Éthique commerciale / légalité pour les administrateurs informatiques

En tant qu'administrateur système, y a-t-il des choses qui ne sont peut-être pas évidentes qui ne devraient pas être faites éthiquement ou légalement même lorsque l'on vous le demande? Je suis plus intéressé par la loi, quel type d'actions pourrait sérieusement endommager votre futur transporteur ou vous causer des ennuis avec la loi .

Par exemple, n'est-il jamais acceptable de supprimer certains types de fichiers même lorsque le Boss le demande?

En particulier, je me pose des questions sur les États-Unis. De plus, je ne suis pas dans une situation comme celle-ci pour le moment, une autre question me fait juste penser que ce sont des informations que je devrais connaître.

Vraiment, je n'essaie pas de déclencher une discussion sur l'éthique ou des scénarios compliqués où il serait préférable d'appeler un avocat. Mais une liste de contrôle, ou de la littérature, ou des lois que tout informaticien devrait connaître.

D'un point de vue éthique, vous pourriez faire bien pire que de suivre http://lopsa.org/CodeOfEthics

Je pense que si vous gardez une trace papier / électronique de ce que vous demandent vos supérieurs, cela devrait vous protéger de tout problème juridique

c'est-à-dire ne supprimez pas seulement certains enregistrements parce que votre patron vous l'a dit tout en discutant avec le refroidisseur d'eau car cela pourrait finir par vous entraîner dans des choses que vous ne connaissez pas et votre patron peut nier vous avoir jamais dit de le faire une chose. Si votre patron vous dit quelque chose verbalement, retournez à votre bureau et envoyez-lui un e-mail "confirmant" sa demande.

L'éthique est une chose vraiment délicate pour un administrateur système, car nous touchons à de nombreux aspects de l'entreprise, mais si quelque chose vous sent louche, faites-le par écrit ou imprimez-le avant de le faire.

En tant qu'américain, si vous êtes responsable des systèmes CMS qui conservent des données financières, vous devez vous familiariser avec la loi Sarbanes-Oxley , qui oblige les entreprises à conserver certains types de dossiers financiers pendant une période de temps définie.

(Obligatoire: IANAL)

Je ne suis pas avocat, alors prenez ce qui suit avec un grain de sel.

Pour autant que je sache, le seul problème de légalité est de supprimer les preuves d'activités illégales. Cela pourrait certainement vous causer des ennuis.

D'un autre côté, si vous avez supprimé des enregistrements qui ne contiennent aucune preuve de quelque chose d'illégal mais qui sont tout de même assignés après coup, il est peu probable que vous ayez des ennuis pour cela.

C'est une question intéressante. Que faisons-nous lorsque l'employeur nous demande de faire quelque chose de clairement immoral et peut-être illégal.

Il peut s'agir d'accéder à des fichiers ou à des données personnels, de publier du matériel sous embargo, de supprimer des données à conserver ou de conserver des données à supprimer.

Je pense que la réponse à cette question doit être plutôt subjective. Les employés bénéficient d'une protection et de responsabilités différentes selon les différents systèmes juridiques. Votre position et votre statut au sein de l'entreprise peuvent dicter les options qui s'offrent à vous. Ensuite, il y a un facteur personnel. Jusqu'où êtes-vous prêt à aller pour conserver votre emploi?

Personnellement, j'ai refusé d'aider à distribuer du courrier non sollicité et j'ai activement empêché la publication illégale des résultats de vote. Les deux fois, j'ai pu trouver du soutien dans le service juridique et la haute direction respectivement, mais c'est une ligne fine à suivre - Dans les deux cas, une petite erreur de jugement aurait pu me coûter mon travail même en vertu des lois de protection de la Norvège.

L'essentiel est que c'est à l'individu de considérer la situation, de peser les responsabilités et les loyautés, d'évaluer le risque, de prendre une décision - et enfin de vivre avec les conséquences.

L'éthique est un concept merveilleusement fluide et varie considérablement selon les cultures et les lieux. 'Nuf a dit à ce sujet.

Vous devez d'abord comprendre comment les lois locales s'appliquent à la situation, car parfois cela s'arrête là. Je pense qu'aucun de nous ne devrait suivre des instructions dont nous savons qu'elles enfreignent la loi, à moins que nous ne soyons également prêts à en accepter les conséquences. La prochaine étape consiste à appliquer vos convictions personnelles (éthique, morale, religieuse, etc.). Il y aura parfois un conflit et vous devrez prendre cette décision vous-même.

J'ai personnellement refusé de faire des choses à plusieurs reprises parce que je ne pensais pas que ce qu'on m'avait demandé de faire était "juste", ni juridiquement ni moralement. Parfois, j'ai gagné l'argument et d'autres fois, quelqu'un d'autre a suivi les mêmes instructions parce qu'il en était moins convaincu (ou craignait de perdre son emploi). Bien que je n'aie jamais personnellement été limogé dans une telle situation, je connais d'autres personnes qui l'ont été. Si je me sens assez fort, je courrai ce risque à chaque fois.

J'avais en fait écrit un article intitulé "Managing the Manager" couvrant ce sujet, il y a environ 6 ans. Mais tout se résume à ** Couvrir votre A ****

Le principe que tous les administrateurs devraient toujours vivre avec l' ACY . Peu importe qui est en charge, faites-le toujours pour cela "juste au cas où". C'est pourquoi une politique informatique doit toujours être mise en œuvre, elle vous couvre de responsabilité à condition qu'ils la signent ou au moins la distribuent avec cette intention. Il en va de même avec l'invite de connexion de la stratégie de sécurité locale, utilisez-la également pour cette raison. Dès qu'ils se connectent à leurs ordinateurs, faites-leur dire qu'ils acceptent les termes de la politique.

J'ai une expérience personnelle avec ce type de situations, et devinez ce qui m'est arrivé lorsque le FBI a arrêté notre directeur financier pour plusieurs chefs d'accusation? Rien, et parce que je CYA et toutes les preuves ont été enregistrées au cas où quelque chose de mauvais se produirait.

Assurez-vous d'avoir une politique en place basée sur les exigences de l'industrie (selon ce que fait l'entreprise, ces exigences seront différentes)

Si jamais on me demande de toucher un e-mail à un autre utilisateur ou de faire une découverte, je reçois quelque chose par écrit de notre service RH avec sa signature. Je leur dis carrément que c'est un CYA pour moi. Les gens sont prêts à l'accepter lorsque vous leur dites que vous ne voulez pas violer la confidentialité des informations et que cela contribue également à vous faire confiance.

Cependant, la meilleure assurance est des sauvegardes complètes dans un emplacement de stockage hors site. Surtout si vous avez une politique courante de garder plusieurs années en valeur dans un endroit sûr (dans mon organisation, nous avons un coffre-fort à Wells Fargo, des bandes chaque mois y vont et y restent indéfiniment) Si vous supprimez quelque chose qui s'avère illégal vous pouvez diriger les enquêteurs vers les sauvegardes. Si quelqu'un veut que les sauvegardes soient supprimées, il se passe certainement quelque chose d'illégal.

Tout d'abord IANAL, mais j'ai été impliqué dans des questions de légalité informatique. Ma compréhension est que les actions de l'informatique se résument à ce que l'on peut raisonnablement attendre de la personne informatique. EG le patron vous dit de supprimer les fichiers comptables. Vous SAVEZ qu'ils font l'objet d'une enquête. Vous faites cela et vous risquez d'être accusé d'obstruction. D'un autre côté, même situation et vous ne saviez pas qu'il y avait eu une enquête (et le gouvernement doit prendre cette décision), et il est raisonnable que l'on vous ait demandé de supprimer ces fichiers, vous seriez d'accord.

comme indiqué précédemment, d'autres réglementations peuvent s'appliquer. En biotechnologie 21 cfr partie 11 les réglementations s'appliqueraient

En tant que membre du personnel informatique, vous êtes réputé avoir une certaine compréhension de ce qui est raisonnable et habituel (je pense que c'est le jargon juridique). Il n'est cependant pas illégal pour eux de vous licencier pour ne pas avoir effectué les activités demandées, les lois fédérales sur les dénonciateurs s'appliqueraient. Petit confort car vous êtes susceptible d'être un homme marqué dans de nombreux petits États.

Grande question. Je ne peux pas vraiment faire référence aux États-Unis car je ne travaille pas là-bas, mais l'éthique / légalité a été l'une de ces choses qui revient souvent dans le travail de toute personne disposant de privilèges système élevés, mais il ne semble pas être suffisamment proche de directives formalisées. Personnellement, cela me fait souhaiter qu'il y ait un organisme industriel solide qui nous représente de la même manière que les médecins et les avocats. Je sais que la British Computer Society (spécifique au Royaume-Uni) a publié un code de conduite pour les membres, ce qui m'a incité à penser que violer ce code serait une défense raisonnable et valable pour rejeter une demande contraire à l'éthique. Je suppose que l'ACM pourrait être similaire d'un point de vue américain?

Personnellement, j'ai tendance à travailler selon les mêmes règles que d'autres l'ont mentionné. CYA. Documentez, auditez et enregistrez tout dans la mesure du possible, et si cela vous met mal à l'aise en exécutant la demande, je fais confiance à ma boussole morale et j'essaie de m'assurer qu'elle est documentée aussi autorisée que possible.

Consultez le code d'éthique des administrateurs système SAGE .

Comme mentionné précédemment, il existe évidemment une ligne fine pour marcher dans de nombreuses situations qui présentent des dilemmes éthiques. La plupart d'entre nous se sentent obligés par des normes personnelles et professionnelles de se conduire de manière éthique. Les employés du gouvernement sont passibles de sanctions pénales dans de nombreux cas pour des pratiques considérées comme normales dans le secteur privé. (Cadeaux de vendeurs, etc.)

La meilleure façon de faire face à ce genre de situations est de les empêcher de se produire.

Pour les problèmes techniques: limitez les privilèges, les procédures de configuration, les contrôles internes et les pistes d'audit pour rendre difficile la dissimulation des comportements. Si tout le monde sait qu'une piste d'audit existe, cela servira de dissuasion. Poussez pour les politiques de cycle de vie des données ... (par exemple, eltion périodique) Dans les environnements plus grands, vous utilisez le service desk / help desk pour mettre un pare-feu entre les utilisateurs et l'informatique ou les utilisateurs et la comptabilité.

Pour les problèmes humains: vous devez connaître les lois / réglementations auxquelles vous êtes soumis. Ensuite, vous devez avoir une colonne vertébrale. Dis non". Cela pourrait entraîner des représailles de la part de votre direction.