<p dir="ltr">Then probably the privileged accounts are to be signified as such:<br>
 <a href="mailto:tobias.gondrom@board.owasp.org">tobias.gondrom@board.owasp.org</a> </p>
<p dir="ltr">Gapps provides so called suborganizations. You will then have two accounts, one as OWASP member and one for your director role. Setting this up as alias in your Gmail client is easy. Sensitive documents will be shared with your director account then. </p>

<p dir="ltr">Semantics is important in security, isn't it ,) </p>
<div class="gmail_quote">On Jul 1, 2014 7:00 PM, "Tobias" <<a href="mailto:tobias.gondrom@owasp.org">tobias.gondrom@owasp.org</a>> wrote:<br type="attribution"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    <div><br>
      On 01/07/14 16:59, Josh Sokol wrote:<br>
    </div>
    <blockquote type="cite">
      <div><br>
      </div>
      Regarding specifically what Dennis requested with respect to
      Samantha's @<a href="http://owasp.org" target="_blank">owasp.org</a>
      e-mail account, policies indicates that these e-mail accounts are
      a privilege for OWASP <a href="https://www.owasp.org/index.php/Individual_Member" target="_blank">members</a>,
      <a href="https://www.owasp.org/index.php/Chapter_Handbook/Chapter_4:_Chapter_Administration#Owasp.org_Email_Accounts" target="_blank">leaders</a>,
      and staff.  Samantha is not a <a href="https://docs.google.com/a/owasp.org/spreadsheet/ccc?key=0Ag5ZloRZ0SmjdEhnSDBEVVd0cVctb3d6c1RFUkJOeXc&hl=en#gid=1" target="_blank">member</a>,
      she does not currently lead a project, chapter, or other OWASP
      initiative, and she resigned as a member of our staff.  Are we
      suggesting that we should make Samantha an exception to our
      policies?  I am personally open to this, given her past service to
      our community, but we should be clear that this is not a right,
      but rather, something nice that we'd do to honor her
      contributions.  And, of course, it would be pending a volunteer
      effort to address the access control issues that were previously
      identified.<br>
    </blockquote>
    <br>
    <font face="Arial">Honestly, I don't see the point. <br>
      <br>
      To remove email access and set an auto-responder is common best
      practice in most companies. And in this case it was definitely
      necessary to avoid getting project leaders email requests being
      lost, delayed, not acted on or misdirected and maintain
      confidentiality of data. And btw. this best practice is common,
      irrespective of what great deeds an employee has done for the
      organisation during their tenure. <br>
      <br>
      Samantha is not a member. She does not currently lead a project,
      chapter, or other OWASP initiative, and she resigned as a member
      of our staff. Therefore I do not see why she should be supplied
      with an OWASP email address? <br>
      <br>
      Maybe the reason for Dennis to request such exception could be
      because Samantha is his wife. <br>
      But IMHO nepotism is not a good reason for an organisation to
      grant exceptions. And I am very much against that. <br>
      <br>
      <br>
      <br>
      On a technical solution basis, I definitely agree that we should
      look into moving to a more role based approach (aka e.g.
      <a href="mailto:project-manager@owasp.org" target="_blank">"project-manager@owasp.org"</a>) and possibly combine that with
      groups. Please note that our ops team has already made efforts in
      this direction by establishing the "Contact Us" form (which is
      linked with a ticketing system) as the primary interface. <br>
      <br>
      Having said that, for the time being until we figured out all
      mis-communication and data confidentiality questions, the default
      solution should be following standard best practices: <br>
      1. at end of employment remove email and system access and set an
      ex-employees email to auto-respond. <br>
      2. if the ex-employee is also a member or wants to become a new
      member, we can provide a new email account with a slightly
      different name. (yes, that is slightly inconvenient for the
      ex-employee, however necessary to ensure that no requests or
      confidential data are being misdirected to him/her email account
      under the false assumption that the person would still be working
      for OWASP.) <br>
      <br>
      Best regards, Tobias<br>
      <br>
      <br>
    </font>
  </div>

<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div>

<br>
<div><font color="#66cccc" face="times new roman, serif" size="1">Email us to enforce secure link with your mail servers (domain).</font></div><span style="font-family:'times new roman',serif;font-size:x-small;background-color:rgb(255,255,255);color:rgb(102,204,204)">This message may contain confidential information - you should handle it accordingly.</span><br><span style="font-family:'times new roman',serif;font-size:x-small;color:rgb(102,204,204);background-color:rgb(255,255,255)">Ez a levél bizalmas információt tartalmazhat, és ekként kezelendő.</span>