Tengo un buen número de problemas de seguridad con la operación de un cliente y me hizo pensar en todos los problemas de seguridad que he observado y notado a lo largo de los años con diferentes clientes / empleos. Las inquietudes con la administración se resolvieron con "demasiado tiempo / dinero / recursos" a menos que se explotara el problema de seguridad en cuestión y, en esos casos, se resolviera con "¿por qué no solucionó eso?".
Con el tiempo, los empleados / contratistas terminan sin mencionar los problemas de seguridad debido a las respuestas de la administración y estas preocupaciones de seguridad quedan atrás. Por supuesto, esto no sucede en todas partes, pero sin duda la mayoría. La otra cara de esto es la gestión / los responsables de la toma de decisiones que están paranoicos acerca de la seguridad y gastan millones en cosas sin valor porque dice "seguro" en la casilla / en el nombre.
Por lo tanto, mi pregunta es la siguiente: ¿es éticamente correcto ignorar un problema de seguridad porque un jefe / cliente le ha dicho que no lo solucione debido a problemas de tiempo / dinero? ¿Es éticamente correcto arreglarlo después de una orden expresa de no arreglarlo?
Parte de los problemas más grandes que he experimentado al detectar problemas de seguridad no siempre es la respuesta, sino más bien el tiempo empleado en el proceso de toma de decisiones. Durante ese tiempo podríamos estar filtrando muchos datos o, peor aún, muchos datos de usuarios que casi siempre son confidenciales.
Es una especie de nota al margen, pero ¿cómo podemos capacitar al personal, a los responsables de la toma de decisiones y a los usuarios (sí, hay una diferencia) de que estos problemas existen y deberían solucionarse, pero sin ellos saltan demasiado lejos en el fondo?
Editar Solo para aclarar, no se trata de ir en contra de las decisiones de administración o de no darse cuenta de que está creando un problema de seguridad mayor que el que existía anteriormente. Estoy hablando de un defecto de seguridad definido que ha detectado, que puede solucionar y que no tiene autorización del cliente.