Etyka / legalność w biznesie dla administratorów IT

22

Czy jako administrator systemu istnieją rzeczy, które mogą nie być oczywiste, których nie należy robić w sposób etyczny lub prawny, nawet jeśli otrzyma takie polecenie? Interesuje mnie prawnie to , jakie działania mogą poważnie zaszkodzić twojemu przyszłemu przewoźnikowi lub wpaść w kłopoty z prawem .

Na przykład, czy usunięcie określonych typów plików jest kiedykolwiek w porządku, nawet jeśli szef tego zażąda?

W szczególności zastanawiam się nad Stanami Zjednoczonymi. Ponadto nie jestem w takiej sytuacji w tej chwili, kolejne pytanie sprawiło, że pomyślałem, że to informacja, którą powinienem znać.

Naprawdę, nie próbuję wywoływać dyskusji na temat etyki ani skomplikowanych scenariuszy, w których najlepiej byłoby zadzwonić do prawnika. Ale lista kontrolna, literatura lub przepisy, o których powinna wiedzieć każda osoba IT.

untagged Kyle Brandt
źródło
4
To powinien być naprawdę artykuł wiki, ponieważ nie ma dobrej lub złej odpowiedzi.
John Gardeniers,
1
Odpowiedź może nie być dobra lub zła , ale będą odpowiedzi etyczne i nieetyczne , jestem pewien ... czy nie powinniśmy nagradzać reputacją etyki? ;-)
Chris W. Rea,
@ John nonsens - nadal jesteś odpowiedzialny za swoje działania
Jim B
+1 za świetne pytanie.
Chris W. Rea,
Jim, przeczytałeś coś, czego nie napisałem. W żadnym momencie nawet nie zasugerowałem, że nie uważałem, że powinniśmy być odpowiedzialni za nasze działania. Wręcz przeciwnie. Przeczytaj moją odpowiedź poniżej.
John Gardeniers,

Odpowiedzi:

4

Myślę, że jeśli przechowujesz papierowy / elektroniczny ślad tego, o co proszą cię przełożeni, powinien on uchronić cię przed wszelkimi problemami prawnymi

tzn. nie usuwaj tylko niektórych rekordów, ponieważ twój szef kazał ci to robić podczas rozmowy przy chłodziarce wody, ponieważ może to doprowadzić do wciągnięcia cię w gówno, o którym nie wiesz, a twój szef może zaprzeczyć, że kazał ci to zrobić rzecz. Jeśli Twój szef powie ci coś ustnie, wróć do swojego biura i wyślij mu wiadomość e-mail „potwierdzającą” jego prośbę.

Etyka jest naprawdę trudną rzeczą dla administratora systemu, ponieważ dotykamy tak wielu aspektów działalności, ale jeśli coś pachnie podejrzanie, to zrób to na piśmie lub wydrukuj, zanim to zrobisz.

Glen Y.
źródło
4
Rzeczywiście - jeśli zostaniesz poproszony o zrobienie czegoś „poza nagraniem”, zazwyczaj oznacza to, że jest to nieetyczne.
pjc50,
3

Jako Amerykanin, jeśli jesteś odpowiedzialny za systemy CMS, które przechowują dane finansowe, powinieneś zapoznać się z Ustawą Sarbanes-Oxley , która nakłada na firmy obowiązek przechowywania określonych rodzajów dokumentacji finansowej przez określony czas.

(Obowiązkowe: IANAL)

Ogniwo
źródło
Patrzyłem na to wcześniej, ale tak naprawdę nie wyprowadziłem z tego nic praktycznego dla administratora IT (może CIO) ...
Kyle Brandt
SOX ma znaczenie tylko wtedy, gdy jesteś spółką publiczną (tj. Twoja firma przeprowadziła IPO) lub jeśli firma zamierza zostać publiczna.
feniix
2

Nie jestem prawnikiem, więc proszę wziąć poniższe z odrobiną soli.

O ile mi wiadomo, jedynym problemem związanym z legalnością jest usunięcie dowodów nielegalnej działalności. To z pewnością może sprawić kłopoty.

Z drugiej strony, jeśli usunąłeś zapisy, które nie zawierają dowodów na to, że są nielegalne, ale nadal zostały wezwane do sądu po tym fakcie, jest mało prawdopodobne, abyś miał z tego powodu kłopoty.

Łatwy cel
źródło
3
Skąd miałbyś wiedzieć, że rekordy, które usunąłeś, nie zawierały dowodów na nielegalne działania? W każdym razie istnieje wiele przepisów w wielu branżach i rządzie, które określają, które rekordy mogą, a kiedy nie mogą zostać zniszczone. To dość skomplikowane.
Boden,
1
Oto zabawny scenariusz. Pracujesz dla wydawcy wiadomości, aw niedawnej sprawie informacje o trwającym dochodzeniu wyciekły z lokalnej policji. Informacje stawiają lokalne władze w złym świetle, a oni desperacko szukają źródła wycieku. Kierownictwo wyższego szczebla zakłada, że ​​będą w stanie znaleźć sędziego, który podpisze nakaz przeszukania. Ponieważ twoje systemy zawierają informacje, które mogą zidentyfikować dowolną liczbę źródeł, jesteś proszony o usunięcie danych i rozmagnesowanie wszystkich odpowiednich taśm. Federalnym się to nie spodoba, ale masz konstytucyjne prawo do ochrony swoich źródeł. Co zrobisz? :)
Roy,
2
Roy: Zadzwoń do prawnika, kiedy jest to tak skomplikowane :-)
Kyle Brandt
2
O ile nie mają powodu, by sądzić, że stało się coś nielegalnego, nie mogą po prostu uzyskać nakazu uzyskania źródeł. Oto strona internetowa poświęcona tego rodzaju zagadnieniom skierowanym do dziennikarzy. rcfp.org/handbook/c04p08.html
Shial,
To bardzo prawda i +1 za odniesienie. Jednak ujawnianie informacji o trwającym dochodzeniu jest przestępstwem w większości miejsc, więc nie ma wątpliwości, że wydarzyło się coś nielegalnego. Większość stanów i krajów ma ograniczenia dotyczące przeszukiwania newsroomów, ale wyszukiwania wciąż się odbywają. Silne szyfrowanie jest powszechnym sposobem ochrony źródeł i informatorów przed takimi scenariuszami, ale istnieje powód, dla którego niektóre organizacje informacyjne trzymają przy sobie drogi sprzęt do rozmagnesowywania.
Roy,
2

To interesujące pytanie. Co robimy, gdy prosi się pracodawcę o zrobienie czegoś wyraźnie niemoralnego i być może nielegalnego.

Może to być uzyskiwanie dostępu do osobistych plików lub danych, publikowanie materiałów w embargu, usuwanie danych, które powinny być przechowywane, lub zatrzymywanie danych, które należy usunąć.

Myślę, że odpowiedź na to pytanie musi być raczej subiektywna. Pracownicy mają różną ochronę i obowiązki w różnych systemach prawnych. Twoja pozycja i status w firmie mogą dyktować dostępne opcje. Następnie jest czynnik osobisty. Jak daleko chcesz posunąć się, aby utrzymać pracę?

Osobiście odmówiłem pomocy w dystrybucji niechcianej poczty i aktywnie zapobiegałem nielegalnemu publikowaniu wyników głosowania. Za każdym razem mogłem znaleźć wsparcie odpowiednio w dziale prawnym i kierownictwie wyższego szczebla, ale jest to dobra linia do przejścia - w obu przypadkach małe błędne osąd może kosztować mnie pracy nawet w świetle norweskich przepisów ochronnych.

Podsumowując, to od osoby zależy rozważenie sytuacji, zważenie odpowiedzialności i lojalności, ocena ryzyka, podjęcie decyzji - i wreszcie życie z konsekwencjami.

Roy
źródło
2

Etyka jest cudownie płynną koncepcją i różni się znacznie między kulturami i miejscami. - Powiedział o tym Nuf.

Najpierw musisz zrozumieć, w jaki sposób obowiązują lokalne przepisy w tej sytuacji, ponieważ czasami kończy się ona właśnie tam. Nie sądzę, aby ktokolwiek z nas postępował zgodnie z instrukcjami, które znamy, aby naruszać prawo, chyba że jesteśmy gotowi zaakceptować wszelkie wynikające z tego konsekwencje. Następnym krokiem jest zastosowanie osobistych przekonań (etyka, moralność, religijność, cokolwiek). Czasami dojdzie do konfliktu i sam musisz podjąć tę decyzję.

Osobiście wielokrotnie odmawiałem robienia rzeczy, ponieważ nie wierzyłem, że to, o co mnie proszono, było „słuszne”, zarówno pod względem prawnym, jak i moralnym. Czasami wygrywałem spór, a innym razem ktoś postępował zgodnie z tymi samymi instrukcjami, ponieważ mniej go odczuwał (lub bał się utraty pracy). Chociaż nigdy osobiście nie zostałem zwolniony w takiej sytuacji, znam innych, którzy byli. Jeśli czuję się wystarczająco mocno, za każdym razem podejmuję ryzyko.

John Gardeniers
źródło
Hmmm ... zgadzam się z tym. Nie martwiłbym się tak bardzo o utratę pracy, ale oczywiście nie mam dzieci ani kredytu hipotecznego :-) Ale tak naprawdę chciałbym, żeby lista rzeczy zawsze się zastanawiała. Rzeczy, o których należy pamiętać w przypadku niektórych branż, są również dobre, ale wydaje mi się, że branże te mają tendencję do tego rodzaju orientacji.
Kyle Brandt,
+1 za „Etykę [...] różni się znacznie między kulturami i miejscami”.
CesarGon,
2

Właściwie napisałem artykuł zatytułowany „Zarządzanie menedżerem” na ten temat około 6 lat temu. Ale wszystko sprowadza się do ** Cover Your A ****

Zasada, że wszyscy administratorzy powinni zawsze żyć według CYA . Nie ma znaczenia, kto jest odpowiedzialny, zawsze rób to „na wszelki wypadek”. Dlatego zawsze należy wdrożyć Politykę Komputerową , która pokrywa od odpowiedzialności, pod warunkiem, że ją podpisze lub przynajmniej wyda z takim zamiarem. To samo dotyczy monitu logowania do lokalnych zasad bezpieczeństwa, użyj go również z tego powodu. Jak tylko zalogują się na swoich komputerach, powiedz, że zgadzają się na warunki polisy.

Mam osobiste doświadczenia z tego rodzaju sytuacjami i zgaduję, co się ze mną stało, gdy FBI aresztowało naszego dyrektora finansowego za kilka zarzutów? Nic, a ponieważ I CYA i wszystkie dowody zostały zapisane na wypadek, gdyby stało się coś złego.

AdminAlive
źródło
1

Upewnij się, że masz zasady oparte na wymaganiach branżowych (w zależności od tego, co robi firma, te wymagania będą różne)

Jeśli kiedykolwiek poproszę o kontakt z e-mailem innego użytkownika lub dokonanie jakiegoś odkrycia, dostanę coś na piśmie od naszego działu HR z podpisem. Mówię wprost, że to dla mnie CYA. Ludzie są gotowi to zaakceptować, gdy powiesz im, że nie chcesz naruszać prywatności danych, a także pomaga zdobyć zaufanie, że jesteś tym zainteresowany.

Najlepszym ubezpieczeniem są jednak pełne kopie zapasowe w miejscu przechowywania poza siedzibą. Zwłaszcza jeśli masz bieżącą politykę zabezpieczania kilku lat w bezpiecznym miejscu (na mojej orgie mamy sejf w studni fargo, taśmy co miesiąc tam trafiają i pozostają tam na czas nieokreślony) Jeśli usuniesz coś, co okaże się nielegalne możesz wskazać śledczym na kopie zapasowe. Jeśli ktoś chce usunąć kopie zapasowe, na pewno dzieje się coś nielegalnego.

Shial
źródło
1
Mogą istnieć całkiem dobre powody, aby usunąć kopie zapasowe, zgodnie z obowiązującym prawem. Niektóre kraje wymagają usunięcia danych wrażliwych lub osobowych na żądanie klienta lub osoby fizycznej. Innym jest to, że dzienniki komunikacji często podlegają pewnym ograniczeniom. Maksymalny czas przechowywania w UE wynosi 12 miesięcy, w którym dzienniki muszą zostać usunięte, w tym wszelkie kopie zapasowe.
Roy,
niekoniecznie w wielu przypadkach po prostu pozbycie się kopii zapasowych jest oznaką nielegalnej działalności (szczególnie firm finansowych). Istnieją prawne zobowiązania, aby nie przechowywać kopii zapasowych przez dłuższy czas dla takich danych, jak poczta elektroniczna i dokumentacja finansowa
Jim B
1
Racja, myślę, że ma politykę opartą na wymaganiach branżowych.
Shial,
1

Najpierw IANAL, ale byłem zaangażowany w kwestie prawne dotyczące IT. Rozumiem, że działania IT sprowadzają się do tego, czego można zasadnie oczekiwać od informatyka. EG szef mówi ci, aby usunąć pliki rachunków. WIESZ, że są badani. Robisz to i prawdopodobnie zostaniesz oskarżony o przeszkodę. Z drugiej strony ta sama sytuacja i nie miałeś pojęcia, że ​​było jakieś dochodzenie (i rząd musi to ustalić), i rozsądne jest, że zostałbyś poproszony o usunięcie tych plików, byłbyś w porządku.

jak wskazano wcześniej, mogą obowiązywać inne przepisy. W biotechnologii 21 cfr część 11 miałyby zastosowanie przepisy

Jako pracownik działu IT masz poczucie, że rozumiesz, co jest rozsądne i zwyczajowe (uważam, że to legalne). Nie jest jednak nielegalne, że zwalniają cię z powodu nie wykonywania wymaganych czynności, miałyby zastosowanie federalne przepisy dotyczące informatorów o nieprawidłowościach. Mały komfort, ponieważ prawdopodobnie będziesz znaczącym mężczyzną w wielu mniejszych stanach.

Jim B.
źródło
1

Świetne pytanie. Nie mogę tak naprawdę odwoływać się do Stanów Zjednoczonych, ponieważ tam nie pracuję, ale etyka / legalność to jedna z tych rzeczy, które często pojawiają się w pracy każdego z podniesionymi uprawnieniami systemowymi, ale wydaje się, że nie być w pobliżu wystarczająco sformalizowanych wskazówek. Osobiście każę sobie życzyć istnienia silnego organu branżowego, który reprezentowałby nas w taki sam sposób, jak robią to lekarze i prawnicy. Wiem, że Brytyjskie Towarzystwo Komputerowe (specyficzne dla Wielkiej Brytanii) opublikowało kodeks postępowania dla członków, który sprawił, że przyłączyłem się do niego, uważając, że złamanie tego kodeksu byłoby uzasadnioną obroną dla odrzucenia nieetycznej prośby. Zgaduję, że może ACM podobny z amerykańskiego punktu widzenia?

Osobiście mam tendencję do pracy na tych samych zasadach, o których wspominali inni. CYA. Dokumentuj, kontroluj i rejestruj wszystko tak dalece, jak to możliwe, a jeśli sprawi to, że poczujesz się nieswojo przy wypełnianiu prośby, ufam mojemu moralnemu kompasowi i staram się upewnić, że jest on udokumentowany tak wysoko, jak to tylko możliwe.

Mike1980
źródło
0

Jak wspomniano wcześniej, w wielu sytuacjach, w których występują dylematy etyczne, jest oczywiście cienka linia. Większość z nas czuje się zobowiązana przez osobiste i zawodowe standardy do postępowania w sposób etyczny. Pracownicy rządowi podlegają w wielu przypadkach sankcjom karnym za praktyki uważane za normalne w sektorze prywatnym. (Prezenty od sprzedawców itp.)

Najlepszym sposobem radzenia sobie z tego rodzaju sytuacjami jest zapobieganie im.

W przypadku problemów technicznych: ogranicz uprawnienia, procedury konfiguracji, kontrole wewnętrzne i ścieżki audytu, aby utrudnić ludziom ukrycie zachowania. Jeśli wszyscy wiedzą, że istnieje ścieżka audytu, posłuży ona jako środek odstraszający. Wciśnij, aby uzyskać zasady dotyczące cyklu życia danych ... (tj. Okresowe korzystanie) W większych środowiskach korzystasz z działu obsługi / pomocy technicznej, aby umieścić zaporę ogniową między użytkownikami i IT lub użytkownikami i księgowością.

W przypadku problemów ludzkich: musisz być świadomy obowiązujących przepisów / regulacji. Następnie musisz mieć kręgosłup. Powiedz nie". Może to oznaczać, że spotkasz się z represjami ze strony kierownictwa.

duffbeer703
źródło