Etica aziendale / legalità per gli amministratori IT

Come amministratore di sistema, ci sono cose che potrebbero non essere ovvie che non dovrebbero essere fatte eticamente o legalmente anche quando gli viene richiesto di farlo? Sono più interessato legalmente a che tipo di azioni potrebbe danneggiare seriamente il tuo futuro vettore o metterti nei guai con la legge .

Ad esempio, non va mai bene cancellare determinati tipi di file anche quando il Boss lo richiede?

In particolare, mi chiedo gli Stati Uniti. Inoltre, al momento non mi trovo in una situazione come questa, un'altra domanda mi ha fatto pensare che si tratta di informazioni che dovrei sapere.

Davvero, non sto cercando di innescare una discussione sull'etica, o scenari complicati in cui sarebbe meglio chiamare un avvocato. Ma una lista di controllo, o della letteratura o alcune leggi che ogni persona IT dovrebbe conoscere.

Dal punto di vista etico, potresti fare molto peggio che seguire http://lopsa.org/CodeOfEthics

Penso che se conservi una traccia cartacea / elettronica di ciò che ti viene chiesto dai tuoi superiori, dovrebbe tenerti al sicuro da qualsiasi problema legale

vale a dire non eliminare solo alcuni record perché il tuo capo ti ha detto di chattare allo scambiatore di calore perché potrebbe finire per trascinarti in cose che non conosci e che il tuo capo può negare di averti mai detto di fare una cosa. Se il tuo capo ti dice qualcosa verbalmente, torna nel tuo ufficio e inviagli una e-mail "a conferma" della loro richiesta.

L'etica è una cosa davvero complicata per un amministratore di sistema dal momento che tocchiamo molti aspetti del business, ma se qualcosa ha un odore di pesce per te, allora fallo per iscritto o stampalo prima di farlo.

Come americano, se sei responsabile dei sistemi CMS che conservano dati finanziari, dovresti familiarizzare con il Sarbanes-Oxley Act , che impone alle aziende l'obbligo di conservare determinati tipi di registri finanziari per un determinato periodo di tempo.

(Obbligatorio: IANAL)

Non sono un avvocato, quindi per favore prendi quanto segue con un granello di sale.

Per quanto ne so, l'unico problema con la legalità è se si stanno eliminando prove di attività illegali. Questo potrebbe sicuramente metterti nei guai.

D'altra parte, se hai cancellato record che non contengono prove di nulla di illegale ma che comunque sono stati citati in giudizio dopo il fatto, è improbabile che tu possa metterti nei guai.

Questa è una domanda interessante Cosa facciamo quando ci viene chiesto da un datore di lavoro di fare qualcosa di chiaramente immorale e possibilmente illegale.

Potrebbe essere l'accesso a file o dati personali, la pubblicazione di materiale in embargo, l'eliminazione di dati da conservare o la conservazione di dati da eliminare.

Penso che la risposta a questa domanda debba essere piuttosto soggettiva. I dipendenti hanno protezioni e responsabilità variabili in base a diversi sistemi giuridici. La posizione e lo stato all'interno dell'azienda possono dettare le opzioni disponibili. Quindi, c'è un fattore personale. Fino a che punto sei disposto ad andare per mantenere il tuo lavoro?

Personalmente, mi sono rifiutato di aiutare a distribuire la posta indesiderata e ho impedito attivamente la pubblicazione illegale dei risultati delle votazioni. Entrambe le volte sono stato in grado di trovare supporto rispettivamente nell'ufficio legale e nel senior management, ma è una buona linea da percorrere - In entrambi i casi, un piccolo giudizio errato avrebbe potuto costarmi il mio lavoro anche in base alle leggi protettive della Norvegia.

La linea di fondo è che spetta all'individuo considerare la situazione, soppesare responsabilità e lealtà, valutare il rischio, prendere una decisione e infine vivere con le conseguenze.

L'etica è un concetto meravigliosamente fluido e varia notevolmente tra culture e luoghi. 'Nuf ha detto su questo.

Devi prima capire come le leggi locali si applicano alla situazione, perché a volte si ferma proprio lì. Non credo che nessuno di noi dovrebbe seguire le istruzioni che sappiamo violare la legge, a meno che non siamo anche disposti ad accettare qualsiasi conseguenza derivante dal farlo. Il prossimo passo è applicare le tue convinzioni personali (etica, morale, religione, qualunque cosa). A volte ci sarà un conflitto e devi prendere tu stesso quella decisione.

Ho rifiutato personalmente di fare le cose in diverse occasioni perché non credevo che ciò che mi era stato chiesto fosse "giusto", sia legalmente che moralmente. A volte ho vinto l'argomento e altre volte qualcun altro ha seguito le stesse istruzioni perché si sentivano meno fortemente al riguardo (o temevano di perdere il lavoro). Anche se non sono mai stato personalmente licenziato in una situazione del genere, conosco altri che lo sono stati. Se mi sento abbastanza forte correrò quel rischio ogni volta.

In realtà avevo scritto un articolo chiamato "Gestione del manager" che trattava questo argomento, circa 6 anni fa. Ma tutto ciò che si riduce è ** Cover Your A ****

Il principio che tutti gli amministratori dovrebbero rispettare sempre dal CYA . Non importa chi è il responsabile, fallo sempre per quello "per ogni evenienza". Questo è il motivo per cui una politica informatica dovrebbe sempre essere implementata, ti copre dalla responsabilità a condizione che lo firmi o almeno lo distribuisca con tale intenzione. Lo stesso vale per il prompt di accesso alla politica di sicurezza locale, utilizzalo anche per questo motivo. Non appena accedono ai propri computer, dichiarare di accettare i termini della politica.

Ho un'esperienza personale con questo tipo di situazioni e indovina cosa mi è successo quando l'FBI ha arrestato il nostro CFO per diverse accuse? Nulla, e perché il CYA e tutte le prove sono state salvate in caso accadesse qualcosa di brutto.

Assicurati di disporre di una politica in base ai requisiti del settore (a seconda di ciò che l'azienda fa, queste richieste saranno diverse)

Se mi viene mai chiesto di toccare l'e-mail di un altro utente o fare qualche scoperta, ricevo qualcosa per iscritto dal nostro dipartimento Risorse umane con la sua firma. Dico loro che è un CYA per me. Le persone sono disposte ad accettarlo quando dici loro che non vuoi violare la privacy delle informazioni e aiuta anche a raccogliere la fiducia che sei così preoccupato.

La migliore assicurazione è tuttavia il backup completo in una posizione di archiviazione fuori sede. Soprattutto se hai una politica in corso di mantenere diversi anni al sicuro in qualche posto (Nella mia organizzazione abbiamo una cassetta di sicurezza a Wells Fargo, i nastri ogni mese vanno lì e rimangono lì a tempo indeterminato) Se elimini qualcosa che risulta essere illegale puoi indirizzare gli investigatori ai backup. Se qualcuno vuole mai cancellare i backup, allora c'è sicuramente qualcosa di illegale in corso.

Innanzitutto IANAL, ma sono stato coinvolto in questioni relative alla legalità IT. La mia comprensione è che le azioni dell'IT si riducono a ciò che ci si può ragionevolmente aspettare che la persona IT sappia. Ad esempio il capo ti dice di eliminare i file di conteggio. Sai che sono sotto inchiesta. Lo fai e probabilmente verrai accusato di ostruzione. D'altra parte la stessa situazione e non avevi idea che ci fosse alcuna indagine (e il governo prende quella decisione), ed è ragionevole che ti sarebbe stato chiesto di eliminare quei file, staresti bene.

come precedentemente indicato ci sono altre normative che potrebbero essere applicate. In biotech 21 cfr si applicano le regole della parte 11

Come membro dello staff IT sei ritenuto di avere una certa comprensione di ciò che è ragionevole e consueto (credo che sia il legale). Non è tuttavia illegale per loro licenziarti per non aver svolto le attività richieste, si applicherebbero gli statuti federali degli informatori. Piccolo conforto in quanto è probabile che tu sia un uomo segnato in molti degli stati più piccoli.

Ottima domanda Non posso davvero riferire nulla agli Stati Uniti perché non lavoro lì, ma etica / legalità è stata una di quelle cose che spesso insorge nel lavoro di chiunque abbia privilegi di sistema elevati, ma sembra che non ci riesca essere ovunque abbastanza vicino a una guida formalizzata su. Personalmente, mi fa desiderare che esistesse un forte ente industriale che ci rappresentasse come fanno i dottori e gli avvocati. Conosco la British Computer Society (specifica per il Regno Unito) che ha pubblicato un codice di condotta per i membri, il che mi ha fatto unire per ritenere che il codice sarebbe una difesa ragionevole ragionevole per rifiutare una richiesta non etica. Suppongo che forse l'ACM potrebbe essere simile dal punto di vista americano?

Personalmente, tendo a lavorare secondo le stesse regole menzionate da altri. CYA. Documenta, controlla e registra tutto il più possibile, e se ti fa sentire a disagio nell'esecuzione della richiesta, mi fido della mia bussola morale e cerco di assicurarmi che sia documentato quanto più autorizzato possibile.

Consulta il Codice etico degli amministratori di sistema di SAGE .

Come accennato in precedenza, c'è ovviamente una linea sottile da percorrere in molte situazioni che presentano dilemmi etici. Molti di noi si sentono obbligati da standard personali e professionali a comportarsi in modo etico. I dipendenti pubblici sono soggetti a sanzioni penali in molti casi per pratiche considerate normali nel settore privato. (Regali dei venditori, ecc.)

Il modo migliore per affrontare questo tipo di situazioni è impedire che si verifichino.

Per problemi tecnici: limitare i privilegi, le procedure di installazione, i controlli interni e le piste di controllo per rendere difficile per le persone nascondere il comportamento. Se tutti sanno che esiste una pista di controllo, ciò fungerà da deterrente. Fare pressione per le politiche del ciclo di vita dei dati ... (ad es. Eluizione periodica) In ambienti più grandi, si utilizza il service desk / help desk per mettere un firewall tra utenti e IT o utenti e contabilità.

Per problemi umani: è necessario essere consapevoli della legge / dei regolamenti ai quali si è soggetti. Quindi devi avere una spina dorsale. Dì "no". Ciò potrebbe significare che dovrai affrontare rappresaglie dalla tua direzione.