¿Cómo llamar la atención del gerente de operaciones como junior?

La empresa de desarrollo de software para la que trabajo tiene entre 40 y 50 empleados, de los cuales unos 12 son desarrolladores. Trabajo como desarrollador junior y he estado trabajando durante aproximadamente un año después de completar un aprendizaje el año pasado. Esto me coloca en la parte inferior de la clasificación con respecto a la toma de decisiones sobre nuestro producto principal. Pero al decir eso, he notado un problema muy grande con la seguridad de nuestro producto. Un problema digno de vergüenza que podría costarle mucho dinero a la empresa si se explota.

Sé que está en el radar de mis gerentes ya que hay multas planteadas, pero son multas viejas que parecen haber sido olvidadas. Cuando me uní a la empresa por primera vez, mencioné el problema y estuvo de acuerdo en que era necesario solucionarlo, pero no dijo mucho más que eso. Esto me da ganas de tomar las cosas en mis propias manos para mi propia protección de evitar que sea explotado y perder un trabajo porque la empresa tiene que pagar una multa.

¿Cómo podría llamar la atención de mi gerente y potencialmente de su gerente y mostrarles el riesgo que representa no solucionar este problema de seguridad? Tenga en cuenta que no quiero que esto parezca que estoy superando a mi gerente para salirme con la mía, tengo una buena relación con mi gerente en este momento y odiaría arruinarla con algo como esto.

Demasiadas preguntas para responder en este punto: ¿Qué tan grande es la falla de seguridad? ¿Qué tan grande es la amenaza para la empresa para la que trabaja? ¿Qué tan grande es la amenaza para los usuarios? Esto me recuerda al denunciante de Facebook que apareció en las noticias recientemente. Si hay que creer en su historia, intentó repetidamente que su gerencia se ocupara del problema, pero se hicieron de la vista gorda una y otra vez.
@dwizum Quiero ayudar por dos razones principales. 1 porque si la empresa fuera multada por no reparar la falla, creo que podría ser el primero en ser despedido si llegara a eso. Y 2 porque quiero que a la empresa le vaya bien para poder ser parte de una empresa en crecimiento, esta falla amenaza eso
@Lumberjack Con respecto a cuál es la falla de seguridad, no quiero revelar eso, por si acaso. Pero lo que puedo decir es que puede ser una amenaza para los usuarios y la empresa. No está al nivel de las cosas de Facebook en las noticias, pero si un cliente quisiera iniciar una acción legal, porque estamos ubicados en el Reino Unido, no tendríamos pie sobre el que apoyarnos.

Respuestas (3)

Pasar por encima de la cabeza de su gerente es a menudo un movimiento que limita seriamente su carrera y, para ser honesto, si va directamente al gerente de operaciones en esto, entonces esperaría que su gerente lo vea de esa manera, por lo que necesita trabajar con él en esto. .

Su mejor enfoque es plantearlo nuevamente con su gerente directamente, si tiene una solución sugerida para el problema, intente expresarla como si le estuviera haciendo un favor y sugiérale que su solución podría ser una forma de evitar que vuelva. para morder a la compañía (¡y a él!) en el trasero más tarde:

Hola [gerente], he estado pensando en el problema de seguridad del ticket 1234 y creo que tengo una idea de cómo podemos solucionarlo y sería bueno tener una discusión para ver si podemos solucionar esto. antes de que se explote, lo que sería muy costoso/vergonzoso para nosotros.

No es el uso de la palabra "nosotros": no estás insinuando que él es el que lo recibirá en el cuello, estás insinuando que eres un equipo. Es sutil pero ayuda.

Si por alguna razón su gerente sigue insistiendo en esto con usted, le sugiero que vaya con el siguiente miembro más antiguo del equipo/departamento (es decir, la persona justo debajo de su gerente) y discútalo con ellos, vea si puede haber antecedentes. usted no es consciente de Y si no lo hay, entonces pueden ser un aliado importante: en primer lugar, porque ahora habrá dos de ustedes en el problema, en segundo lugar, es probable que su palabra tenga más peso con su gerente debido a su antigüedad y, finalmente, es relativamente seguro porque no están por encima de su gerente, por lo que no está pasando por encima de su cabeza.

Además, y no puedo enfatizar esto lo suficiente, debe comunicarse con su gerente por correo electrónico; en el peor de los casos, cuando no hace nada o rechaza activamente sus intentos de resolver este problema y luego se explota su trasero es lo suficientemente cubierto.

Me he estado moviendo hacia algo como esto por un tiempo ahora. Creo que es posible que mi gerente ya haya pensado en una forma de solucionar un poco el problema, pero simplemente no le está dando prioridad. Como dijo @JeffO, puede haber cosas más importantes que mantienen a flote a la empresa. Si mi gerente ya tiene una solución, ¿lo haría de la misma manera que se indica en su respuesta?
@AlexWilson probablemente sí ... porque hasta que él (o alguien más) le diga que ya existe una solución, solo que no se ha implementado, usted no "sabe" al respecto, por lo que casi tiene que actuar como si no. existir.

No parece que esté tomando en consideración las tareas actuales que tienen una prioridad más alta que los problemas de seguridad. Mire lo que se le pide que haga actualmente y obtenga algunos comentarios sobre por qué son tan importantes. Incluso si no tuviera las fallas de seguridad, aún debe saber esto. Aprender a preguntar respetuosamente por qué es importante para tu desarrollo como programador. Asegúrese de que entiendan que usted no está tratando de salir del trabajo, sino que quiere ver el "panorama general". A veces tienes que usar una palabra de moda para llamar su atención.

Quién sabe, puede aprender que si no obtiene el próximo lanzamiento/parche, su cliente más importante abandonará su producto, lo que puede obligar a la empresa a cerrar. La mayoría de las decisiones implican un riesgo. Es necesario comprender los riesgos detrás de las decisiones actuales.

Trabajo en la profesión de seguridad de TI como auditor de TI y su situación actual es algo con lo que me encuentro con frecuencia y simpatizo. Lo que he encontrado ayuda es tener datos concretos sobre la vulnerabilidad que ve, su impacto para la empresa si se explota y los actores de amenazas con más probabilidades de poder explotarla.

La naturaleza de la vulnerabilidad que encontró

Describa la naturaleza de la vulnerabilidad que ha encontrado. Hechos como los siguientes son útiles para incluir en su análisis.

  • Cómo se puede explotar la vulnerabilidad: MITM, acceso remoto, suplantación de identidad del usuario, etc.

  • Condiciones que deben cumplirse para que la vulnerabilidad sea explotable, como sistemas sin parches, sistemas que utilizan un protocolo roto, etc. (p. ej.: TLS 1.0)

El impacto para la empresa si se explota una vulnerabilidad como la siguiente:

Describa qué eventos negativos pueden ocurrir si se explota la vulnerabilidad.

  • Sanciones económicas en forma de multas y demandas de clientes
  • Pérdida de reputación en el mercado si la vulnerabilidad expone los datos del cliente
  • Pérdida de futuros clientes debido a la reputación degradada

Describa los actores de amenazas con más probabilidades de explotar la vulnerabilidad y la probabilidad de cada amenaza. Ver ejemplos a continuación:

  • empleado despedido
  • Ciberdelincuente de sombrero negro
  • empresa competidora

Después de recopilar estos datos, debería poder acudir a su gerente y utilizar esta investigación para cuantificar la gravedad de la vulnerabilidad. También es posible que desee buscar un sistema estandarizado de puntuación de vulnerabilidades como CVSS.

¿Cómo llamar la atención del gerente de operaciones como junior?
RespuestasAquíPolítica de privacidad1y, 0v