Etyka / legalność w biznesie dla administratorów IT

Czy jako administrator systemu istnieją rzeczy, które mogą nie być oczywiste, których nie należy robić w sposób etyczny lub prawny, nawet jeśli otrzyma takie polecenie? Interesuje mnie prawnie to , jakie działania mogą poważnie zaszkodzić twojemu przyszłemu przewoźnikowi lub wpaść w kłopoty z prawem .

Na przykład, czy usunięcie określonych typów plików jest kiedykolwiek w porządku, nawet jeśli szef tego zażąda?

W szczególności zastanawiam się nad Stanami Zjednoczonymi. Ponadto nie jestem w takiej sytuacji w tej chwili, kolejne pytanie sprawiło, że pomyślałem, że to informacja, którą powinienem znać.

Naprawdę, nie próbuję wywoływać dyskusji na temat etyki ani skomplikowanych scenariuszy, w których najlepiej byłoby zadzwonić do prawnika. Ale lista kontrolna, literatura lub przepisy, o których powinna wiedzieć każda osoba IT.

Z etycznego punktu widzenia możesz zrobić o wiele gorzej niż śledzić http://lopsa.org/CodeOfEthics

Myślę, że jeśli przechowujesz papierowy / elektroniczny ślad tego, o co proszą cię przełożeni, powinien on uchronić cię przed wszelkimi problemami prawnymi

tzn. nie usuwaj tylko niektórych rekordów, ponieważ twój szef kazał ci to robić podczas rozmowy przy chłodziarce wody, ponieważ może to doprowadzić do wciągnięcia cię w gówno, o którym nie wiesz, a twój szef może zaprzeczyć, że kazał ci to zrobić rzecz. Jeśli Twój szef powie ci coś ustnie, wróć do swojego biura i wyślij mu wiadomość e-mail „potwierdzającą” jego prośbę.

Etyka jest naprawdę trudną rzeczą dla administratora systemu, ponieważ dotykamy tak wielu aspektów działalności, ale jeśli coś pachnie podejrzanie, to zrób to na piśmie lub wydrukuj, zanim to zrobisz.

Jako Amerykanin, jeśli jesteś odpowiedzialny za systemy CMS, które przechowują dane finansowe, powinieneś zapoznać się z Ustawą Sarbanes-Oxley , która nakłada na firmy obowiązek przechowywania określonych rodzajów dokumentacji finansowej przez określony czas.

(Obowiązkowe: IANAL)

Nie jestem prawnikiem, więc proszę wziąć poniższe z odrobiną soli.

O ile mi wiadomo, jedynym problemem związanym z legalnością jest usunięcie dowodów nielegalnej działalności. To z pewnością może sprawić kłopoty.

Z drugiej strony, jeśli usunąłeś zapisy, które nie zawierają dowodów na to, że są nielegalne, ale nadal zostały wezwane do sądu po tym fakcie, jest mało prawdopodobne, abyś miał z tego powodu kłopoty.

To interesujące pytanie. Co robimy, gdy prosi się pracodawcę o zrobienie czegoś wyraźnie niemoralnego i być może nielegalnego.

Może to być uzyskiwanie dostępu do osobistych plików lub danych, publikowanie materiałów w embargu, usuwanie danych, które powinny być przechowywane, lub zatrzymywanie danych, które należy usunąć.

Myślę, że odpowiedź na to pytanie musi być raczej subiektywna. Pracownicy mają różną ochronę i obowiązki w różnych systemach prawnych. Twoja pozycja i status w firmie mogą dyktować dostępne opcje. Następnie jest czynnik osobisty. Jak daleko chcesz posunąć się, aby utrzymać pracę?

Osobiście odmówiłem pomocy w dystrybucji niechcianej poczty i aktywnie zapobiegałem nielegalnemu publikowaniu wyników głosowania. Za każdym razem mogłem znaleźć wsparcie odpowiednio w dziale prawnym i kierownictwie wyższego szczebla, ale jest to dobra linia do przejścia - w obu przypadkach małe błędne osąd może kosztować mnie pracy nawet w świetle norweskich przepisów ochronnych.

Podsumowując, to od osoby zależy rozważenie sytuacji, zważenie odpowiedzialności i lojalności, ocena ryzyka, podjęcie decyzji - i wreszcie życie z konsekwencjami.

Etyka jest cudownie płynną koncepcją i różni się znacznie między kulturami i miejscami. - Powiedział o tym Nuf.

Najpierw musisz zrozumieć, w jaki sposób obowiązują lokalne przepisy w tej sytuacji, ponieważ czasami kończy się ona właśnie tam. Nie sądzę, aby ktokolwiek z nas postępował zgodnie z instrukcjami, które znamy, aby naruszać prawo, chyba że jesteśmy gotowi zaakceptować wszelkie wynikające z tego konsekwencje. Następnym krokiem jest zastosowanie osobistych przekonań (etyka, moralność, religijność, cokolwiek). Czasami dojdzie do konfliktu i sam musisz podjąć tę decyzję.

Osobiście wielokrotnie odmawiałem robienia rzeczy, ponieważ nie wierzyłem, że to, o co mnie proszono, było „słuszne”, zarówno pod względem prawnym, jak i moralnym. Czasami wygrywałem spór, a innym razem ktoś postępował zgodnie z tymi samymi instrukcjami, ponieważ mniej go odczuwał (lub bał się utraty pracy). Chociaż nigdy osobiście nie zostałem zwolniony w takiej sytuacji, znam innych, którzy byli. Jeśli czuję się wystarczająco mocno, za każdym razem podejmuję ryzyko.

Właściwie napisałem artykuł zatytułowany „Zarządzanie menedżerem” na ten temat około 6 lat temu. Ale wszystko sprowadza się do ** Cover Your A ****

Zasada, że wszyscy administratorzy powinni zawsze żyć według CYA . Nie ma znaczenia, kto jest odpowiedzialny, zawsze rób to „na wszelki wypadek”. Dlatego zawsze należy wdrożyć Politykę Komputerową , która pokrywa od odpowiedzialności, pod warunkiem, że ją podpisze lub przynajmniej wyda z takim zamiarem. To samo dotyczy monitu logowania do lokalnych zasad bezpieczeństwa, użyj go również z tego powodu. Jak tylko zalogują się na swoich komputerach, powiedz, że zgadzają się na warunki polisy.

Mam osobiste doświadczenia z tego rodzaju sytuacjami i zgaduję, co się ze mną stało, gdy FBI aresztowało naszego dyrektora finansowego za kilka zarzutów? Nic, a ponieważ I CYA i wszystkie dowody zostały zapisane na wypadek, gdyby stało się coś złego.

Upewnij się, że masz zasady oparte na wymaganiach branżowych (w zależności od tego, co robi firma, te wymagania będą różne)

Jeśli kiedykolwiek poproszę o kontakt z e-mailem innego użytkownika lub dokonanie jakiegoś odkrycia, dostanę coś na piśmie od naszego działu HR z podpisem. Mówię wprost, że to dla mnie CYA. Ludzie są gotowi to zaakceptować, gdy powiesz im, że nie chcesz naruszać prywatności danych, a także pomaga zdobyć zaufanie, że jesteś tym zainteresowany.

Najlepszym ubezpieczeniem są jednak pełne kopie zapasowe w miejscu przechowywania poza siedzibą. Zwłaszcza jeśli masz bieżącą politykę zabezpieczania kilku lat w bezpiecznym miejscu (na mojej orgie mamy sejf w studni fargo, taśmy co miesiąc tam trafiają i pozostają tam na czas nieokreślony) Jeśli usuniesz coś, co okaże się nielegalne możesz wskazać śledczym na kopie zapasowe. Jeśli ktoś chce usunąć kopie zapasowe, na pewno dzieje się coś nielegalnego.

Najpierw IANAL, ale byłem zaangażowany w kwestie prawne dotyczące IT. Rozumiem, że działania IT sprowadzają się do tego, czego można zasadnie oczekiwać od informatyka. EG szef mówi ci, aby usunąć pliki rachunków. WIESZ, że są badani. Robisz to i prawdopodobnie zostaniesz oskarżony o przeszkodę. Z drugiej strony ta sama sytuacja i nie miałeś pojęcia, że ​​było jakieś dochodzenie (i rząd musi to ustalić), i rozsądne jest, że zostałbyś poproszony o usunięcie tych plików, byłbyś w porządku.

jak wskazano wcześniej, mogą obowiązywać inne przepisy. W biotechnologii 21 cfr część 11 miałyby zastosowanie przepisy

Jako pracownik działu IT masz poczucie, że rozumiesz, co jest rozsądne i zwyczajowe (uważam, że to legalne). Nie jest jednak nielegalne, że zwalniają cię z powodu nie wykonywania wymaganych czynności, miałyby zastosowanie federalne przepisy dotyczące informatorów o nieprawidłowościach. Mały komfort, ponieważ prawdopodobnie będziesz znaczącym mężczyzną w wielu mniejszych stanach.

Świetne pytanie. Nie mogę tak naprawdę odwoływać się do Stanów Zjednoczonych, ponieważ tam nie pracuję, ale etyka / legalność to jedna z tych rzeczy, które często pojawiają się w pracy każdego z podniesionymi uprawnieniami systemowymi, ale wydaje się, że nie być w pobliżu wystarczająco sformalizowanych wskazówek. Osobiście każę sobie życzyć istnienia silnego organu branżowego, który reprezentowałby nas w taki sam sposób, jak robią to lekarze i prawnicy. Wiem, że Brytyjskie Towarzystwo Komputerowe (specyficzne dla Wielkiej Brytanii) opublikowało kodeks postępowania dla członków, który sprawił, że przyłączyłem się do niego, uważając, że złamanie tego kodeksu byłoby uzasadnioną obroną dla odrzucenia nieetycznej prośby. Zgaduję, że może ACM podobny z amerykańskiego punktu widzenia?

Osobiście mam tendencję do pracy na tych samych zasadach, o których wspominali inni. CYA. Dokumentuj, kontroluj i rejestruj wszystko tak dalece, jak to możliwe, a jeśli sprawi to, że poczujesz się nieswojo przy wypełnianiu prośby, ufam mojemu moralnemu kompasowi i staram się upewnić, że jest on udokumentowany tak wysoko, jak to tylko możliwe.

Sprawdź Kodeks Etyki Administratorów Systemu SAGE .

Jak wspomniano wcześniej, w wielu sytuacjach, w których występują dylematy etyczne, jest oczywiście cienka linia. Większość z nas czuje się zobowiązana przez osobiste i zawodowe standardy do postępowania w sposób etyczny. Pracownicy rządowi podlegają w wielu przypadkach sankcjom karnym za praktyki uważane za normalne w sektorze prywatnym. (Prezenty od sprzedawców itp.)

Najlepszym sposobem radzenia sobie z tego rodzaju sytuacjami jest zapobieganie im.

W przypadku problemów technicznych: ogranicz uprawnienia, procedury konfiguracji, kontrole wewnętrzne i ścieżki audytu, aby utrudnić ludziom ukrycie zachowania. Jeśli wszyscy wiedzą, że istnieje ścieżka audytu, posłuży ona jako środek odstraszający. Wciśnij, aby uzyskać zasady dotyczące cyklu życia danych ... (tj. Okresowe korzystanie) W większych środowiskach korzystasz z działu obsługi / pomocy technicznej, aby umieścić zaporę ogniową między użytkownikami i IT lub użytkownikami i księgowością.

W przypadku problemów ludzkich: musisz być świadomy obowiązujących przepisów / regulacji. Następnie musisz mieć kręgosłup. Powiedz nie". Może to oznaczać, że spotkasz się z represjami ze strony kierownictwa.