Solucionar problemas de seguridad sin la autorización del jefe / cliente

5

Tengo un buen número de problemas de seguridad con la operación de un cliente y me hizo pensar en todos los problemas de seguridad que he observado y notado a lo largo de los años con diferentes clientes / empleos. Las inquietudes con la administración se resolvieron con "demasiado tiempo / dinero / recursos" a menos que se explotara el problema de seguridad en cuestión y, en esos casos, se resolviera con "¿por qué no solucionó eso?".

Con el tiempo, los empleados / contratistas terminan sin mencionar los problemas de seguridad debido a las respuestas de la administración y estas preocupaciones de seguridad quedan atrás. Por supuesto, esto no sucede en todas partes, pero sin duda la mayoría. La otra cara de esto es la gestión / los responsables de la toma de decisiones que están paranoicos acerca de la seguridad y gastan millones en cosas sin valor porque dice "seguro" en la casilla / en el nombre.

Por lo tanto, mi pregunta es la siguiente: ¿es éticamente correcto ignorar un problema de seguridad porque un jefe / cliente le ha dicho que no lo solucione debido a problemas de tiempo / dinero? ¿Es éticamente correcto arreglarlo después de una orden expresa de no arreglarlo?

Parte de los problemas más grandes que he experimentado al detectar problemas de seguridad no siempre es la respuesta, sino más bien el tiempo empleado en el proceso de toma de decisiones. Durante ese tiempo podríamos estar filtrando muchos datos o, peor aún, muchos datos de usuarios que casi siempre son confidenciales.

Es una especie de nota al margen, pero ¿cómo podemos capacitar al personal, a los responsables de la toma de decisiones y a los usuarios (sí, hay una diferencia) de que estos problemas existen y deberían solucionarse, pero sin ellos saltan demasiado lejos en el fondo?

Editar Solo para aclarar, no se trata de ir en contra de las decisiones de administración o de no darse cuenta de que está creando un problema de seguridad mayor que el que existía anteriormente. Estoy hablando de un defecto de seguridad definido que ha detectado, que puede solucionar y que no tiene autorización del cliente.

    
pregunta ScottMcGready 08.04.2014 - 22:22
fuente

3 respuestas

3

Cada solución es una decisión de negocios. El negocio necesita hacer la llamada. Usted, como el que tiene el conocimiento, necesita informar y guiar adecuadamente el negocio a través de la matriz de necesidades y costos. De manera óptima, existen políticas y procedimientos para identificar e incorporar arreglos a lo largo del tiempo según el costo y la prioridad, pero desafortunadamente, no todos lo hacen.

En cuanto a solucionar un problema sin supervisión, ¿qué sucede si causa un problema de seguridad aún mayor? ¿Qué sucede si expone el negocio a costos y daños como resultado de consecuencias no deseadas? La supervisión existe por una razón, para protegerlo a usted y al negocio.

En cuanto a las preocupaciones éticas, existe un debate abierto sobre la ética de la información. En una situación en la que la vida y la salud están amenazadas, existen líneas éticas más claras y definidas. Las amenazas contra la información son más difíciles de entender éticamente. He tenido conversaciones con algunos en la industria del cuidado de la salud que han propuesto la idea de que la información de un humano vale más incluso que la vida de un humano (porque puede afectar la vida y la salud de un número incalculable de otros humanos).

Educar, informar, guiar, alentar y hablar en términos que tengan sentido para el negocio. Estas cosas las debes hacer con ética y con pasión.

    
respondido por el schroeder 08.04.2014 - 22:57
fuente
2

Un gran problema al arreglar algo cuando se le dice que no lo haga es que podría estar equivocado en algún momento:

  • quizás no sea un error / agujero real;

  • quizás lo sea, pero alguna otra capa de la aplicación evita que tenga fugas

  • tal vez sea un error, podría provocar fugas, pero su aplicación no está en el radar, por lo que podría no descubrirse simplemente porque nadie la echó un vistazo

  • idem, idem, pero no causará todos los daños que imaginas

  • idem, idem, pero intenta solucionarlo a pesar de que se le indica que no lo haga, y aumenta el problema / error

Una cosa es ser fieles a sus clientes: cada cliente desea el producto perfecto, y le encantaría saber que hay alguien dentro de cada compañía que atenta contra los pedidos y arregla el producto de todos modos.

El otro punto es ser fiel a quién paga tu salario. Le dijeron que no lo hiciera: asegúrese de haber indicado claramente el problema, las consecuencias, cómo podría ser descubierto, utilizado por alguien, cómo podría solucionarse y cuánto (tiempo / dinero / recursos) se necesitaría para solucionarlo. eso. Envíelo por correo electrónico, regístrelo de alguna manera, y su trabajo está hecho.

Lo que sus gerentes decidan depende de ellos.

    
respondido por el woliveirajr 08.04.2014 - 23:39
fuente
1

La pregunta central es si es éticamente incorrecto hacer un cambio que el jefe / cliente, etc. no quiere, pero aumentaría la seguridad, la respuesta es bastante simple.

Sí. Está mal.

Permítame hacer la pregunta de otra manera: ¿Cómo reaccionaría usted si hiciera cambios no autorizados (por usted) en su declaración de impuestos? El cambio, en sí mismo, es tanto legal como financieramente ventajoso. No hay daño, no hay falta, ¿verdad? Pero, ¿qué sucede si la declaración ahora inconsistente (en comparación con años anteriores) desencadena una auditoría fiscal en toda regla? Ahora es casi seguro que se va a enojar, y con razón, yo usurpé su toma de decisiones y lo expuse a riesgos para los cuales no estaba preparado y posiblemente no se sienta cómodo con ninguno de ellos.

La decisión, y está de acuerdo con los riesgos & recompensas, son las del jefe o del cliente para hacer. Si cree que su decisión es imprudente o los expone a riesgos de los que tal vez no estén al tanto, debe compartir esto con ellos. Pero la decisión es suya.

No puedo abordar ninguna inquietud legal, ya que no soy un abogado. Dependiendo de la jurisdicción en la que trabaje, es posible que existan requisitos de informes específicos obligados por ley (que, por su bien, esperamos que tengan suficientes cláusulas de puerto seguro)

    
respondido por el Shawn C 09.04.2014 - 05:08
fuente

Lea otras preguntas en las etiquetas