Wat heb je exact met je baas afgesproken? Was dat account/password daar onderdeel van? Indien dat besproken is met de baas en hij daarmee akkoord is gegaan is hij diegene die verantwoordelijk is.

Het paswoord?

Voor een manager vind ik dat je taalgebruik niet in je voordeel pleit. Hoe dan ook, wat heb je precies opgevraagd? De wachtwoorden van gebruikers? Wachtwoorden van service accounts? Wat is 'het paswoord'?

Er zijn voldoende audit mogelijkheden die geen wachtwoord van een gebruiker vereisen. Mocht je inderdaad de wachtwoorden van de gebruikers nodig hebben, dan vraag ik me af hoe jouw systeembeheerder die zo uit zijn mouw kon schudden. Voor zover ik weet is dat namelijk niet zomaar te achterhalen.

Maar nu neem ik aan dat het gebruikerswachtwoorden betreft... Als je niet aangeeft waar het wachtwoord in de eerste plaats van was, dan is het moeilijk om het in een juridisch perspectief te plaatsen.

Mochten het gebruikerswachtwoorden zijn dan is het alsnog niet eenvoudig. Gebruikers hebben recht op privacy, daar kan een wachtwoord voor zorgen. Zou jij dat wachtwoord opvragen, dan kan dat worden gezien als inbreuk op de privacy. Maar een wachtwoord op zich is geen bezit, dus kan een werkgever het wachtwoord wijzigen als dat daarna maar wel aan de betreffende gebruiker wordt gegeven.

Daarnaast hangt het er ook vanaf wie jou bedreigd met ontslag. Mocht dat de systeembeheerder in kwestie zijn, dan zou ik me niet zo druk erom maken.

Oh, en ook niet geheel onbelangrijk, staan die afspraken op schrift?

Als er ergens op schrift staat dat je het wachtwoord niet mag opvragen, dan staat het bedrijf sterk. Maar dan hoort er ook beschreven te zijn dat de gebruikers nooit hun wachtwoord mogen afgeven. Dat zou dus betekenen dat zowel jij als de gebruiker fout zijn geweest en beiden met ontslag bedreigd zouden moeten worden.

Peter

Het opvragen van het wachtwoord is een audit op zichzelf.
Je checkt of ze het zomaar afgeven. :)

Volgens mij is er geen wettelijke grond voor het wel of niet vragen van wachtwoorden.
Maar men zal toch niet zomaar op deze manier reageren, het zal dan in de bedrijfsregeltjes
moeten staan ?


Volgens het verhaal heeft hij om systeembeheerders-wachtwoord gevraagd.
Gebruikers zullen ook niet genoeg rechten hebben om een audit mee uit te voeren.

Misschien één tip voor je systeembeheerder: "Wijzig het wachtwoord regelmatig".

"Ik ben manager van de ICT afdeling, en had een plan van aanpak m.b.t. de audit van verschillende applicaties voorgesteld. Mijn baas is ermee akkoord gegaan en voor het kunnen uitvoeren van de audits, heb ik het paswoord opgevraagd bij mijn systeembeheerder."

Wat is "het wachtwoord", en waarom kon je je eigen wachtwoord hier niet voor gebruiken. Misschien dat je het iets beter uit kan leggen. Verder vraag ik mij af of je een information security policy hebt moeten ondertekenen toen je in dienst kwam, en of daar iets instond over het delen van wachtwoorden.

"Misschien één tip voor je systeembeheerder: "Wijzig het wachtwoord regelmatig"."

Wat heeft dat advies in hemelsnaam van doen met deze discussie.

Haha, is dit een strikvraag ?

Het lijkt erop dat je niet alles leest, wantr ik had al neergezet in reactie op 10:29 dat je normaliter
met een normaal gebruikersaccount geen audits kan uitvoeren.

Vreemd verhaal eigenlijk.

Jij hebt een p.v.a. gemaakt voor een audit. Je baas heeft dit gelezen en daar staat natuurlijk ook in dat je "het paswoord" nodig hebt. Je baas heeft dit goed gekeurd want zijn handtekening staat eronder of minimaal een bevestiging via de email.

Hij is dus verantwoordelijk voor de opdracht; jij bent degene die de opdracht uitvoert of laat uitvoeren.
Laat jij het uitvoeren dan ben jij verantwoordelijk voor degene die het uitvoert.

"Het paswoord" had trouwens ook niet zomaar door een systeembeheerder gegeven mogen worden. In deze is de systeembeheerder ook fout aangezien hij privacy gegevens vrij geeft.

De audit is dus gefaald in deze.

Maar je hebt natuurlijk in je p.v.a. duidelijk onderbouwd dat je "het paswoord" echt nodig had en alleen hiervoor hebt gebruikt. Dan mag ik aannemen dat er toch niets aan de hand is.

Voor een audit heb je geen systeem/netwerk beheer wachtwoorden nodig. als je het echt verantwoord doet zijn er audit accounts, die ook weer gemonitored worden. Ze hoeven alleen maar te kijken, schrijven/wijzigen is zelfs onwenselijk.

Beste,

Als ik het zo doorlees, wordt jij gedreigd met ontslag. Ik zou in deze zeggen dat de fout bij systeembeheer ligt. Op welke grond of mandaat heeft systeembeheer jou het wachtwoord afgegeven. Indien jij in jou PvA duidelijk hebt vermeld dat er een bepaald wachtwoord noodzakelijk is om de audit uit te voeren, dan heeft jou leidingevende hierop akkoord gegeven. Indien jij verzuimd hebt of vergeten bent om een akkoord te vragen voor het wachtwoord in jouw PvA en systeembeheer heeft alsnog het wachtwoord afgegeven. Dan zijn zij fout en niet jij. Dit bewijst dat het interne proces bij systeembeheer m.b.t. wachtwoord beheer slecht is.

En zou jouw leidinggevende daar maar eens iemand moeten ontslaan. Wat ik overigens een erg overdreven maatregel vindt voor ik neem aan de eerste overtreding.

Als er niet (veel) meer speelt dan dat je hier schrijft zal die soep wel niet zo heet gegeten worden.
Welke spelers zijn er eigenlijk in dit verhaal , en met welke (verschillende) managementslijnen ?

Jij : manager ICT afdeling
je baas : hogere manager ICT, of al een overall director ?
"mijn systeembeheerder" - een medewerker van je afdeling, of een systeembeheerder van een andere afdeling/divisie ?

"volgens hun" - welke "hun" ? Het bedrijf/HR ? De (andere?) ICT afdeling waarvan de systeembeheerder zijn medewerking achteraf een verkeerde keuze vond ? Of de baas van je baas ? En hoe komen "hun" aan de klacht over deze audit ? En waarom komt die (direct?) bij jou, en niet bij je baas die accoord gaf op de audit ?

"een verantwoordelijke" - voor wat ? ingehuurde auditor, uitgeleende systeembeheerder (van die andere afdeling?), expert applicatie gebruiker ?

De normale vuistregels voor password of toegangs zaken zijn voor 'normale' users in normale werksituaties. Een audit door een ICT manager met toestemming van hoger management valt daar ver genoeg buiten dat je in algemeenheden komt van 'professioneel gedrag wat verwacht mag worden bij een audit'.

Ik neem aan dat je plan van aanpak voldoende duidelijk was dat eruit begrepen kon worden dat het opvragen van een password (admin/root/audit , kortom, iets bijzonders) daar noodzakelijk bij was ?
Zo ja, dan moet jouw baas voor je in de bres springen en degene die problemen heeft duidelijk maken dat het geheel met zijn toestemming gedaan is en de problemen dus met hem (en niet met jou) gemaakt moeten worden.
Plan van aanpak en akkoord klinkt voorbereid genoeg dat het geheel in een mailarchief zal staan, en dat is goed genoeg als bewijs als de stampij een beetje verder gaat. "hij zei van de zomer bij de koffie "doe maar"" is te zwak .
Mails maar even niet weggooien, en bewaar ze voor de zekerheid ook offline.

Ik gok dat er wellicht een persoon of afdeling is die zich erg gepasseerd voelt ergens, en hard aan het schreeuwen is gegaan. Gegeven de situatie zoals je 'm beschreven denk ik dat *het bedrijf* erg weinig kans zou maken om je met reden te ontslaan;
Dit moet feitelijk een probleem zijn voor je baas om te managen, dus leg het daar neer.

Waarom? Ik heb zo een verschrikkelijk moeilijk wachtwoord voor de server dat mensen hem niet eens kunnen onthouden met intypen op het toetsenbord als ze achter me staan omdat hij zo lang is en verschillende tekens. Soms vragen bedrijven vanwege een aanpassing zoals SQL om het wachtwoord en deze geef ik gewoon niet. Ik type hem alleen zelf in en niemand anders. Ze vroegen wel eens om het wachtwoord op een papiertje bij de controller achter te laten. Mooi niet natuurlijk. Iemand met 0% verstand van computers en dan zo een belangrijk wachtwoord achter laten. Alleen een ICT bedrijf weet hem voor het geval ik onder een auto kom.

Ja, bedankt voor het enorme verhaal waaruit blijkt dat je trots bent op je wachtwoord.
Maar daar gaat het niet om, zoals al aangegeven door Anoniem om 11:34

Je had een beheerdersaccount moeten laten aanmaken voor jezelf. Niet het wachtwoord van andermans account moeten opvragen. Dat was weinig professioneel. Lijkt me zonder dat er bezwaar tegen gemaakt is verder niet ernstig, maar heel ernstig als dit wel is gebeurd. Dat laatste kan dan inderdaad leiden tot je ontslag.

Misschien een gek idee maar zullen we wat antwoorden van de topic starter afwachten voordat we allerhande voorbarige conclusies trekken?

Dat is inderdaad een gek idee, want ik heb het idee dat de topic-starter
niet meer zal reageren. :)
Als iemand een dergelijk verhaal ophangt, mag je toch verwachten dat
de reacties op de voet gevolgd worden.
En er zijn nogal wat vragen gesteld.

Just another one post wonder....