Geschäftsethik / Legalität Für IT-Administratoren

Gibt es als Systemadministrator Dinge, die möglicherweise nicht offensichtlich sind und die ethisch oder rechtlich nicht vertretbar sind, selbst wenn Sie dazu aufgefordert werden? Ich bin rechtlich mehr daran interessiert, welche Art von Handlungen Ihren zukünftigen Spediteur ernsthaft schädigen oder Sie in Schwierigkeiten mit dem Gesetz bringen könnten .

Ist es beispielsweise jemals in Ordnung, bestimmte Dateitypen zu löschen, auch wenn der Chef dies anfordert?

Insbesondere wundere ich mich über die Vereinigten Staaten. Außerdem bin ich im Moment nicht in einer solchen Situation. Eine andere Frage brachte mich nur auf den Gedanken, dass dies Informationen sind, die ich wissen sollte.

Wirklich, ich versuche nicht, eine Diskussion über Ethik oder komplizierte Szenarien auszulösen, in denen es am besten wäre, einen Anwalt anzurufen. Aber eine Checkliste, Literatur oder Gesetze, die jeder IT-Mitarbeiter kennen sollte.

Ethisch gesehen könnte es viel schlimmer sein, als http://lopsa.org/CodeOfEthics zu folgen

Ich denke, wenn Sie in Papierform / elektronisch nachvollziehen, was Ihre Vorgesetzten von Ihnen verlangen, sollten Sie vor rechtlichen Problemen geschützt sein

Löschen Sie also nicht einfach einige Datensätze, weil Ihr Chef Sie dazu aufgefordert hat, während Sie sich am Wasserkühler unterhalten, da Sie sonst in Dinge hineingezogen werden, von denen Sie nichts wissen, und Ihr Chef kann bestreiten, dass er Sie jemals dazu aufgefordert hat ein Ding. Wenn Ihr Chef Ihnen etwas mündlich sagt, gehen Sie zurück in Ihr Büro und senden Sie ihm eine E-Mail, in der Sie Ihre Anfrage bestätigen.

Ethik ist für einen Systemadministrator eine wirklich schwierige Sache, da wir so viele Aspekte des Geschäfts ansprechen. Wenn Ihnen jedoch etwas nach Fisch riecht, sollten Sie dies vorher schriftlich oder in gedruckter Form erledigen.

Wenn Sie als Amerikaner für CMS-Systeme verantwortlich sind, in denen Finanzdaten gespeichert sind, sollten Sie sich mit dem Sarbanes-Oxley Act vertraut machen , der Unternehmen dazu verpflichtet, bestimmte Arten von Finanzunterlagen für einen festgelegten Zeitraum aufzubewahren.

(Obligatorisch: IANAL)

Ich bin kein Anwalt, also nehmen Sie bitte Folgendes mit einem Körnchen Salz.

Meines Wissens ist das einzige Problem mit der Legalität, wenn Sie Beweise für illegale Aktivitäten löschen. Das könnte Sie sicherlich in Schwierigkeiten bringen.

Auf der anderen Seite ist es unwahrscheinlich, dass Sie in Schwierigkeiten geraten, wenn Sie Datensätze gelöscht haben, die keine Beweise für etwas Illegales enthalten, aber dennoch nachträglich vorgeladen werden.

Das ist eine interessante Frage. Was tun wir, wenn ein Arbeitgeber uns dazu auffordert, etwas eindeutig Unmoralisches und möglicherweise Illegales zu tun?

Es kann sich um den Zugriff auf persönliche Dateien oder Daten, das Veröffentlichen von Material in Form eines Embargos, das Löschen von Daten handeln, die aufbewahrt werden sollen, oder das Aufbewahren von Daten, die gelöscht werden sollen.

Ich denke, die Antwort auf diese Frage muss eher subjektiv sein. Die Arbeitnehmer sind in unterschiedlichen Rechtsordnungen unterschiedlich geschützt und haftbar. Ihre Position und Ihr Status innerhalb des Unternehmens bestimmen möglicherweise die Optionen, die Ihnen zur Verfügung stehen. Dann gibt es einen persönlichen Faktor. Wie weit willst du gehen, um deinen Job zu behalten?

Persönlich habe ich mich geweigert, unerwünschte Post zu verbreiten, und die illegale Veröffentlichung von Abstimmungsergebnissen aktiv verhindert. In beiden Fällen konnte ich Unterstützung in der Rechtsabteilung bzw. in der Geschäftsleitung finden, aber es ist eine feine Linie - In beiden Fällen hätte mich eine kleine Fehleinschätzung meinen Job kosten können, selbst unter den norwegischen Schutzgesetzen.

Entscheidend ist, dass der Einzelne die Situation berücksichtigt, Verantwortlichkeiten und Loyalitäten abwägt, das Risiko einschätzt, eine Entscheidung trifft und schließlich mit den Konsequenzen lebt.

Ethik ist ein wunderbar fließendes Konzept und variiert stark zwischen Kulturen und Orten. 'Nuf sagte dazu.

Sie müssen zuerst verstehen, wie die lokalen Gesetze auf die Situation zutreffen, da sie manchmal genau dort aufhören. Ich glaube nicht, dass einer von uns Anweisungen befolgen sollte, von denen wir wissen, dass sie gegen das Gesetz verstoßen, es sei denn, wir sind auch bereit, Konsequenzen daraus zu akzeptieren. Der nächste Schritt besteht darin, Ihre persönlichen Überzeugungen anzuwenden (Ethik, Moral, Religion, was auch immer). Es wird manchmal einen Konflikt geben und Sie müssen diese Entscheidung selbst treffen.

Ich persönlich habe mich mehrmals geweigert, Dinge zu tun, weil ich nicht glaubte, dass das, was ich tun sollte, legal oder moralisch "richtig" war. Manchmal habe ich das Argument gewonnen, und manchmal hat jemand anderes die gleichen Anweisungen befolgt, weil er sich weniger stark dafür fühlte (oder befürchtete, seinen Arbeitsplatz zu verlieren). Während ich in einer solchen Situation noch nie persönlich entlassen worden bin, kenne ich andere, die es waren. Wenn ich mich stark genug fühle, gehe ich jedes Mal dieses Risiko ein.

Ich hatte vor ungefähr 6 Jahren einen Artikel mit dem Titel "Managing the Manager" zu diesem Thema geschrieben. Aber worauf es ankommt, ist ** Cover Your A ****

Das Prinzip, das alle Administratoren von CYA immer leben sollten . Es ist egal, wer das Sagen hat, machen Sie es immer "nur für den Fall". Aus diesem Grund sollte eine Computerrichtlinie immer implementiert werden. Sie deckt Sie von der Haftung ab, sofern sie diese unterschreibt oder zumindest mit dieser Absicht herausgibt. Das Gleiche gilt für die Anmeldeaufforderung der lokalen Sicherheitsrichtlinie. Verwenden Sie sie auch aus diesem Grund. Sobald sie sich an ihren Computern anmelden, erklären sie sich mit den Bestimmungen der Richtlinie einverstanden.

Ich habe eine persönliche Erfahrung mit solchen Situationen und raten Sie mal, was mit mir passiert ist, als das FBI unseren CFO wegen mehrerer Anklagen festgenommen hat . Nichts, und weil ich CYA und alle Beweise für den Fall gespeichert wurde, dass etwas Schlimmes passiert ist.

Stellen Sie sicher, dass Sie eine Richtlinie haben, die auf den Branchenanforderungen basiert (je nachdem, was das Unternehmen tut, sind diese Anforderungen unterschiedlich).

Wenn ich jemals gebeten werde, eine E-Mail eines anderen Benutzers zu berühren oder eine Entdeckung zu machen, bekomme ich von unserer Personalabteilung eine schriftliche Nachricht mit deren Unterschrift. Ich sage ihnen direkt, dass es ein CYA für mich ist. Die Menschen sind bereit, dies zu akzeptieren, wenn Sie ihnen mitteilen, dass Sie die Vertraulichkeit von Informationen nicht verletzen möchten, und es hilft auch, das Vertrauen zu gewinnen, dass Sie diesbezüglich besorgt sind.

Die beste Versicherung sind jedoch vollständige Sicherungen an einem externen Speicherort. Vor allem, wenn Sie die Richtlinie einhalten, dass mehrere Jahre an einem sicheren Ort aufbewahrt werden. (Bei mir haben wir einen Safe bei Wells Fargo. Bänder gehen jeden Monat dorthin und bleiben dort auf unbestimmte Zeit.) Wenn Sie etwas löschen, das sich als illegal herausstellt Sie können Ermittler auf die Sicherungen verweisen. Wenn jemand will, dass die Backups gelöscht werden, dann ist definitiv etwas Illegales los.

Zuerst IANAL, aber ich war in IT-Legalitätsfragen involviert. Ich verstehe, dass IT-Aktionen auf das hinauslaufen, was die IT-Person vernünftigerweise wissen muss. ZB der Chef fordert Sie auf, die Abrechnungsdateien zu löschen. Sie wissen, dass sie untersucht werden. Sie tun das und werden wahrscheinlich wegen Behinderung angeklagt. Auf der anderen Seite ist dieselbe Situation und Sie hatten keine Ahnung, dass eine Untersuchung stattgefunden hat (und die Regierung muss diese Entscheidung treffen), und es ist vernünftig, dass Sie gebeten worden wären, diese Dateien zu löschen, Sie wären in Ordnung.

Wie bereits erwähnt, gelten möglicherweise andere Bestimmungen. In der Biotechnologie 21, vgl. Teil 11, würden Vorschriften gelten

Als IT-Mitarbeiter haben Sie vermutlich ein gewisses Verständnis dafür, was vernünftig und üblich ist (ich glaube, das ist die Rechtsprechung). Es ist jedoch nicht illegal, dass Sie entlassen werden, weil Sie die angeforderten Aktivitäten nicht ausführen. Es gelten die gesetzlichen Bestimmungen für Whistleblower. Kleiner Trost, da Sie in vielen kleineren Staaten wahrscheinlich ein markierter Mann sind.

Gute Frage. Ich kann mich nicht wirklich auf die Vereinigten Staaten beziehen, da ich dort nicht arbeite, aber Ethik / Legalität war eines der Dinge, die bei der Arbeit von Menschen mit erhöhten Systemprivilegien häufig auftauchen, aber es scheint nicht so bei weitem nicht genug formalisierte Anleitung auf. Ich persönlich wünschte, es gäbe eine starke Industrie, die uns genauso vertritt wie Ärzte und Anwälte. Ich weiß, dass die (britische spezifische) British Computer Society einen Verhaltenskodex für Mitglieder veröffentlicht hat, der mich dazu veranlasste, das Gefühl zu haben, dass ein Verstoß gegen diesen Kodex eine angemessene Verteidigung darstellt, um eine unethische Anfrage abzulehnen aus US-Sicht ähnlich?

Persönlich neige ich dazu, nach den gleichen Regeln zu arbeiten, die andere erwähnt haben. CYA. Dokumentieren, prüfen und protokollieren Sie alles, soweit dies machbar ist. Wenn Sie sich bei der Ausführung der Anfrage unwohl fühlen, vertraue ich meinem moralischen Kompass und versuche sicherzustellen, dass die Dokumentation so hoch wie möglich ist.

Lesen Sie den Verhaltenskodex der SAGE-Systemadministratoren .

Wie bereits erwähnt, gibt es in vielen Situationen, in denen ethische Dilemmata bestehen, offensichtlich eine feine Linie. Die meisten von uns fühlen sich nach persönlichen und beruflichen Maßstäben verpflichtet, sich ethisch zu verhalten. Regierungsangestellte unterliegen in vielen Fällen strafrechtlichen Sanktionen für im Privatsektor als normal geltende Praktiken. (Geschenke von Verkäufern usw.)

Der beste Weg, mit solchen Situationen umzugehen, besteht darin, sie zu verhindern.

Bei technischen Problemen: Beschränken Sie Berechtigungen, Einrichtungsverfahren, interne Kontrollen und Prüfpfade, um zu verhindern, dass Benutzer ihr Verhalten verbergen. Wenn jeder weiß, dass ein Prüfpfad vorhanden ist, dient dies als Abschreckung. Push for Data Lifecycle Policies ... (dh periodisches Aussetzen) In größeren Umgebungen verwenden Sie den Service Desk / Help Desk, um eine Firewall zwischen Benutzer und IT oder Benutzer und Buchhaltung einzurichten.

Für menschliche Angelegenheiten: Sie müssen sich der Gesetze / Vorschriften bewusst sein, denen Sie unterliegen. Dann brauchen Sie ein Rückgrat. Nein sagen". Dies kann dazu führen, dass Sie Repressalien Ihres Managements ausgesetzt sind.