Если бы вас как системного администратора попросили облегчить доступ к файловому хранилищу ваших пользователей, чтобы директор мог посмотреть, какие типы файлов хранятся, что бы вы ответили?
Директор утверждает, что данные, хранящиеся в сети, принадлежат компании, но я утверждаю, что это файловое хранилище (т.е. «Мои документы») ранее было объявлено как «не предназначенное для использования в бизнесе», и у нас есть политика, разрешающая личное использование компьютеров, конечно, с рядом ограничений.
Есть опасения, что бизнес-данные могут храниться в разделе «Мои документы», но оправдывает ли это разрешение директору на поиски? Директор подчеркнул, что это не что иное, как идентификация бизнес-данных, хранящихся в неправильном месте, однако меня немного беспокоит разрешение доступа к тому, что, по моему мнению, действительно должно быть «хранилищем личных файлов».
«у нас действительно есть политика, разрешающая личное использование компьютеров, конечно, с рядом ограничений».
Проведите встречу с запросчиком, вашим начальником, отделом кадров и юридическим отделом (если он у вас есть). Это был бы мой ответ, особенно в свете того факта, что у вас есть политика, позволяющая пользователям делать это.
Если данные хранятся на компьютерах компании, то это данные компании, если в политике компании прямо не указано, что сотрудник может хранить данные на машинах, на которые компания не будет смотреть.
Вероятно, это станет одной из тех вещей, которые вы должны сделать, даже если вам это не нравится.
Это полностью зависит от политики вашей компании. Если у вас есть политика, которая гласит, что определенные данные не будут запрашиваться, но ваш босс просит вас об этом, отметьте одну ступеньку над ним.
Если его начальник с вами не согласен, у вас есть два варианта:
1) Соглашайтесь с этим.
2) Поднимите его еще выше по цепочке.
Это действительно зависит от того, насколько четко изложена ваша письменная политика и что она прямо разрешает и запрещает. Несмотря ни на что, вы должны быть осторожны, чтобы не разозлить своего босса.
Все это связано с вашей политикой допустимого использования, в частности с ожиданием конфиденциальности. Если ваша организация похожа на большинство из тех, с которыми я работал, даже если разрешено частное использование, это не гарантируется.
При этом обязательно следуйте любой установленной цепочке команд, которая у вас есть для такого рода запросов, и обязательно документируйте, что вы сделали и почему. Вы обязаны следовать за ACU так же, как и за другим человеком.
Как уже говорили другие, точный подход, который вам следует предпринять, зависит от того, как именно написан ваш AUP. Это вопрос того, насколько строго ваша политика подразумевает, что Мои документы будут конфиденциальными.
Однако одна вещь, о которой не упоминалось, заключается в том, что если цель состоит в том, чтобы проверить, нет ли данных компании в Моих документах, молчаливое предоставление доступа кому-то еще не обязательно лучший способ достичь этой цели. И если у вас есть очень небольшое количество каталогов "Мои документы", которые нужно проверить, возможно, один человек не хороший способ сделать это. Для ИТ-группы может быть разумнее провести какой-то аудит - поиск файлов с именами, которые указывают на то, что они связаны с работой, посмотреть, сколько файлов вообще есть, что угодно.
В наших политиках есть четкие заявления о том, что если ИТ-специалистам нужно что-то отслеживать или устранять проблему, это разрешено. А поскольку у нас нет кучи свободного времени, мы, вероятно, найдем для этого лучшие инструменты, чем если бы кто-то случайно просматривал каталоги людей.