Ética nos negócios / Legalidade para administradores de TI

22

Como administrador do sistema, existem coisas que podem não ser óbvias e que não devem ser feitas ética ou legalmente, mesmo quando instruídas a fazê-lo? Estou mais interessado legalmente em que tipo de ação pode prejudicar seriamente sua futura transportadora ou causar problemas com a lei .

Por exemplo, nunca é aceitável excluir certos tipos de arquivos, mesmo quando o chefe solicita?

Em particular, estou me perguntando sobre os Estados Unidos. Além disso, não estou em uma situação como essa no momento, outra pergunta me fez pensar que essa é uma informação que eu deveria saber.

Realmente, não estou tentando iniciar uma discussão sobre ética ou cenários complicados onde seria melhor chamar um advogado. Mas uma lista de verificação, alguma literatura ou algumas leis que toda pessoa de TI deve conhecer.

untagged Kyle Brandt
fonte
4
Este deve realmente ser um artigo da wiki, pois não há resposta certa ou errada.
9789 John Gardeniers
1
Pode não haver resposta certa ou errada , mas haverá respostas éticas e antiéticas , tenho certeza ... não devemos atribuir reputação à ética? ;-)
Chris W. Rea
Absurdo @ John - você ainda é responsável por suas ações
Jim B
+1 para uma ótima pergunta.
9119 Chris W. Rea
Jim, você leu algo que eu não escrevi. Em nenhum momento eu sequer sugeri que achava que não deveríamos ser responsáveis ​​por nossas ações. Pelo contrário. Leia a minha resposta abaixo.
31920 John Gardeniers

Respostas:

4

Acho que se você mantiver uma trilha eletrônica / em papel do que lhe é pedido por seus superiores, isso deve mantê-lo protegido de qualquer problema legal

ou seja, não exclua apenas alguns registros porque seu chefe disse para você enquanto conversava no bebedouro, porque isso pode acabar arrastando você para uma merda que você não conhece e seu chefe pode negar que tenha dito para fazer isso uma coisa. Se o seu chefe lhe disser algo verbalmente, volte ao seu escritório e envie a ele um e-mail "confirmando" a solicitação de você.

A ética é uma coisa muito complicada para um administrador de sistemas, já que abordamos muitos aspectos dos negócios, mas se algo cheira mal a você, faça-o por escrito ou impresso antes de fazê-lo.

Glen Y.
fonte
4
De fato - se você é solicitado a fazer algo "off the record", isso geralmente significa que é antiético.
Pjc50
3

Como americano, se você é responsável pelos sistemas CMS que retêm dados financeiros, familiarize-se com a Lei Sarbanes-Oxley , que impõe às empresas a obrigação de manter certos tipos de registros financeiros por um período determinado.

(Obrigatório: IANAL)

Nexo
fonte
Eu olhei isso antes, mas não fez nada de realmente derivam prático dele por um administrador de TI (Talvez um CIO) ...
Kyle Brandt
A SOX importa apenas se você é uma empresa pública (ou seja, sua empresa fez IPO) ou se a empresa pretende se tornar pública.
Feniix 03/05/19
2

Como não sou advogado, faça o seguinte com um pouco de sal.

Até onde eu sei, o único problema com a legalidade é se você está excluindo evidências de atividades ilegais. Isso certamente poderia causar alguns problemas.

Por outro lado, se você excluiu registros que não contêm evidências de nada ilegal, mas ainda são intimados após o fato, é improvável que você tenha problemas por isso.

Alvo fácil
fonte
3
Como você saberia que os registros intimados que você excluiu não contêm evidências de atividades ilegais? De qualquer forma, existem muitas regulamentações em muitos setores e governo que ditam quais registros podem e não podem ser destruídos e quando. É bem complicado.
9109 Boden
1
Aqui está um cenário divertido. Você trabalha para uma editora de notícias e, em um caso recente, informações sobre uma investigação em andamento vazaram da polícia local. As informações colocam as autoridades locais em situação ruim e estão desesperadas para encontrar a fonte do vazamento. A gerência sênior pressupõe que eles poderão encontrar um juiz para assinar um mandado de busca. Como seus sistemas contêm informações que podem identificar qualquer número de fontes, você deve excluir os dados e remover todas as fitas relevantes. Os federais não vão gostar, mas você tem o direito constitucional de proteger suas fontes. O que você vai fazer? :)
Roy
2
Roy: chamar um advogado quando ele é tão complicado :-)
Kyle Brandt
2
A menos que tenham motivos para acreditar que algo ilegal aconteceu, eles não podem simplesmente obter um mandado para obter fontes. Aqui está um site que mergulha nesses tipos de questões focadas em jornalistas. rcfp.org/handbook/c04p08.html
Shial
Isso é verdade e +1 para a referência. No entanto, o vazamento de informações em uma investigação em andamento é um crime na maioria dos lugares, por isso há poucas dúvidas de que algo ilegal aconteceu. A maioria dos estados e países tem restrições à pesquisa nas redações, mas as pesquisas ainda acontecem. A criptografia forte é a maneira comum de proteger fontes e denunciantes contra esses cenários, mas há uma razão pela qual algumas organizações de notícias mantêm equipamentos de desmagnetização caros por aí.
Roy
2

Esta é uma pergunta interessante. O que fazemos quando solicitados por um empregador para fazer algo claramente imoral e possivelmente ilegal.

Pode estar acessando arquivos ou dados pessoais, publicando material em embargo, excluindo dados que devem ser mantidos ou mantendo dados que devem ser excluídos.

Penso que a resposta a esta pergunta deve ser bastante subjetiva. Os funcionários têm diferentes responsabilidades e proteção sob diferentes sistemas legais. Sua posição e status na empresa podem ditar as opções disponíveis para você. Então, há um fator pessoal. Até onde você está disposto a ir para manter seu emprego?

Pessoalmente, recusei-me a distribuir correspondências não solicitadas e evitei ativamente a publicação ilegal de resultados de votação. Nas duas vezes, consegui encontrar apoio no departamento jurídico e na gerência sênior, respectivamente, mas é uma linha tênue para caminhar - Nos dois casos, um pequeno erro de julgamento poderia ter me custado meu trabalho, mesmo sob as leis de proteção da Noruega.

O ponto principal é que cabe ao indivíduo considerar a situação, pesar responsabilidades e lealdades, avaliar o risco, tomar uma decisão - e finalmente viver com as conseqüências.

Roy
fonte
2

A ética é um conceito maravilhosamente fluido e varia muito entre culturas e lugares. 'Nuf disse sobre isso.

Você precisa primeiro entender como as leis locais se aplicam à situação, porque às vezes pára por aí. Não creio que nenhum de nós deva seguir instruções que sabemos violar a lei, a menos que também estejamos preparados para aceitar quaisquer conseqüências decorrentes dessa ação. O próximo passo é aplicar suas crenças pessoais (ética, moral, religião, qualquer que seja). Às vezes haverá um conflito e você deve tomar essa decisão por conta própria.

Pessoalmente, me recusei a fazer as coisas em várias ocasiões, porque não acreditava que o que me pediam fosse "certo", legal ou moralmente. Às vezes eu venci a discussão e outras vezes alguém seguiu as mesmas instruções porque se sentiu menos forte (ou temeu perder o emprego). Embora nunca tenha sido demitido pessoalmente em tal situação, conheço outras pessoas que o foram. Se eu me sentir forte o suficiente, correrei esse risco todas as vezes.

John Gardeniers
fonte
Hummm ... eu concordo com isso. Eu não me preocuparia tanto em perder meu emprego, mas é claro, não tenho filhos ou hipoteca :-) Mas, na verdade, eu gostaria que uma lista de coisas sempre pensasse duas vezes. O que você deve ter em mente em certos setores também é bom, mas eu acho que esses setores tendem a ter orientação para esse tipo de coisa.
Kyle Brandt
+1 em "Ética [...] varia muito entre culturas e lugares".
CesarGon
2

Na verdade, eu havia escrito um artigo chamado "Gerenciando o gerente", que abordava esse tópico há 6 anos. Mas o que tudo se resume é ** Cubra seu ****

O princípio que todos os administradores devem viver sempre pela CYA . Não importa quem está no comando, sempre faça isso "por precaução". É por isso que uma Política de computador sempre deve ser implementada, que cobre você de qualquer responsabilidade, desde que assinem ou, pelo menos, passem adiante com essa intenção. O mesmo acontece com o prompt de login da Diretiva de Segurança Local, use-o também por esse motivo. Assim que fizerem login em seus computadores, diga que concorda com os termos da política.

Tenho uma experiência pessoal com esse tipo de situação e adivinha o que aconteceu comigo quando o FBI prendeu nosso diretor financeiro por várias acusações? Nada, e porque eu CYA e todas as evidências foram salvas no caso de algo ruim acontecer.

AdminAlive
fonte
1

Verifique se você possui uma política com base nos requisitos do setor (dependendo do que a empresa faz, essas solicitações serão diferentes)

Se alguma vez for solicitado que eu toque no e-mail de outro usuário ou faça alguma descoberta, recebo algo por escrito do departamento de RH com a assinatura. Eu digo a eles que é um CYA para mim. As pessoas estão dispostas a aceitá-lo quando você diz que não deseja violar nenhuma privacidade de informações e isso também ajuda a angariar confiança em você.

O melhor seguro, no entanto, são backups completos em um local de armazenamento externo. Principalmente se você tem uma política de manter vários anos valiosos em algum lugar seguro (na minha organização, temos um cofre no Wells Fargo, fitas todos os meses vão para lá e ficam lá indefinidamente) Se você excluir algo que acaba por ser ilegal você pode apontar investigadores para os backups. Se alguém quiser excluir os backups, definitivamente há algo ilegal acontecendo.

Shial
fonte
1
Pode haver razões perfeitamente boas para excluir os backups, de acordo com a lei aplicável. Alguns países exigem que dados confidenciais ou pessoais sejam excluídos a pedido de um cliente ou indivíduo. Outra é que os logs de comunicação geralmente ficam sob certas restrições. A retenção máxima na UE é de 12 meses, momento em que os logs devem ser excluídos, incluindo os backups.
Roy
não necessariamente em muitos casos, é simplesmente livrar-se dos backups um sinal de atividade ilegal (principalmente empresas financeiras). Há oblligations legais não para manter backups por um período prolongado de tempo para dados como e-mail e registros financeiros
Jim B
1
Certo, acho que está tendo uma política baseada nos requisitos do setor.
099 Shial
1

Primeiro IANAL, mas estive envolvido em questões de legalidade de TI. Meu entendimento é que as ações de TI se resumem ao que é razoavelmente esperado para a pessoa de TI saber. Por exemplo, o chefe diz para você excluir os arquivos contábeis. Você sabe que eles estão sob investigação. Você faz isso e é provável que seja acusado de obstrução. Por outro lado, na mesma situação, e você não tinha idéia de que houvesse alguma investigação (e o governo faz essa determinação), e é razoável que você tenha sido solicitado a excluir esses arquivos; você estaria bem.

conforme indicado anteriormente, existem outros regulamentos que podem ser aplicáveis. Na biotecnologia 21, cf. parte 11, os regulamentos se aplicariam

Como funcionário de TI, considera-se que você tem alguma compreensão do que é razoável e habitual (acredito que seja o juridico). No entanto, não é ilegal que eles o demitam por não realizar as atividades solicitadas, os estatutos federais de denúncias se aplicariam. Pequeno conforto, pois é provável que você seja um homem marcado em muitos dos estados menores.

Jim B
fonte
1

Ótima pergunta. Eu realmente não posso fazer referência a nada nos Estados Unidos, pois não trabalho lá, mas a ética / legalidade tem sido uma daquelas coisas que frequentemente surgem no trabalho de qualquer pessoa com privilégios elevados de sistema, mas parece que não estar em qualquer lugar perto de orientações formalizadas suficientes. Pessoalmente, faz-me desejar que houvesse um forte órgão da indústria que nos representasse da mesma maneira que médicos e advogados. Eu sei que a British Computer Society (específica do Reino Unido) publicou um código de conduta para os membros, o que me levou a sentir que violar esse código seria uma defesa razoável e relevante para recusar uma solicitação antiética, acho que talvez o ACM possa estar semelhante do ponto de vista dos EUA?

Pessoalmente, costumo trabalhar com as mesmas regras que os outros mencionaram. CYA. Documente, audite e registre tudo, na medida do possível, e se você se sentir desconfortável em executar a solicitação, confio na minha bússola moral e tento garantir que ela seja documentada da forma mais autorizada possível.

Mike1980
fonte
0

Como mencionado anteriormente, obviamente há uma linha tênue para caminhar em muitas situações que apresentam dilemas éticos. A maioria de nós se sente obrigada por padrões pessoais e profissionais a se comportar de maneira ética. Os funcionários do governo estão sujeitos a sanções penais em muitos casos por práticas consideradas normais no setor privado. (Presentes de vendedores, etc.)

A melhor maneira de lidar com esse tipo de situação é impedi-la de acontecer.

Para questões técnicas: limite de privilégios, procedimentos de configuração, controles internos e trilhas de auditoria para dificultar a ocultação de comportamentos. Se todos souberem que existe uma trilha de auditoria, isso servirá como um impedimento. Pressione para obter políticas de ciclo de vida de dados ... (ou seja, elações periódicas) Em ambientes maiores, você usa o service desk / help desk para colocar um firewall entre usuários e TI ou usuários e contabilidade.

Para problemas humanos: Você precisa estar ciente das leis / regulamentos aos quais está sujeito. Então você precisa ter uma espinha dorsal. Diga não". Fazer isso pode significar que você sofrerá represálias de sua gerência.

duffbeer703
fonte