公司的人事管理系統由於裡面有很多個人隱私資料,所以只有HR部門及HR主管有所有權限去取用裡面的資料,有一次發現這套人事資料系統被入侵讀取裡面的一些個人隱私資料庫,經追蹤調查發現入侵的人居然就是MIS部門的主管,令HR主管很頭痛,家賊難防,尤其是入侵者就是參與系統建立MIS部門主管.
有何好的建議去處理這情況嗎? 事前,事後...
事前準備:
1.收集所有證據,且需避免被消毀(也就是不要只是存在電腦裡)
2.變更所有密碼及阻隔HR系統與公司網路的連線(或是資料可以出但外部無法進入)
3.確定資料洩漏程度(有多少資料被讀取)
4.確認是否有其它MIS人員可以接任後續系統維護
事後處理:
1.在事件爆發時,一定要讓該主管與電腦隔絕
2.扣壓該主管的電腦
3.停止該主管的所有權限,並請該主管在家等待通知,待公司決定去向
4.更改公司所有網路帳號密碼
5.申請變更公司對外網路位址,清查所有對外的固定IP位址是否有任何異常設定
家賊難防, 尤其是高層人員, 大多狀況也只有高層能取得有價值的資料; 既然有留下追蹤紀錄, 那就應該嚴辦, 才會有殺雞儆猴的效果.
小弟認為找有品德的員工, 才是王道.
如果這件事該你負責, 那就公事公辦, 反正證據都有了, 免的到時有法律糾紛, 你還被當成共犯, 如果這件事你不用負責, 那就看戲吧, 因為不管如何處理, 都會得罪其中一邊, 還是少碰為妙, 裝傻這一招還是很好用的.
1.私下去了解一下為什麼您那位mis主管要進入不被允許的系統,
2.從公開的場合來"踢爆"他的行徑舉止!
如果你不這樣做,反而是同流合烏!
當然你會想,沒必要把事情給搞得太難看!
想看看,如果你的個人資料被某某銀行或某某公司的mis主管給入侵了!你的感想為何?
等著看戲.
我覺得不要自己去查.
以我以前做查緝員的經驗.去找人事主管或找人頭做檢舉筆錄.查到後告訴主管,沒辦法有人檢舉這個問題,所以不得不查.
人事部門主管已經知道是MIS部門主管自己入侵,所以覺得很頭痛...
MIS主管辯稱他只是要做測試....
但HR主管有透露, 這位MIS主管曾經對他抱怨自己領的獎金不滿意, 可能是想入侵看看別人的薪資和獎金是多少...
本來也沒人發現這件事, 但這位MIS主管入侵時, 不小心更動到系統自動備份資料的時間, HR主管過來了解為何要更改資料備份時間, 去追查誰去修改系統備份時間時卻發現是系統資料庫被入侵了.
真是太好了.又要開缺了.
HR去抓IT主管.IT主管又去抓HR的辮子.
應該由公司稽核室去處理這類事件比較洽當.
這有甚麼好讓你頭痛的,只要跟人事主管告之,你似乎有發現到有人進入不屬於自己權限並在查閱別人私密資料。
這樣讓人事去處理不就好了。
由主管面對主管這樣比較省事。
資訊主管在強能強的過可以上達天聽的人事主管嗎?
當MIS可以擺爛,但是不可以沒有職業操守。
先把log檔留存,以免日後遭"毀屍滅跡",待日後稽核人員查核時,讓他們自己發現,讓MIS主管去自圓其說.
依你的說法已經有上層主管(HR)知道事件過程了,那麼你的責任已儘了,你已將發生的問題呈現出來,而你又不能越級報告,相信HR主管自有定奪,況且你又不能到處廣播事件經過,不然最後變成你在洩密
1.如果是一個平常表現很好的職員,卻只因為『他不滿意薪資,想看看別人的多少』而開啟他不該看的檔案..............有殺頭必要嗎?
2.個人也開啟過薪資表一次(當然有最高權限),但是我發現我能開啟後,馬上去通知相關人員:請額外加密(變成至少有二種加密)!!雖然我有辦法解密,卻不做這種事情。
2a.發現漏洞就補起來,包含規範、檔案保全.....等層面
2b.道德,看這個人平常作為
3.問題發生了,建議尊重職場倫理來處理即可,沒什麼好忌諱的
MIS主管, 本身就有一定權限...除非大老闆授權有一定限度, 所以才會有這個問題..這可以由兩個層面來看:
No No.你的想法顛倒.
在MIS裡.MIS主管才是老闆.他有最大的權限.連實體老闆的系統權限也是他受予的.
所以, MIS主管本來就有權看任何資料, 那麼, 版大在抱怨什麼? MIS主管權限太大??還是非法運用權限? 既然授權了, 那來非法呢? 本來就不用防, 為何要防呢?
版大的提問應是"政治"問題, 不是技術問題...因為MIS主管有最大權限. 所以, 我的問題是, 版大為何要防止MIS主管查資料? 再說, MIS主管是不是版大的主管? 如果是, 那版大為何要"管"? 看不慣主管? 這是政治問題....如果不是, 這是版大該管的問題嗎? 所以, 還是政治問題...嘿嘿嘿~~
(我只是照版大所提情境討論而已, 實務上, 我認為MIS主管應該是也一定是被老闆企重的主管才對, 如果不是, 這名MIS主管該檢討檢討了.)
職業道德的問題.MIS本來就可以看所有的資訊資料.對所有的裝備做處置.
問題就是他對所得到的資料怎麼去做運用.
就跟一個檢察官,他行為不好.難道要限制檢察官查資料嗎?
一個會計師,品德不好,你就不把會計帳給他看嗎?
認同,還是覺得賊字都已經出來了,那應該是調查完畢,根本不需發問
同意pantc328和msit大....
既然已成"賊". 應該是已經結案了....只是想知道那名"MIS主管"下場如何...
每家公司的情況不同,不是所有資訊系統都是MIS部門為最高權限管理者,MIS主管只參與HR資訊系統規畫,然後MIS部門就把HR系統委外建立,之後就交給HR主管管理,HR系統的系統管理者就是HR主管,HR系統使用者的權限都由HR主管自己管理,正常情況下,MIS主管並無法進入查閱機密人事資料.
就資訊安全角度而言,機密資料本來就是越少人能接觸越好.
To uart 老話,既然確認是賊,那貴公司一定有規範,而且Hr主管負責,那就是該Hr主管的事,跟資訊小簍簍沒關係呀。
To msit, HR主管已經把此事上報給總經理定奪了, 還好是HR主管來陪同一起查看追蹤因而同時一起知道是誰入侵, 不然小簍簍發現自己主管幹壞事還真不知道要怎麼處理才好, 報告交給主管也不是, 交給HR也不是, 不交也不是...唉
怎麼會是HR主管一起來查看追踨而同時一起知道是誰入侵呢? 版大是否太過於自圓其說?
我想問你喔...
支持simon+1,辦公室政治問題,你很可能會成為鬥爭的幫手?
To Simon 所以, MIS主管本來就有權看任何資料, 那麼, 版大在抱怨什麼?這句話不對哦~
MIS主管並沒有任何權力可以看任何資料,MIS主管不是董事長也不是總經理,各部門有各部門的權力,並不是身為MIS主管就可以跨部門行事,逾越你的權限就是不對。
發問這個問題是Hr主管,還是MIS小簍簍?
既然HR系統是該MIS主管幫忙建立,會不會是去維護系統呢?
如果CSI已經調查的如此清楚,確認是入侵事件,而且HR既然知道,而且已經判定是賊,那真的應該由HR提出,因為發問中似乎感覺始終是HR發現的,沒有感覺到MIS小簍簍幫忙查詢,所以覺得這根本跟MIS小簍簍沒關係。
這根本是HR設陷阱讓IT主管跳.
HR會知道IT的系統怎麼設,怎麼備份時間.
如果HR有這種人才.我看就把這二個部門併一併吧!
講到重點了
常態性的查看理論上是不會動到備份的時程,所以應該是那位MIS主管用非正常的方式進入到該系統,導致備份排程出錯,最後才衍生出這樣的問題。我想這也是開版大所以會說成系統被入侵的原因。如果以上論點成立,該MIS主管確實要被法辦,因為如果是要測試系統的安全度,應該在事前就要先行通知Hr主管的。
可憐的IT主管,不知道系統還跑去看.
這個系統可能是外在的系統.
從以前到現在我做的系統都是統一的系統.不只要管理系統,可以看資料,還要替使用者解釋資料.
以前在醫院.全部的電腦都可以遠端操控.每個護士哪個地方有問題,都可以線上解決.所有病患,病例..資料都可以看.
開板大這家公司看來似乎山頭林立,入侵事件也有可能是正常登入,只是在公司的大原則之下MIS主管無權登入該系統,一個掌控公司MIS部門的主管要使用入侵的手段去登入自己公司的系統,這聽來似乎也不太合常理。
HR系統雖然是MIS幫忙規劃,但是由委外的廠商建立,之後就交給HR部門自己作使用者授權管理,HR主管才是此系統的最高權限管理者,這是因為HR系統裡面有許多個人隱私甚至公司內部極機密的股務,盈餘,獎金分配資訊,很多公司都會針對有特殊能力貢獻的員工有機密的犒賞或配股,或是針對挖角過來的某些人員給予一些專案性的分紅計畫,這些機密資訊本來就不該開放給MIS的部門可以查看,這些資訊流出去了,嚴重者可能會影響整個公司的營運,這不是山頭林立,不是陷阱,這是資訊安全,也是企業營運安全所需.
似乎, MIS主管是人人喊打的工作....
版大是否有權限呢? 不然怎麼能去看HR系統的機密資料? 是否做賊的喊抓賊呢?
版大是MIS部門員工吧! 你的主管有沒有授權你去看呢? 還是HR主管授權你去看? 但沒有經過你的主管同意?
所以....只是一場政治行動, 要把MIS主管幹掉, 幹掉MIS主管對版大有何好處? 你來當MIS主管? 嗯..小心改天HR主管看你不順眼又找你的部屬做同樣的事...
事前...來不及了~~沒有職業道德的人當上主管 就是災難的開始
事後...如果大大你也是MIS,那你要自己保存證據「證明不是你」,不然那一天變成你要負責,你該怎辦?千萬不要顧著看戲,忘了這一點啊~~
最後:當一個主管會做這種事時,外人通常會想「他下面的部屬」應該也好不到那去
建議是--
政治問題,就給那些上面的人去解決
技術問題,本於我們該有的道德跟專業,舉證跟描述事實就好,但不要觸碰動機,因為我們不會知道動機,我們也不需要知道動機,建議公司應該有有一份「異常存取記錄」跟「存取權限定訂」會比較好,如果公司不同意,那自己保留一份證據就好。
如果你是老闆: 確認mis底下的人可以 cover 所有的業務> 把mis主管直接 fire 吧
如果你是mis: 不要捲入兩個主管的戰爭, 做你的事
只要是系統, 就會被偷看, 只要有鎖, 就有法子開,
那誰 maintain 系統咧?
我看過有些公司的 HR 系統裡的薪資部分是只有 HR 才可以開的單機版, 網路上的只有差勤休假的部份, 而且實體資料還存在 HR 保管的隨身硬碟裡, 只有要用的時候才接上去, 平常電腦維修時也只能看到測試區
感覺就是狗咬狗一嘴毛
買爆米花配可樂才是王道
又是一個白目的 IT 主管,
系統不熟又自以為神不知鬼不覺.
參與系統建立竟然還會留下軌跡被查覺,
貴公司 IT 部門是外行領導內行吧.
把 Log 記錄中入侵的 [時間點] 與 [方式] 呈報公司, 讓他自行離開.
不然未來極有可能會對 IT 部門造成更大傷害,
像是 [做系統測試時] , 現行資料沒確認備份成功, 就倒回舊資料覆蓋掉.
........ 等等.
IT 主管不潔身自愛, 喜歡玩小動作,
身為下屬的就請自行小心為上.
不然背黑鍋還吃官司是遲早的.
非自己經管的資料是不能看的
同樣的 MIS也要記得
人家跟你要求不是他負責的資料是不能給的
像是我以前公司的主管跟我要稽核的資料
我就直接了當跟他說 你沒有管稽核
所以我不能給你看稽核的資料
如果把持不住 到最後出事了倒楣的是自己
很多先進已經提過許多處理方式了,不贅述, 但不知你在此事件適合種角色? 應該也不是人事系統的系統管理者吧? 那你怎麼知道這件事的? 是HR主管告訴你的, 由你私下協助調查? 那這樣子, 你的角色豈不矛盾, 因為你平常是受誰的指揮做事的? HR主管的sense 也不好, 應該知會稽核, 由稽核出面處理.
至於站在你個人的狀況, 我想強調的是"要保護自己", 在公司的立場, 就要"保全證據 ", 並立刻檢視該系統的所有帳號權限與環境設定(例如有沒有安裝類似開後門的DB管理工具), 有稽核單位, 就交由稽核去處理了, 基本上. MIS主管已經違反了公司的規定, 在制度嚴謹的公司, 是可以因此而請他走路的
我是覺得,應該朝 "球員不能兼裁判" 的方向來思考這個問題的處理方式。若這些紀錄,能夠做到讓事件發生時,負責稽核的人,甚至或是當事者,能在第一時間收到系統的通知。而MIS只是負責協助追查該筆紀錄的原委,這樣,就可以避免尷尬的產生。
若現在沒有這樣的機制,又想處理這樣違反公司規定的人。由於是自己的主管,有自己提出比較不恰當。我的建議方式是,先裝做不知道,請人事單位的主管,直接找你的主管,當場調閱紀錄,讓人事主管當場詢問你主管,再讓他針對他的行為做解釋。若公司事後選擇留任這位主管,最好能透過使用單位,在公司的會議中,向資訊部提出需求,要求系統能主動的發出警告或視紀錄的訊息到使用單位的負責人手上。我想這樣應該會好一些。
先弄清楚吧, 免得自己被 fire 掉 !
有時是大老闆或比 HR 主管大的高層請 MIS 主管進去看的 ,
這是不能說的秘密 , 若沒先搞清楚 , 只是戳破大家的平衡 ,
倒楣的是那個告狀的. 要自保就不要多管閒事比較好.
之前公司就發生過多事者介入高層的鬥爭與猜忌 ,
然後就被請走了 , 連資遣費都沒有
以前在我公司也碰過一樣的事情!!那個人還是資訊部門的最高層經理!!
差異是!!那個經理偷看董事長的信件!!! =.="
教您一個方法!!既然HR的人員已經知道此資訊被入侵事件!!
您先將所有相關LOG備份一份!!
您要非常確認的能夠指出~登入的LOG內有該位IT主管的蛛絲馬跡!
否則會被反咬!!!
然後請HR主管將此事情告知董事長!!
協同HR主管及董事長!!在會議室直接點名該IT主管~並指出LOG內所發現的事情
然後馬上讓他走人!!!千萬別奢望讓他有改過的機會~否則~您~就慘了~~~~~
這要看你的身份及期望達到的結果.
如果, 你是部屬, 可以請HR部門的主管處理, 或不處理.
如果, 你是同儕, 可以直接向老闆報告, 或不處理.
如果, 你是老闆, 請他說明原因, 要他馬上走路, 或是留校察看.
換個中立的角度吧~
請告訴來查的hr主管及被查的mis主管
mis主管的最高使用權限密碼可能被破解了
這樣,高層自己會啟動查緝行動,
既不必去告密,又可以不得罪部門主管
當追查結果出來,也是所有高層的事
當部屬的也不用被當祭品
我想~~大家都想知道自己領多少 別人領多少...
如果這件事情是可以被允許的 那公司何必將HR系統獨立設計呢
若是將HR系統獨立設計 那是否代表公司不希望除了HR以外知道這些資料呢?
這位MIS主管不論他進HR系統做了什麼事情
1.他都違反公司的規定→如果沒有逞罰 那其他MIS人員也可以有樣學樣囉!?
2.技術這麼差,侵入系統還留下資料→規劃與執行能力有問題 MIS部門前途堪慮...
3.沒有職業道德→只憑自己慾望做事情 那改天不爽公司給的獎金太少 把研發資料"不小心"帶出去 我想應該也不意外吧!!
之前某公司MIS人員晚到 自行進系統修改打卡時間
後來HR人員發現MIS晚到 但是打卡時間卻正常 因此往上呈報
結果→那位MIS活的好好的 甚至還當上MIS主管
所以 各個公司文化不同...處理方式不同
至於版大應該如何處理,端看您的選擇囉
明哲保身OR 勇敢舉發
通常大部分人士選擇前者啦...因為怕事情一發不可收拾
但如果我是老闆,我會請MIS主管提出解釋OR自行離職
個人認為MIS人員須有高道德標準,畢竟現在什麼事情都需要MIS
那你公司的HR系統的建構有觀念上的問題,MIS主管不應該有權限進入才是。最好連遠端登入或者資料庫都進不去。
我之前服務的公司的HR系統就自外於MIS系統之外,我本身是當時的MIS主管,我自己就沒有進入系統的權限。系統是外包廠商設計的,上線之後就把系統管理員的帳密給了HR,之後我這裡只負責軟硬體維護罷了,連資料庫都進不去(僅能本地端登入,但電腦的密碼交由他們自行設定),而且這套系統走的線路完全不會連上區域網路以及網際網路,因此也無法遠端進入。沒有駭客手法使用的空間。
缺點是,備份就得HR部門自己來。
我覺得就是:收集所有證據,且需避免被銷毀以求自保,若要做其他限制或改密碼...之類的可能會打草驚蛇!讓該 IT 主管採取行動而影響您的考績、升遷、前途、未來...等。
再者,可能要先私下探聽 IT & HR 兩名主管的背景與靠山是誰,以便自己先有個底。然後讓他們自己去處理或鬥爭,因為,您終究還是在 IT 部門做事啊(除非您打算走人)。所以,重點是「自保」第一!!
如上面大大所言
其實不用擔心,
既然目前只有你知道,
你就悄悄的去跟人事主管告知,
讓他們去狗咬狗~
不至於需要攤開,如果你攤開,我想人事主管也不會幫你,
你更是得罪自己的MIS主管...
告訴你我自己的經驗,
不要說主管,
我先前的工作是有兩個IT
另一個是待了七八年的IT,
但很兩光,
後來我發現了他很誇張的使用很多USER的電腦同時用P2P抓電影,
幾乎癱瘓了網路,
我想說不要讓他難過,
私下跟他講,勸他節制一點,
結果他記恨,之後被他寄了一大疊的黑函上去,
最後我被不續聘...而且被黑得很慘...
自己小心處理吧.
以往MIS就都有檢視公司所有資料的能力,只在於它爽不爽看而已,所以呢可別得罪了地下老闆呢。
但是,這樣的慣例是對的嗎? 版主或許身受其害,但是有很多公司其實無從得知這,所以落實資料讀取權限與系統維護權的分離才是根本的解決方法。
不過,就目前WINDOWS或是LINUX系統來看,誰掌控最高權限,誰就擁有全系統檔案的讀取權,難度也不過只是扳扳手指而已,所以單靠OS本身的ACCESS CONTROL能力是不夠的。
我最早接觸可以達到限制管理員權限的產品是CA的ACCESS CONTROL產品,概念上是將管理員權限分離,使得系統管理員無從變動稽核紀錄,或是再分離使其無從變更檔案讀取權限,概念上不錯,但是實行起來卻挺複雜的,權限處理不當就會導致系統管理員的權限不足,無從進行系統維護工作。不過,卻也不失保護檔案私密性與追蹤變動行為的好方法。
最近工作上接觸了加密產品,意外中發現,加密的運用才是簡便安全的方案,透過加密機制由另一系統管理加密鑰匙的保管與權限分配,對放在SERVER上的檔案加密後,沒有權限的人就打不開檔案,而指派此一權限的人可以是老闆也可以是公司的安全官,鑰匙指派給某人單獨使用後,加密系統的管理員也無法任意取得讀取權,必須會同兩位主管才能獲取權限變更的動作,至於SERVER的權限呢,就隨MIS自己搞吧,系統壞了叫MIS來修,也不用擔心重要資料被看光。