Ética / legalidad empresarial para administradores de TI

Como administrador del sistema, ¿hay cosas que pueden no ser obvias que no deberían hacerse de manera ética o legal, incluso cuando se le indique que lo haga? Estoy más interesado legalmente en qué tipo de acciones podrían dañar seriamente a su futuro operador o meterlo en problemas con la ley .

Por ejemplo, ¿alguna vez no está bien eliminar ciertos tipos de archivos incluso cuando el Jefe lo solicita?

En particular, me pregunto acerca de los Estados Unidos. Además, no estoy en una situación como esta en este momento, otra pregunta me hizo pensar que esta es información que debería saber.

Realmente, no estoy tratando de provocar una discusión sobre ética o escenarios complicados donde sería mejor llamar a un abogado. Pero una lista de verificación, o alguna literatura, o algunas leyes que toda persona de TI debe conocer.

Hablando éticamente, podría hacer mucho peor que seguir http://lopsa.org/CodeOfEthics

Creo que si mantiene un rastro en papel / electrónico de lo que le piden sus superiores, debería mantenerlo a salvo de cualquier problema legal

es decir, no solo elimine algunos registros porque su jefe se lo dijo mientras conversaba en el enfriador de agua porque podría terminar arrastrándolo a una mierda que no conoce y su jefe puede negar que le haya dicho que lo haga una cosa. Si su jefe le dice algo verbalmente, regrese a su oficina y envíele un correo electrónico "confirmando" su solicitud.

La ética es algo realmente complicado para un administrador de sistemas, ya que tocamos muchos aspectos del negocio, pero si algo te huele mal, entonces escríbelo o imprímelo antes de hacerlo.

Como estadounidense, si usted es responsable de los sistemas CMS que retienen datos financieros, debe familiarizarse con la Ley Sarbanes-Oxley , que impone a las empresas la obligación de conservar ciertos tipos de registros financieros durante un período de tiempo determinado.

(Obligatorio: IANAL)

No soy abogado, así que tome lo siguiente con un grano de sal.

Hasta donde sé, el único problema con la legalidad es si está eliminando evidencia de actividades ilegales. Eso ciertamente podría meterte en problemas.

Por otro lado, si ha eliminado registros que no contienen evidencia de nada ilegal pero que aún son citados después del hecho, es poco probable que se meta en problemas por eso.

Esta es una pregunta interesante. ¿Qué hacemos cuando un empleador nos pide que hagamos algo claramente inmoral y posiblemente ilegal?

Podría ser acceder a archivos o datos personales, publicar material en embargo, eliminar datos que deben conservarse o conservar datos que deben eliminarse.

Creo que la respuesta a esta pregunta debe ser bastante subjetiva. Los empleados tienen diferentes protecciones y responsabilidades bajo diferentes sistemas legales. Su posición y estado dentro de la empresa pueden dictar las opciones disponibles para usted. Entonces, hay un factor personal. ¿Hasta dónde estás dispuesto a llegar para mantener tu trabajo?

Personalmente, me he negado a ayudar a distribuir correos no solicitados y evité activamente la publicación ilegal de los resultados de la votación. En ambas ocasiones pude encontrar apoyo en el departamento legal y en la alta gerencia respectivamente, pero es una línea muy fina para caminar: en ambos casos, un pequeño error podría haberme costado mi trabajo incluso bajo las leyes de protección de Noruega.

La conclusión es que depende del individuo considerar la situación, sopesar las responsabilidades y lealtades, evaluar el riesgo, tomar una decisión y finalmente vivir con las consecuencias.

La ética es un concepto maravillosamente fluido y varía mucho entre culturas y lugares. 'Nuf dijo sobre eso.

Primero debe comprender cómo se aplican las leyes locales a la situación, porque a veces se detiene allí. No creo que ninguno de nosotros deba seguir las instrucciones que sabemos que violan la ley, a menos que también estemos preparados para aceptar las consecuencias derivadas de hacerlo. El siguiente paso es aplicar sus creencias personales (ética, moral, religiosa, lo que sea). A veces habrá un conflicto y debe tomar esa decisión usted mismo.

Personalmente me he negado a hacer cosas en varias ocasiones porque no creía que lo que me pidieran que hiciera fuera "correcto", ya sea legal o moralmente. A veces he ganado el argumento y otras veces alguien más ha seguido las mismas instrucciones porque se sentían menos fuertes al respecto (o temían perder sus trabajos). Si bien nunca he sido despedido personalmente en una situación así, conozco a otros que lo han sido. Si me siento lo suficientemente fuerte, correré ese riesgo cada vez.

En realidad, había escrito un artículo llamado "Gestión del gerente" que cubre este tema, hace 6 años más o menos. Pero todo se reduce a ** Cubra su A ****

El principio que todos los administradores deben vivir siempre por CYA . No importa quién esté a cargo, siempre hágalo por eso "por si acaso". Es por eso que siempre se debe implementar una política informática , que lo cubra de responsabilidad siempre que lo firmen o al menos lo pasen con esa intención. Lo mismo ocurre con la solicitud de inicio de sesión de la Política de seguridad local, úsela también por ese motivo. Tan pronto como inicien sesión en sus computadoras, dígales que están de acuerdo con los términos de la política.

Tengo una experiencia personal con este tipo de situaciones, y ¿adivina qué me sucedió cuando el FBI arrestó a nuestro CFO por varios cargos? Nada, y porque CYA y toda la evidencia se guardó en caso de que algo malo sucediera.

Asegúrese de contar con una política basada en los requisitos de la industria (dependiendo de lo que haga la empresa, estas necesidades serán diferentes)

Si alguna vez me piden que toque el correo electrónico de otro usuario o descubra algo, recibo algo por escrito de nuestro departamento de recursos humanos con su firma. Les digo que es un CYA para mí. Las personas están dispuestas a aceptarlo cuando usted les dice que no quiere violar la privacidad de la información y también ayuda a confiar en que usted está tan preocupado.

Sin embargo, el mejor seguro son las copias de seguridad completas en un lugar de almacenamiento externo. Particularmente si tiene una política vigente de mantener varios años valiosos en algún lugar seguro (en mi organización tenemos una caja de seguridad en Wells Fargo, las cintas todos los meses van allí y permanecen allí indefinidamente) Si elimina algo que resulta ser ilegal puede señalar a los investigadores las copias de seguridad. Si alguien alguna vez quiere que se eliminen las copias de seguridad, definitivamente está sucediendo algo ilegal.

Primero IANAL, pero he estado involucrado en cuestiones de legalidad de TI. Tengo entendido que las acciones de TI se reducen a lo que se puede esperar razonablemente para que la persona de TI sepa. Por ejemplo, el jefe le dice que elimine los archivos contables. SABES que están bajo investigación. Haces eso y es probable que te acusen de obstrucción. Por otro lado, la misma situación y usted no tenía idea de que había ninguna investigación (y el gobierno toma esa determinación), y es razonable que le hayan pedido que elimine esos archivos, estaría bien.

como se indicó anteriormente, existen otras regulaciones que podrían aplicarse. En biotecnología 21 cfr, parte 11, se aplicarían regulaciones

Como miembro del personal de TI, se considera que tiene cierta comprensión de lo que es razonable y habitual (creo que esa es la jerga legal). Sin embargo, no es ilegal que lo despidan por no realizar las actividades solicitadas, se aplicarían los estatutos federales de denunciantes. Pequeño consuelo, ya que es probable que seas un hombre marcado en muchos de los estados más pequeños.

Gran pregunta Realmente no puedo referirme a Estados Unidos, ya que no trabajo allí, pero la ética / legalidad ha sido una de esas cosas que a menudo surge en el trabajo de cualquier persona con privilegios elevados del sistema, pero parece que no estar cerca de suficiente orientación formal sobre. Personalmente, me hace desear que hubiera un cuerpo fuerte de la industria que nos representara de la misma manera que lo hacen los médicos y abogados. Sé que la British Computer Society (específica del Reino Unido) ha publicado un código de conducta para los miembros, lo que me hizo unirme para sentir que violar ese código sería una defensa razonable y relevante para rechazar una solicitud poco ética. Supongo que tal vez el ACM pueda ser similar desde el punto de vista de los Estados Unidos?

Personalmente, tiendo a seguir las mismas reglas que otros han mencionado. CYA. Documente, audite y registre todo lo que sea posible, y si le hace sentir incómodo llevar a cabo la solicitud, confío en mi brújula moral y trato de asegurarme de que esté documentado lo más autorizado posible.

Consulte el Código de ética de los administradores del sistema SAGE .

Como se mencionó anteriormente, obviamente hay una línea muy fina para caminar en muchas situaciones que presentan dilemas éticos. La mayoría de nosotros nos sentimos obligados por estándares personales y profesionales a comportarnos de manera ética. Los empleados del gobierno están sujetos a sanciones penales en muchos casos por prácticas consideradas normales en el sector privado. (Regalos de vendedores, etc.)

La mejor manera de lidiar con este tipo de situaciones es evitar que sucedan.

Para problemas técnicos: privilegio de límite, procedimientos de configuración, controles internos y pistas de auditoría para dificultar a las personas ocultar el comportamiento. Si todos saben que existe una pista de auditoría, eso servirá como elemento disuasorio. Impulse las políticas del ciclo de vida de los datos ... (es decir, la opción periódica) En entornos más grandes, utiliza la mesa de servicio / mesa de ayuda para poner un cortafuegos entre usuarios y TI o usuarios y contabilidad.

Para asuntos humanos: debe conocer las leyes / regulaciones a las que está sujeto. Entonces necesitas tener una columna vertebral. Di no". Hacerlo puede significar que enfrentará represalias por parte de su gerencia.