana un riesgo significativo para todas las partes. El receptor de contraseñas ahora es, como lo señala schroeder, responsable de las acciones tomadas bajo sus credenciales. Usted es responsable de cualquier acción que tome cualquier persona que use sus credenciales. ¿Quién es la siguiente persona para obtener la contraseña? Incluso si confías en todos completamente, ¿la gente comete errores? ¿Cómo podrían afectar a las personas y a la organización?
El riesgo adicional surge cuando la empresa está fomentando un entorno de intercambio de credenciales y arriesga todos los recursos a través de la erosión de las mejores prácticas básicas que contrarrestan el falseamiento (ingeniería), la ingeniería social, el registro de teclas, los principios de menor acceso y más. ¿La persona que solicita su credencial es realmente soporte de nivel 1? No tiene nada de valor en su computadora, pero ¿quién a su vez le dará su contraseña a usted?
Como nota final, HIPPA / HITECH no tiene, a mi entender, una redacción específica para las contraseñas o el intercambio de contraseñas. Así es como haces una "buena" ley sin embargo. La capacidad de cumplir con los numerosos requisitos de seguridad, segmentación y auditoría de datos no es posible en un entorno donde se produce el intercambio de credenciales. Cuando las personas comparten contraseñas, las ACL carecen de significado y la auditoría es esencialmente una falsificación del acceso real. Desde mi perspectiva plebeya, esto es una violación de la ley federal.
*** Nota: hablo / escribo coloquialmente con "usted" y no quiero indicar a Devil's Advocate sino a cualquier lector general o persona a la que se pueda aplicar.