Ética nos negócios / Legalidade para administradores de TI

Como administrador do sistema, existem coisas que podem não ser óbvias e que não devem ser feitas ética ou legalmente, mesmo quando instruídas a fazê-lo? Estou mais interessado legalmente em que tipo de ação pode prejudicar seriamente sua futura transportadora ou causar problemas com a lei .

Por exemplo, nunca é aceitável excluir certos tipos de arquivos, mesmo quando o chefe solicita?

Em particular, estou me perguntando sobre os Estados Unidos. Além disso, não estou em uma situação como essa no momento, outra pergunta me fez pensar que essa é uma informação que eu deveria saber.

Realmente, não estou tentando iniciar uma discussão sobre ética ou cenários complicados onde seria melhor chamar um advogado. Mas uma lista de verificação, alguma literatura ou algumas leis que toda pessoa de TI deve conhecer.

Éticamente falando, você poderia fazer muito pior do que seguir http://lopsa.org/CodeOfEthics

Acho que se você mantiver uma trilha eletrônica / em papel do que lhe é pedido por seus superiores, isso deve mantê-lo protegido de qualquer problema legal

ou seja, não exclua apenas alguns registros porque seu chefe disse para você enquanto conversava no bebedouro, porque isso pode acabar arrastando você para uma merda que você não conhece e seu chefe pode negar que tenha dito para fazer isso uma coisa. Se o seu chefe lhe disser algo verbalmente, volte ao seu escritório e envie a ele um e-mail "confirmando" a solicitação de você.

A ética é uma coisa muito complicada para um administrador de sistemas, já que abordamos muitos aspectos dos negócios, mas se algo cheira mal a você, faça-o por escrito ou impresso antes de fazê-lo.

Como americano, se você é responsável pelos sistemas CMS que retêm dados financeiros, familiarize-se com a Lei Sarbanes-Oxley , que impõe às empresas a obrigação de manter certos tipos de registros financeiros por um período determinado.

(Obrigatório: IANAL)

Como não sou advogado, faça o seguinte com um pouco de sal.

Até onde eu sei, o único problema com a legalidade é se você está excluindo evidências de atividades ilegais. Isso certamente poderia causar alguns problemas.

Por outro lado, se você excluiu registros que não contêm evidências de nada ilegal, mas ainda são intimados após o fato, é improvável que você tenha problemas por isso.

Esta é uma pergunta interessante. O que fazemos quando solicitados por um empregador para fazer algo claramente imoral e possivelmente ilegal.

Pode estar acessando arquivos ou dados pessoais, publicando material em embargo, excluindo dados que devem ser mantidos ou mantendo dados que devem ser excluídos.

Penso que a resposta a esta pergunta deve ser bastante subjetiva. Os funcionários têm diferentes responsabilidades e proteção sob diferentes sistemas legais. Sua posição e status na empresa podem ditar as opções disponíveis para você. Então, há um fator pessoal. Até onde você está disposto a ir para manter seu emprego?

Pessoalmente, recusei-me a distribuir correspondências não solicitadas e evitei ativamente a publicação ilegal de resultados de votação. Nas duas vezes, consegui encontrar apoio no departamento jurídico e na gerência sênior, respectivamente, mas é uma linha tênue para caminhar - Nos dois casos, um pequeno erro de julgamento poderia ter me custado meu trabalho, mesmo sob as leis de proteção da Noruega.

O ponto principal é que cabe ao indivíduo considerar a situação, pesar responsabilidades e lealdades, avaliar o risco, tomar uma decisão - e finalmente viver com as conseqüências.

A ética é um conceito maravilhosamente fluido e varia muito entre culturas e lugares. 'Nuf disse sobre isso.

Você precisa primeiro entender como as leis locais se aplicam à situação, porque às vezes pára por aí. Não creio que nenhum de nós deva seguir instruções que sabemos violar a lei, a menos que também estejamos preparados para aceitar quaisquer conseqüências decorrentes dessa ação. O próximo passo é aplicar suas crenças pessoais (ética, moral, religião, qualquer que seja). Às vezes haverá um conflito e você deve tomar essa decisão por conta própria.

Pessoalmente, me recusei a fazer as coisas em várias ocasiões, porque não acreditava que o que me pediam fosse "certo", legal ou moralmente. Às vezes eu venci a discussão e outras vezes alguém seguiu as mesmas instruções porque se sentiu menos forte (ou temeu perder o emprego). Embora nunca tenha sido demitido pessoalmente em tal situação, conheço outras pessoas que o foram. Se eu me sentir forte o suficiente, correrei esse risco todas as vezes.

Na verdade, eu havia escrito um artigo chamado "Gerenciando o gerente", que abordava esse tópico há 6 anos. Mas o que tudo se resume é ** Cubra seu ****

O princípio que todos os administradores devem viver sempre pela CYA . Não importa quem está no comando, sempre faça isso "por precaução". É por isso que uma Política de computador sempre deve ser implementada, que cobre você de qualquer responsabilidade, desde que assinem ou, pelo menos, passem adiante com essa intenção. O mesmo acontece com o prompt de login da Diretiva de Segurança Local, use-o também por esse motivo. Assim que fizerem login em seus computadores, diga que concorda com os termos da política.

Tenho uma experiência pessoal com esse tipo de situação e adivinha o que aconteceu comigo quando o FBI prendeu nosso diretor financeiro por várias acusações? Nada, e porque eu CYA e todas as evidências foram salvas no caso de algo ruim acontecer.

Verifique se você possui uma política com base nos requisitos do setor (dependendo do que a empresa faz, essas solicitações serão diferentes)

Se alguma vez for solicitado que eu toque no e-mail de outro usuário ou faça alguma descoberta, recebo algo por escrito do departamento de RH com a assinatura. Eu digo a eles que é um CYA para mim. As pessoas estão dispostas a aceitá-lo quando você diz que não deseja violar nenhuma privacidade de informações e isso também ajuda a angariar confiança em você.

O melhor seguro, no entanto, são backups completos em um local de armazenamento externo. Principalmente se você tem uma política de manter vários anos valiosos em algum lugar seguro (na minha organização, temos um cofre no Wells Fargo, fitas todos os meses vão para lá e ficam lá indefinidamente) Se você excluir algo que acaba por ser ilegal você pode apontar investigadores para os backups. Se alguém quiser excluir os backups, definitivamente há algo ilegal acontecendo.

Primeiro IANAL, mas estive envolvido em questões de legalidade de TI. Meu entendimento é que as ações de TI se resumem ao que é razoavelmente esperado para a pessoa de TI saber. Por exemplo, o chefe diz para você excluir os arquivos contábeis. Você sabe que eles estão sob investigação. Você faz isso e é provável que seja acusado de obstrução. Por outro lado, na mesma situação, e você não tinha idéia de que houvesse alguma investigação (e o governo faz essa determinação), e é razoável que você tenha sido solicitado a excluir esses arquivos; você estaria bem.

conforme indicado anteriormente, existem outros regulamentos que podem ser aplicáveis. Na biotecnologia 21, cf. parte 11, os regulamentos se aplicariam

Como funcionário de TI, considera-se que você tem alguma compreensão do que é razoável e habitual (acredito que seja o juridico). No entanto, não é ilegal que eles o demitam por não realizar as atividades solicitadas, os estatutos federais de denúncias se aplicariam. Pequeno conforto, pois é provável que você seja um homem marcado em muitos dos estados menores.

Ótima pergunta. Eu realmente não posso fazer referência a nada nos Estados Unidos, pois não trabalho lá, mas a ética / legalidade tem sido uma daquelas coisas que frequentemente surgem no trabalho de qualquer pessoa com privilégios elevados de sistema, mas parece que não estar em qualquer lugar perto de orientações formalizadas suficientes. Pessoalmente, faz-me desejar que houvesse um forte órgão da indústria que nos representasse da mesma maneira que médicos e advogados. Eu sei que a British Computer Society (específica do Reino Unido) publicou um código de conduta para os membros, o que me levou a sentir que violar esse código seria uma defesa razoável e relevante para recusar uma solicitação antiética, acho que talvez o ACM possa estar semelhante do ponto de vista dos EUA?

Pessoalmente, costumo trabalhar com as mesmas regras que os outros mencionaram. CYA. Documente, audite e registre tudo, na medida do possível, e se você se sentir desconfortável em executar a solicitação, confio na minha bússola moral e tento garantir que ela seja documentada da forma mais autorizada possível.

Confira o Código de Ética dos Administradores do Sistema SAGE .

Como mencionado anteriormente, obviamente há uma linha tênue para caminhar em muitas situações que apresentam dilemas éticos. A maioria de nós se sente obrigada por padrões pessoais e profissionais a se comportar de maneira ética. Os funcionários do governo estão sujeitos a sanções penais em muitos casos por práticas consideradas normais no setor privado. (Presentes de vendedores, etc.)

A melhor maneira de lidar com esse tipo de situação é impedi-la de acontecer.

Para questões técnicas: limite de privilégios, procedimentos de configuração, controles internos e trilhas de auditoria para dificultar a ocultação de comportamentos. Se todos souberem que existe uma trilha de auditoria, isso servirá como um impedimento. Pressione para obter políticas de ciclo de vida de dados ... (ou seja, elações periódicas) Em ambientes maiores, você usa o service desk / help desk para colocar um firewall entre usuários e TI ou usuários e contabilidade.

Para problemas humanos: Você precisa estar ciente das leis / regulamentos aos quais está sujeito. Então você precisa ter uma espinha dorsal. Diga não". Fazer isso pode significar que você sofrerá represálias de sua gerência.