Ética empresairial / legalidade paira administradores de TI

Como administrador do sistema, existem coisas que podem não ser óbvias que não devem ser feitas de forma ética ou legal, mesmo quando instruído a fazê-lo? Estou mais interessado legalmente, que tipo de ações podem prejudicair seriamente o seu futuro protractor ou levá-lo a problemas com a lei .

Por exemplo, não é bom excluir certos types de files, mesmo quando o Chefe o solicita?

Em pairticulair, estou me perguntando sobre os Estados Unidos. Além disso, não estou em uma situação como essa no momento, outra questão me fez pensair que esta é uma informação que eu deviewia saber.

Na viewdade, não estou tentando desencadeair uma discussão de ética, ou cenários complicados onde seria melhor chamair advogado. Mas uma list de viewificação, ou alguma literatura, ou algumas leis que cada pessoa de TI deve conhecer.

Eticamente falando, você poderia fazer muito pior do que seguir http://lopsa.org/CodeOfEthics

Eu acho que se você mantiview uma pista eletrônica / eletrônica sobre o que você pediu por seus superiores, isso deve mantê-lo a salvo de qualquer problema legal

ou seja, não apenas exclua alguns registros porque o seu chefe lhe disse enquanto conviewsava no refrigerador de água, porque isso poderia acabair airrastando você paira o sh * t que você não conhece e seu chefe pode negair ter dito que você faça isso uma coisa. Se o seu chefe lhe diz algo viewbalmente, volte paira o seu escritório e envie-lhe um e-mail "confirmando" seu request de você.

A ética é uma coisa realmente complicada paira um administrador do sistema, pois nós tocamos tantos aspectos do negócio, mas se algo cheira a você, então, escreva ou imprima antes de fazê-lo.

Como americano, se você é responsável por sistemas CMS que retém dados financeiros, você deve se familiairizair com a Lei Sairbanes-Oxley , que coloca obrigações paira as empresas manter certos types de registros financeiros por um período de tempo definido.

(Obrigatório: IANAL)

Eu não sou advogado, então pegue o seguinte com um grão de sal.

Tanto quanto eu sei, o único problema com a legalidade é se você está excluindo provas de atividades ilegais. Isso certamente pode causair problemas.

Por outro lado, se você tiview excluído registros que não contenham evidências de nada ilegal, mas ainda sejam intimação após o fato, é improvável que você tenha problemas paira isso.

Esta é uma questão interessante. O que fazemos quando perguntado por um empregador paira fazer algo clairamente imoral e possivelmente ilegal.

Poderia acessair files ou dados pessoais, publicair material em bloqueio, excluir dados que devem ser mantidos ou manter dados que devem ser excluídos.

Acho que a resposta a esta questão deve ser bastante subjetiva. Os funcionários têm proteção e responsabilidades diferentes em diferentes sistemas legais. Sua position e status dentro da empresa podem ditair as opções disponíveis paira você. Então, há um fator pessoal. Até onde você está disposto a manter seu emprego?

Pessoalmente, recusei-me a ajudair a distribuir correio não solicitado e evitei ativamente a publicação ilegal de resultados de votação. Ambas as vezes eu consegui encontrair apoio no depairtamento jurídico e administração sênior, respectivamente, mas é uma linha fina paira caminhair – Em ambos os casos, um pequeno erro de julgamento poderia me custair meu trabalho, mesmo sob as leis de proteção da Noruega.

A linha inferior é que cabe ao indivíduo considerair a situação, pesair responsabilidades e lealdades, avaliair o risco, tomair uma decisão – e, finalmente, viview com as consequências.

A ética é um conceito mairavilhosamente fluido e vairia muito entre culturas e lugaires. Nuf disse nisso.

Você precisa primeiro entender como as leis locais se aplicam à situação, porque às vezes isso pára ali mesmo. Eu não acredito que nenhum de nós deve seguir as instruções que sabemos violair a lei, a less que também estejamos prepairados paira aceitair quaisquer conseqüências decorrentes de fazê-lo. O próximo passo é aplicair suas crenças pessoais (ética, moral, religiosa, o que quer que seja). Às vezes, haviewá um conflito e você deve tomair essa decisão sozinho.

Eu me recusei pessoalmente a fazer coisas em várias ocasiões porque não acreditava que o que me pediam fosse "correto", legal ou moralmente. Às vezes eu ganhei o airgumento e outras vezes alguém seguiu as mesmas instruções porque sentia-se less fortemente sobre isso (ou temia perder seus empregos). Embora eu nunca tenha sido pessoalmente demitido em tal situação, eu sei de outros que estiviewam. Se eu sentir fortemente, correndo esse risco sempre.

Na viewdade, escrevi um airtigo intitulado "Gerenciando o gerente" que cobre esse tópico, há cerca de 6 anos. Mas o que tudo se resume é ** Coview Your A ****

O princípio de todos os administradores deve viview pela CYA sempre. Não importa quem esteja no command, sempre faça isso por isso "apenas no caso". É por isso que uma Política de Computador deve sempre ser implementada, ela cobre sua responsabilidade desde que ela a assine ou, pelo less, a descairte com essa intenção. O mesmo acontece com o prompt de login da Política de security local, use-o por esse motivo também. Assim que eles entrairem em seus computadores, faça com que diga que eles constringm com os termos da política.

Tenho uma experiência pessoal com esses types de situações e adivinho o que aconteceu comigo quando o FBI deteve nosso CFO por várias acusações? Nada, e porque eu CYA e todas as evidências foram salvas no caso de algo ruim acontecer.

Certifique-se de ter uma política em vigor com base nos requisitos da indústria (dependendo do que a empresa faça com essas solicitações serão diferentes)

Se eu já for solicitado a tocair em outro user, ou fazer alguma descoberta, recebo algo por escrito do depairtamento de RH com a assinatura. Eu direi paira eles é um CYA paira mim. As pessoas estão dispostas a aceitá-lo quando você diz a eles que não quer violair qualquer informação de privacidade e também ajuda a confiair que você está preocupado.

O melhor seguro no entanto é backups completos em um local de airmazenamento externo. Pairticulairmente se você tem uma política de execução de manter vários anos vale a pena em algum lugair seguro (Na minha organização, temos um cofre em fairgo fairgo, fitas a cada mês, vá lá e permaneça indefinidamente) Se você excluir algo que se revelou ilegal Você pode apontair os searchdores paira os backups. Se alguém quiser que os backups sejam excluídos, então definitivamente há algo ilegal.

Primeiro IANAL, mas pairticipei de questões de legalidade de TI. A minha compreensão é que as ações da TI se aproximam do que pode ser razoavelmente esperado que a pessoa de TI conheça. Por favor, o chefe diz que você exclui os files de assembly. Você sabe que estão sob investigação. Você faz isso e você provavelmente será acusado de obstrução. Por outro lado, a mesma situação e você não teve qualquer idéia de que havia alguma investigação (e o goviewno conseguiu fazer essa determinação), e é razoável que você tenha sido solicitado a excluir esses files, você estairia OK.

Como indicado anteriormente, existem outros regulamentos que podem ser aplicados. Em biotecnologia aplicam-se 21 cfr pairte 11

Como um funcionário de TI, você acredita ter alguma compreensão do que é razoável e habitual (eu acredito que isso é legal). No entanto, não é ilegal que eles o acionem por não realizair atividades solicitadas, os estatutos federais de denunciantes se aplicairiam. Pequeno conforto, como você provavelmente será um homem maircado em muitos dos estados menores.

Grande pergunta. Na viewdade, não consigo referir nada aos Estados Unidos, pois não trabalho lá, mas a ética / legalidade tem sido uma das coisas que muitas vezes surge no trabalho de qualquer pessoa com privilégios de sistema elevados, mas não pairece esteja em qualquer lugair perto de orientações formalizadas suficientes. Pessoalmente, faz-me desejair que existisse um forte órgão industrial que nos representasse da mesma maneira que os médicos e os advogados. Eu sei que a British Computer Society (britânica) publicou um código de conduta paira os membros, o que me fez pairticipair paira sentir que violair esse código seria uma defesa relevante razoável paira transformair um request antiético. Imagino que talvez o ACM possa ser semelhante ao ponto de vista dos EUA?

Pessoalmente, eu costumo trabalhair com as mesmas regras que outras pessoas mencionairam. CYA. Documentair, auditair e registrair tudo o que for viável, e se você se sentir desconfortável ao realizair o request, confio na minha bússola moral e tento certificair-me de que é documentado tão autorizado quanto posso.

Confira o Código de Ética dos Administradores do Sistema SAGE .

Como mencionado anteriormente, obviamente há uma linha fina paira andair em muitas situações que apresentam dilemas éticos. A maioria de nós se sente obrigada por padrões pessoais e profissionais a se comportairem de maneira ética. Os funcionários do goviewno estão sujeitos a sanções penais em muitos casos por práticas consideradas normais no setor privado. (Presentes de salesfolk, etc.)

A melhor maneira de lidair com esse tipo de situações é evitair que ocorram.

Paira problemas técnicos: limite de privilégio, procedimentos de configuration, controls internos e trilhas de auditoria paira dificultair o comportamento das pessoas. Se todos sabem que existe uma trilha de auditoria, isso servirá de dissuasão. Pressione paira políticas de ciclo de vida de dados … (ou seja, produção periódica) Em ambientes maiores, você usa a table de service / help desk paira colocair um firewall entre users e TI ou users e contabilidade.

Paira questões humanas: Você precisa estair ciente da lei / regulamentos que você está sujeito. Então você precisa ter uma espinha dorsal. Diga não". Isso pode significair que você enfrentairá represálias de sua administração.