Ділова етика / законність для ІТ-адміністраторів

Як системний адміністратор, чи є речі, які не можуть бути очевидними, що не слід робити етично чи юридично навіть тоді, коли йому доручено це робити? Мене більше юридично цікавить, які дії можуть серйозно завдати шкоди вашому майбутньому перевізнику або зашкодити закону .

Наприклад, чи ніколи не буває добре видаляти певні типи файлів, навіть коли Boss вимагає цього?

Зокрема, мені цікаво про США. Крім того, я зараз не в такій ситуації, інше питання просто змусило мене думати, що це інформація, яку я повинен знати.

Дійсно, я не намагаюся викликати дискусію щодо етики чи складних сценаріїв, де найкраще би викликати юриста. Але контрольний список, чи деяка література, чи деякі закони, про які повинен знати кожен ІТ-людина.

Етично кажучи, ви можете зробити набагато гірше, ніж слідувати http://lopsa.org/CodeOfEthics

Я думаю, якщо ви будете зберігати паперовий / електронний слід про те, що вимагають від вас начальство, це повинно захищати вас від будь-яких юридичних проблем

тобто не просто видаляйте деякі записи, тому що ваш начальник сказав вам під час спілкування в кулер для води, тому що це може перетягнути вас в sh * t, про який ви не знаєте, і ваш начальник може заперечувати, коли б вам сказали робити таке річ. Якщо ваш начальник щось вам говорить усно, поверніться до свого офісу та надішліть йому електронну пошту, що підтверджує їх прохання про вас.

Етика - справді складна справа для системного адміністратора, оскільки ми торкаємося так багато аспектів бізнесу, але якщо щось пахне тобою, то напишіть це в письмовій формі або друкуйте перед цим.

Як американець, якщо ви несете відповідальність за системи CMS, які зберігають фінансові дані, вам слід ознайомитись із Законом Сарбанаса-Окслі , який покладає на підприємства зобов'язання зберігати певні типи фінансових записів протягом певного періоду часу.

(Обов'язково: IANAL)

Я не юрист, тому, будь ласка, візьміть наступне із зерном солі.

Наскільки я знаю, єдине питання законності - це якщо ви видаляєте докази незаконної діяльності. Це, безумовно, може ввести вас у певну неприємність.

З іншого боку, якщо ви видалили записи, які не містять доказів нічого протизаконного, але все-таки отримали позовну заяву після факту, навряд чи ви зіткнулися б із цим.

Це цікаве питання. Що ми робимо, коли роботодавець попросить зробити щось явно аморальне та, можливо, протизаконне.

Це може бути доступ до особистих файлів або даних, публікація матеріалів в ембарго, видалення даних, які слід зберігати, або збереження даних, які слід видалити.

Я думаю, що відповідь на це питання має бути досить суб’єктивною. Працівники мають різний захист та обов'язки в різних правових системах. Ваша позиція та статус у компанії можуть диктувати наявні у вас варіанти. Тоді, є особистий фактор. Наскільки далеко ви готові піти, щоб зберегти свою роботу?

Особисто я відмовився допомагати поширювати небажану пошту і активно перешкоджав незаконному опублікуванню результатів голосування. Обидва рази мені вдалося знайти підтримку в юридичному департаменті та вищому керівництві відповідно, але це чітка лінія - в обох випадках невелике неправильне судження могло б коштувати мені моєї роботи навіть згідно норм законодавства про захист Норвегії.

Суть полягає в тому, що людина повинна розглянути ситуацію, зважити обов'язки та лояльності, оцінити ризик, прийняти рішення - і, нарешті, жити з наслідками.

Етика - надзвичайно текуча концепція і сильно різниться між культурами та місцями. - Нуф сказав на це.

Потрібно спершу зрозуміти, як місцеві закони поширюються на ситуацію, адже іноді вона зупиняється саме там. Я не вірю, що хтось із нас повинен слідувати інструкціям, які ми знаємо, що порушуємо закон, якщо ми також не готові прийняти будь-які наслідки, що виникають внаслідок цього. Наступним кроком є ​​застосування до вас особистих переконань (етики, моралі, релігійних і будь-яких інших). Часом буде конфлікт, і ви повинні прийняти це рішення самостійно.

Я особисто неодноразово відмовлявся робити речі, тому що не вірив, що те, про що мене просили, - «правильно», юридично чи морально. Іноді я перемагаю в аргументі, а інший раз хтось дотримувався тих же вказівок, тому що вони відчували себе менш сильно (або боялися втратити роботу). Хоча я ніколи особисто не був звільнений у такій ситуації, я знаю інших, хто був. Якщо я відчуваю себе досить сильно, я ризикую щоразу.

Я фактично написав статтю під назвою "Керування менеджером", що висвітлювала цю тему, 6 років тому. Але все, що зводиться до цього, - це ** Cover Your A ****

Принцип, що всі адміністратори повинні жити CYA завжди. Не важливо, хто відповідає, завжди робіть це для цього "про всяк випадок". Ось чому Комп'ютерна політика завжди повинна впроваджуватися, вона покриває вас від відповідальності за умови їх підписання або принаймні передачі з таким наміром. Те саме стосується і запиту на вхід у систему локальної політики безпеки, використовуйте його і з цієї причини. Як тільки вони увійдуть у свій комп’ютер, скажіть, що вони згодні з умовами політики.

У мене є особистий досвід подібних ситуацій, і здогадуєтесь, що сталося зі мною, коли ФБР заарештувало нашого фінансового директора за декілька звинувачень? Нічого, і тому, що я CYA і всі докази були збережені у випадку, якщо трапиться щось погане.

Переконайтеся, що у вас є політика, що базується на галузевих вимогах (залежно від того, чим займається компанія, ці вимоги будуть різними)

Якщо мене коли-небудь попросять надіслати електронною поштою іншим користувачам або зробити якесь відкриття, я щось пишу в нашому відділі кадрів з їх підписом. Я відверто кажу їм, що це CYA для мене. Люди готові прийняти це, коли ви скажете їм, що не хочете порушувати будь-яку конфіденційність інформації, і це також допомагає отримати впевненість у тому, що ви є тим, що вас цікавить.

Найкраща страховка, однак, - це повна резервна копія в місці зберігання в інших місцях. Особливо, якщо у вас діє політика зберігання декількох років, що стоять десь у безпеці (у мене в органі є сейф у колодязях fargo, стрічки щомісяця ходіть туди і залишайтеся там на невизначений час). Якщо ви видалите щось, що виявиться незаконним ви можете вказати слідчих на резервні копії. Якщо хтось хоче, щоб резервні копії були видалені, то напевно відбувається щось незаконне.

Спочатку IANAL, але я брав участь у питаннях юридичних питань ІТ. Я розумію, що дії ІТ зводиться до того, що можна чекати від ІТ-людини. EG бос каже вам видалити файли обліку. Ви ЗНАЄте, що вони перебувають під слідством. Ви це зробите, і вам, ймовірно, доведеться заважати перешкод. З іншого боку, та ж ситуація, і ви не мали уявлення про те, що було якесь розслідування (і уряд повинен прийняти це рішення), і розумно, щоб вас попросили видалити ці файли, вам було б все в порядку.

як було зазначено раніше, можуть застосовуватися інші правила. У галузі біотехнології 21 cfr частина 11 застосовуватимуться положення

Як ІТ-співробітник, ви вважаєте, що ви розумієте, що є розумним і звичним (я вважаю, що це легалій). Однак вони не можуть незаконно звільняти вас за те, що ви не здійснюєте запитувану діяльність, застосовуватимуться статути федеральних винуватців. Невеликий комфорт, оскільки ви, ймовірно, будете помітною людиною у багатьох менших штатах.

Чудове запитання. Я не можу нічого посилатись на Сполучені Штати, оскільки я не працюю там, але етика / законність була однією з тих речей, які часто з'являються в роботі кого-небудь з підвищеними системними привілеями, але, схоже, не бути десь поблизу достатньо формалізованих вказівок щодо. Особисто мені хочеться, щоб я існував сильним галузевим органом, який представляв нас так само, як це роблять лікарі та юристи. Я знаю (Британське Британське Комп'ютерне Товариство (Великобританія) опублікував кодекс поведінки для членів, який змусив мене приєднатися, щоб вважати, що порушення цього кодексу було б розумною релевантною захистом для відмови від неетичного запиту. Я здогадуюсь, можливо, ACM може бути подібні з точки зору США?

Особисто я схильний працювати за тими ж правилами, що й інші згадували. CYA. Документуйте, ревізуйте та записуйте все, наскільки це можливо, і якщо це змушує вас почувати себе незручно, виконуючи прохання, я довіряю моєму моральному компасу і намагаюся переконатися, що його документація є максимально дозволеною.

Ознайомтеся з етичним кодексом адміністраторів системи SAGE .

Як вже згадувалося раніше, очевидно, що в багатьох ситуаціях, що представляють етичні дилеми, є чітка лінія. Більшість із нас відчувають себе зобов’язаними особистими та професійними стандартами вести себе етично. Урядові службовці піддаються кримінальним санкціям у багатьох випадках за практику, яку вважають нормальною у приватному секторі. (Подарунки від продавців тощо)

Найкращий спосіб впоратися з подібними ситуаціями - це не допустити їх.

Щодо технічних питань: обмеження привілеїв, процедур налаштування, внутрішнього контролю та аудиторських маршрутів, щоб людям було важко приховувати поведінку. Якщо всі знають, що аудиторський слід існує, це послужить стримуючим фактором. Натисніть на політику життєвого циклу даних ... (наприклад, періодичне використання) У великих середовищах ви використовуєте сервісну службу / довідкову службу, щоб розмістити міжмережевий екран між користувачами та ІТ або користувачами та бухгалтерським обліком.

Що стосується людських питань: Ви повинні бути обізнані із законами / нормами, які Вам підпадають. Тоді потрібно мати хребет. Скажи ні". Це може означати, що ви зіткнетесь з репресіями з боку керівництва.