Como profesional de cumplimiento de seguridad, ¿qué debo hacer si descubro que mi empleador tiene un AOC de PCI pero no cumple?

5

Tengo un dilema ético. Hace un par de semanas, acepté un rol de cumplimiento de seguridad. Durante los últimos cinco años he estado trabajando como PCI QSA antes de aceptar este rol.

En el corto tiempo que llevo en la empresa, he llegado a enterarme de que nunca deberían haber podido adquirir su AOC de PCI. Como la compañía no cumple con los numerosos requisitos de múltiples categorías dentro de las PCI DSS. Como un PCI QSA formal, no les habría dado un AOC aprobado.

He expresado mis preocupaciones con la gerencia ejecutiva y simplemente me dijeron que lo tenemos. Sí, son conscientes de las deficiencias. Otros miembros de la gerencia y el equipo de seguridad me han apartado y explicado que un miembro de la gerencia ejecutiva son amigos íntimos de un ejecutivo de QSAC y es por eso que pudieron obtener el AOC de PCI.

Los miembros del Equipo de Seguridad acuerdan que no se les debería haber otorgado el AOC de PCI en función de la evidencia que proporcionaron o la falta de evidencia. Pero soy la tercera persona en este rol y soy muy cuidadosa con lo que le digo a un determinado miembro del personal ejecutivo, aunque mi trabajo es identificar y remediar esas cosas. Quiero este trabajo y creo que la compañía es una buena compañía, el problema parece ser este miembro del personal ejecutivo.

Cuando era PCI QSA, esta decisión fue simple, ya que tenía la obligación ética de denunciar tales infracciones al Consejo de PCI. Pero ahora mi situación es diferente, pero sigo creyendo que tengo una obligación ética como profesional de seguridad.

No creo que deba elegir entre hacer lo correcto y conservar mi trabajo.

    
pregunta SecPro 20.04.2018 - 05:38
fuente

3 respuestas

5

En mi humilde opinión, el pensamiento más ético sería renunciar y denunciarlos. El razonamiento:

  • Usted tiene una obligación ética con los usuarios de mantener sus datos seguros en la medida en que la compañía afirma que usted lo hace.
  • Usted tiene una obligación ética con su compañía de mantener sus productos funcionando, seguros, conformes y de cumplir con los pedidos.

Debido a que no puede defender ambos, debe renunciar, ya que eso le liberaría de la segunda obligación y porque la compañía lo está colocando en esta posición.

Más prácticamente :

  • Es posible que desee hablar con los otros ejecutivos, explicando que, a sabiendas, no cumplir con los requisitos y engañar a los clientes abre la empresa a una demanda por daños y también que si se revelara, podrían perder la confianza del consumidor, especialmente considerando la situación actual con privacidad. Y seguridad teniendo la atención del público. El posible peligro para la empresa debería llamar su atención.
  • Es posible que desee considerar la recopilación de pruebas y permitir que el ejecutivo mencionado lo despida, luego presentar una demanda por despido improcedente o cualquier otra cosa, lo que dificulta su carrera (no un abogado, consultar con un abogado de verdad ). El resultado sería el mismo que en el ejemplo ético, pero obtendrías algo de dinero para tus problemas.
respondido por el Peter Harmann 20.04.2018 - 10:55
fuente
1

Personalmente, investigaría dos posibles vías:

  1. Auditoría interna: muchas personas tienen miedo de IA y a los gerentes no les gusta que se detengan, ya que tienden a detectar los problemas que deben afrontar. Sin embargo, según mi experiencia, acudir directamente a ellos (y aclarar su situación) puede ser muy eficaz.

  2. Si su organización tiene una política de denuncia de irregularidades, sería sensato investigarla en silencio. Consideraría que si IA no funcionó.

En cualquiera de los casos, DEBE asegurarse de tener evidencia documentada sobre los problemas y evidencia de que ha planteado el problema a la administración apropiada. También debe asegurarse de que, cuando no reciba una respuesta por escrito (por lo general, solo recibirá respuestas verbales en estos casos), realice un seguimiento enviando otro correo electrónico que indique que no recibió ninguna respuesta. En ese momento, está cubierto, ya que ha hecho lo que se requiere por su rol. Ahora, si lo expulsan o lo despiden directamente, tiene un caso que presentar por despido injustificado. Por supuesto, asegúrese de tener copias de los correos electrónicos relevantes fuera de la computadora de su trabajo. Si tiene un abogado, reenvíeles los correos electrónicos para que tengan la marca de tiempo.

Habiéndose cubierto, ahora tiene las opciones anteriores abiertas para usted. Por supuesto, debe reconocer que hacer un seguimiento de esto puede resultar en que pierda su trabajo de todos modos. Necesitas estar preparado para esto.

Antes de embarcarse en todo esto, querrá volver a verificar todas sus suposiciones. Utilice las redes profesionales y tal vez considere unirse a un grupo profesional que pueda brindarle apoyo.

    
respondido por el Julian Knight 20.04.2018 - 11:09
fuente
0

¿Cuántas veces ha realizado una evaluación de seguimiento en la que se pregunta, "¿cómo diablos pasaron el año pasado?" Puedo decirle que veo esto todo el tiempo como un QSA. Los clientes lo odian cuando les digo que tienen que hacer algo diferente, de mayor alcance, cuestan más dinero y demoran más. Siempre digo: "No sé lo que sucedió el año pasado, pero señalo el DSS y digo que esto es lo que tiene que hacer.

A menudo me pregunto si debo reportar el antiguo QSA, pero vuelvo a; "Ellos usaron su juicio para aprobar la empresa, tal vez haya algo que no sé". Como QSA, usamos nuestro juicio para tomar decisiones todo el tiempo. Es posible que haya usado el suyo para dejar pasar a un cliente cuando no estaba cumpliendo con los requisitos de la carta, pero tenía un trabajo suficientemente bueno y el riesgo era bajo.

Personalmente, creo que su trabajo es simplemente solucionar los problemas y olvidarse del pasado, un accidente histórico. Si el QSA realiza esta mala práctica con la suficiente frecuencia, quedarán atrapados y perderán su certificación.

Me protegería al recopilar los hechos si la administración decide tomar medidas en su contra, pero ahora su trabajo es solucionar el problema.

Ahora,

Vaya a los otros miembros del grupo ejecutivo y dígales que desea usar un auditor diferente este año, ¡no su compañía anterior! De esta forma evitas el tema del "pase amistoso". No te metas en una guerra de culpas por el pasado, perderás.

Simplemente diga: "Mira, fue un accidente de la historia, no me importa. Me contrataste para hacer un trabajo. Necesito usar un auditor diferente para hacer el trabajo correctamente ”. Si no te apoyan, comienza a buscar otro trabajo lo antes posible. Si una compañía nueva pregunta por qué, diga la verdad sin exponer los nombres. Solo di que mi ética no me permite hacer algo que sé que está mal. Me pusieron en una posición en la que sabía que estaba realmente mal y que era una situación de no ganar.

Dada su experiencia, usted sabe qué se debe hacer para proteger a la empresa. Probablemente los ejecutivos tendrán un ajuste dado el dinero, el tiempo, los recursos que necesita para hacer el trabajo correctamente. Póngalo en frío y si se niegan, comience a buscar un nuevo trabajo. Una vez que esté fuera, envíe una carta a los miembros de la junta informándoles que tienen un problema en la administración; Permítales tratar con los ejecutivos como debería hacer una buena junta.

Si usted es la tercera persona en el rol, es probable que la gente antes de que lo intentara y fallara; Se les mostró la puerta o se retiraron porque era insostenible para ellos. Dado que el régimen actual ha demostrado ser menos que competente, puede buscar un nuevo trabajo ahora y evitar la tormenta de * & ^% que está a punto de comenzar. Si caminas o te despiden; debe advertir a su equipo sobre los problemas y el posible revés en sus carreras si algo malo le sucede a la empresa debido a un problema.

El ingeniero que está en mí dice que intente sacarlo y solucionar el problema. Si tienes éxito tienes una gran victoria; la gerencia te respetará por hacer un trabajo duro; pero para eso te inscribiste. El gerente experimentado en mí dice que salgas ahora antes de que dañes a tu operador; Hay muchas otras buenas empresas que buscan gente como tú.

Supongo que añadiré esto; si las violaciones son realmente flagrantes; puertos abiertos, problemas de segmentación, problemas de parches; no hay pruebas de PEN ... - cosas que realmente ponen en riesgo a la empresa, entonces debe informar el QSA. No explicaste qué tan graves eran las violaciones; así que usa tu juicio aquí. Tenga en cuenta que no sabe lo que sucedió el año pasado o los años anteriores.

    
respondido por el ts57 21.04.2018 - 19:10
fuente

Lea otras preguntas en las etiquetas