Solucionar problemas de seguridad sin la autorización del jefe / cliente

Cada solución es una decisión de negocios. El negocio necesita hacer la llamada. Usted, como el que tiene el conocimiento, necesita informar y guiar adecuadamente el negocio a través de la matriz de necesidades y costos. De manera óptima, existen políticas y procedimientos para identificar e incorporar arreglos a lo largo del tiempo según el costo y la prioridad, pero desafortunadamente, no todos lo hacen.

En cuanto a solucionar un problema sin supervisión, ¿qué sucede si causa un problema de seguridad aún mayor? ¿Qué sucede si expone el negocio a costos y daños como resultado de consecuencias no deseadas? La supervisión existe por una razón, para protegerlo a usted y al negocio.

En cuanto a las preocupaciones éticas, existe un debate abierto sobre la ética de la información. En una situación en la que la vida y la salud están amenazadas, existen líneas éticas más claras y definidas. Las amenazas contra la información son más difíciles de entender éticamente. He tenido conversaciones con algunos en la industria del cuidado de la salud que han propuesto la idea de que la información de un humano vale más incluso que la vida de un humano (porque puede afectar la vida y la salud de un número incalculable de otros humanos).

Educar, informar, guiar, alentar y hablar en términos que tengan sentido para el negocio. Estas cosas las debes hacer con ética y con pasión.

Un gran problema al arreglar algo cuando se le dice que no lo haga es que podría estar equivocado en algún momento:

• quizás no sea un error / agujero real;

• quizás lo sea, pero alguna otra capa de la aplicación evita que tenga fugas

• tal vez sea un error, podría provocar fugas, pero su aplicación no está en el radar, por lo que podría no descubrirse simplemente porque nadie la echó un vistazo

• idem, idem, pero no causará todos los daños que imaginas

• idem, idem, pero intenta solucionarlo a pesar de que se le indica que no lo haga, y aumenta el problema / error

Una cosa es ser fieles a sus clientes: cada cliente desea el producto perfecto, y le encantaría saber que hay alguien dentro de cada compañía que atenta contra los pedidos y arregla el producto de todos modos.

El otro punto es ser fiel a quién paga tu salario. Le dijeron que no lo hiciera: asegúrese de haber indicado claramente el problema, las consecuencias, cómo podría ser descubierto, utilizado por alguien, cómo podría solucionarse y cuánto (tiempo / dinero / recursos) se necesitaría para solucionarlo. eso. Envíelo por correo electrónico, regístrelo de alguna manera, y su trabajo está hecho.

Lo que sus gerentes decidan depende de ellos.

La pregunta central es si es éticamente incorrecto hacer un cambio que el jefe / cliente, etc. no quiere, pero aumentaría la seguridad, la respuesta es bastante simple.

Sí. Está mal.

Permítame hacer la pregunta de otra manera: ¿Cómo reaccionaría usted si hiciera cambios no autorizados (por usted) en su declaración de impuestos? El cambio, en sí mismo, es tanto legal como financieramente ventajoso. No hay daño, no hay falta, ¿verdad? Pero, ¿qué sucede si la declaración ahora inconsistente (en comparación con años anteriores) desencadena una auditoría fiscal en toda regla? Ahora es casi seguro que se va a enojar, y con razón, yo usurpé su toma de decisiones y lo expuse a riesgos para los cuales no estaba preparado y posiblemente no se sienta cómodo con ninguno de ellos.

La decisión, y está de acuerdo con los riesgos & recompensas, son las del jefe o del cliente para hacer. Si cree que su decisión es imprudente o los expone a riesgos de los que tal vez no estén al tanto, debe compartir esto con ellos. Pero la decisión es suya.

No puedo abordar ninguna inquietud legal, ya que no soy un abogado. Dependiendo de la jurisdicción en la que trabaje, es posible que existan requisitos de informes específicos obligados por ley (que, por su bien, esperamos que tengan suficientes cláusulas de puerto seguro)