Деловая этика / законность для ИТ-администраторов

Как системный администратор, есть ли вещи, которые могут быть неочевидными, которые не следует делать этически или юридически, даже если им поручено это делать? Меня больше интересует юридически, какие действия могут серьезно повредить вашему будущему перевозчику или вызвать у вас проблемы с законом .

Например, не удастся ли удалить определенные типы файлов, даже если Босс запросит это?

В частности, меня интересуют США. Кроме того, я не нахожусь в такой ситуации в данный момент, другой вопрос только что заставил меня подумать, что это информация, которую я должен знать.

На самом деле, я не пытаюсь инициировать обсуждение этики или сложных сценариев, когда было бы лучше вызвать адвоката. Но контрольный список, или некоторая литература, или некоторые законы, о которых должен знать каждый айтишник.

С этической точки зрения, вы могли бы сделать намного хуже, чем следовать http://lopsa.org/CodeOfEthics

Я думаю, что если вы сохраните бумажный / электронный след того, о чем вас спрашивают ваши начальство, это должно уберечь вас от любых юридических проблем

т.е. не просто удаляйте некоторые записи, потому что ваш босс сказал вам об этом во время чата в кулере с водой, потому что это может в конечном итоге затянуть вас в дерьмо, о котором вы не знаете, и ваш босс может отрицать, что когда-либо говорил вам делать это вещь. Если ваш начальник говорит вам что-то устно, вернитесь в свой офис и отправьте ему / ей электронное письмо, «подтверждающее» их просьбу о вас.

Этика действительно сложная вещь для администратора системы, так как мы затрагиваем очень много аспектов бизнеса, но если что-то пахнет для вас подозрительно, то перед тем, как сделать это, получите письменное или печатное письмо.

Как американец, если вы несете ответственность за системы CMS, в которых хранятся финансовые данные, вам следует ознакомиться с Законом Сарбейнса-Оксли , который обязывает предприятия хранить определенные типы финансовых отчетов в течение определенного периода времени.

(Обязательно: IANAL)

Я не юрист, поэтому, пожалуйста, возьмите с солью.

Насколько я знаю, единственная проблема с законностью заключается в том, что вы удаляете доказательства незаконной деятельности. Это, безусловно, может доставить вам неприятности.

С другой стороны, если вы удалили записи, которые не содержат доказательств чего-либо незаконного, но по-прежнему вызваны в суд после факта, маловероятно, что у вас возникнут проблемы.

Это интересный вопрос. Что мы делаем, когда работодатель просит сделать что-то явно аморальное и, возможно, незаконное.

Это может быть доступ к личным файлам или данным, публикация материалов, находящихся под эмбарго, удаление данных, которые должны быть сохранены, или хранение данных, которые должны быть удалены.

Я думаю, что ответ на этот вопрос должен быть довольно субъективным. Сотрудники имеют различную защиту и ответственность в соответствии с различными правовыми системами. Ваше положение и статус в компании могут определять доступные вам варианты. Тогда есть личный фактор. Как далеко вы готовы пойти, чтобы сохранить свою работу?

Лично я отказался помочь распространять нежелательную почту и активно препятствовал незаконной публикации результатов голосования. Оба раза мне удавалось найти поддержку в юридическом отделе и высшем руководстве, соответственно, но это тонкая грань, по которой нужно идти - в обоих случаях небольшое неправильное суждение могло стоить мне работы даже в соответствии с норвежскими законами о защите.

Суть в том, что каждый человек должен рассмотреть ситуацию, взвесить ответственность и лояльность, оценить риск, принять решение - и, наконец, справиться с последствиями.

Этика - это удивительно плавное понятие, которое сильно различается в зависимости от культуры и места. «Нуф сказал об этом.

Вы должны сначала понять, как местные законы применяются к ситуации, потому что иногда это останавливается прямо там. Я не верю, что кто-либо из нас должен следовать инструкциям, которые, как мы знаем, нарушают закон, если только мы не готовы принять любые последствия, вытекающие из этого. Следующим шагом является применение ваших личных убеждений (этика, мораль, религиозные, что угодно). Иногда будет конфликт, и вы должны принять это решение самостоятельно.

Я лично отказывался делать что-то несколько раз, потому что я не верил, что то, что меня просили сделать, было «правильным», юридически или морально. Иногда я выигрывал спор, а иногда - кто-то другой следовал тем же инструкциям, потому что они чувствовали себя менее сильно по этому поводу (или боялись потерять работу). Хотя я никогда не был уволен в такой ситуации, я знаю других, кто был уволен. Если я буду чувствовать себя достаточно сильно, я буду рисковать каждый раз.

Я действительно написал статью под названием «Управление менеджером», посвященную этой теме, около 6 лет назад. Но к чему все сводится, это ** Cover Your A ****

Принцип, по которому все администраторы должны жить согласно CYA всегда. Неважно, кто отвечает, всегда делайте это для этого «на всякий случай». Вот почему компьютерная политика должна всегда применяться, она покрывает вас от ответственности при условии, что они ее подписывают или, по крайней мере, раздают с таким намерением. То же самое относится и к приглашению для входа в Local Security Policy, используйте его также по этой причине. Как только они войдут в свои компьютеры, заставьте их сказать, что они согласны с условиями политики.

У меня есть личный опыт в подобных ситуациях, и угадайте, что случилось со мной, когда ФБР арестовало нашего финансового директора по нескольким обвинениям? Ничего, а потому что я ДИА и все доказательства были сохранены на случай, если что-то плохое случилось.

Убедитесь, что у вас есть политика, основанная на отраслевых требованиях (в зависимости от того, что делает компания, эти требования будут разными)

Если меня когда-либо попросят связаться с другими пользователями по электронной почте или сделать какое-нибудь открытие, я получу что-нибудь в письменной форме от нашего отдела кадров с их подписью. Я прямо говорю им, что это CYA для меня. Люди готовы принять это, когда вы скажете им, что не хотите нарушать конфиденциальность информации, и это также поможет вам завоевать доверие.

Однако лучшая страховка - это полные резервные копии в хранилище за пределами площадки. В частности, если у вас есть действующая политика сохранения нескольких лет в надежном месте (в моей организации есть сейф в Уэллс Фарго, ленты каждый месяц ходят туда и остаются там неопределенно долго). Если вы удалите что-то, что оказалось незаконным вы можете указать следователям на резервные копии. Если кто-то когда-нибудь захочет удалить резервные копии, тогда определенно будет что-то незаконное.

Сначала IANAL, но я занимался вопросами правового обеспечения в сфере ИТ. Насколько я понимаю, действия ИТ сводятся к тому, что можно ожидать от ИТ-специалистов. Например, босс говорит вам, чтобы удалить файлы подключения. Вы ЗНАЕТЕ, что они находятся под следствием. Вы делаете это, и вы, вероятно, будете обвинены в обструкции. С другой стороны, та же самая ситуация, и вы не представляли, что было какое-либо расследование (и правительство принимает такое решение), и вполне разумно, что вас попросили бы удалить эти файлы, с вами все будет в порядке.

как указывалось ранее, существуют другие правила, которые могут применяться. В биотехнологии 21 CFR часть 11 будут применяться правила

Как ИТ-сотрудник, вы понимаете, что разумно и привычно (я считаю, что это законно). Однако они не могут незаконно уволить вас за то, что вы не выполняете запрошенные действия, будут применяться федеральные законы о разоблачителях. Небольшое утешение, поскольку вы, вероятно, будете заметным человеком во многих небольших штатах.

Отличный вопрос Я не могу ничего отнести к Соединенным Штатам, поскольку я там не работаю, но этика / законность - это одна из тех вещей, которые часто возникают в работе любого человека с повышенными системными привилегиями, но, похоже, нет быть где-то рядом достаточно формализованного руководства. Лично мне хочется, чтобы был сильный отраслевой орган, который представлял нас так же, как врачи и юристы. Я знаю (специфическое для Великобритании) Британское компьютерное общество, опубликовавшее кодекс поведения для участников, который заставил меня присоединиться, чтобы почувствовать, что нарушение этого кода будет разумной уместной защитой для отклонения неэтичного запроса. Я предполагаю, что ACM может быть похожи с американской точки зрения?

Лично я склонен работать по тем же правилам, что и другие. КДМ. Документируйте, проверяйте и регистрируйте все, насколько это возможно, и если вам неудобно выполнять запрос, я доверяю своему моральному компасу и стараюсь сделать так, чтобы он был документирован настолько, насколько это возможно.

Ознакомьтесь с Кодексом этики системных администраторов SAGE .

Как упоминалось ранее, очевидно, что во многих ситуациях возникает этическая дилемма. Большинство из нас считают себя обязанными по личным и профессиональным стандартам вести себя этично. Государственные служащие подвергаются уголовным наказаниям во многих случаях за практику, которая считается нормальной в частном секторе. (Подарки от продавцов и т. Д.)

Лучший способ справиться с подобными ситуациями - это предотвратить их появление.

По техническим вопросам: ограничьте привилегии, процедуры настройки, внутренний контроль и контрольные журналы, чтобы людям было трудно скрывать поведение. Если все знают, что существует контрольный журнал, это послужит сдерживающим фактором. Стремитесь к политикам жизненного цикла данных ... (т. Е. К периодическим изменениям). В больших средах вы используете службу поддержки / службу поддержки, чтобы установить межсетевой экран между пользователями и ИТ-специалистами или пользователями и бухгалтерией.

По человеческим вопросам: Вам необходимо знать о законах / нормативных актах, которым вы подчиняетесь. Тогда вам нужно иметь позвоночник. Скажи "нет". Это может означать, что вы столкнетесь с репрессиями со стороны вашего руководства.