Trabajo como auditor de TI en la profesión de InfoSec. Un colega mío en el departamento de seguridad de TI me pidió que revisara por pares / brindara mi opinión profesional sobre un informe de prueba de penetración / vulnerabilidades de aplicaciones que completó. Este informe en particular está programado para ser presentado a la alta dirección a finales de esta semana.
Mi departamento coopera frecuentemente con el departamento de Seguridad de la Información en mucho del trabajo que hacemos. En el pasado, el departamento de InfoSec me ha sido de gran ayuda en otros trabajos que realicé (cumplimiento de PCI, entre varios otros proyectos). También completé revisiones por pares en el pasado para presentar el trabajo a la gerencia, tanto para mis colegas dentro de mi departamento como para los miembros del equipo de InfoSec.
Sin embargo, tengo varias tareas de fin de trimestre que deben realizarse al final de la semana para incluir diferentes revisiones / auditorías de procesos. Además de todo esto, también estoy en medio de la planificación de varias auditorías que comenzarán a finales de año. No creo que tenga suficiente tiempo para proporcionar un profesional, a través de la revisión por pares a mi colega con todo el trabajo que tengo. Cualquier comentario que no sea completo y honesto creo que sería poco profesional de mi parte.
¿Cómo le comunico a mi colega de Seguridad de la Información que no puedo completar su solicitud con la mayor amabilidad posible?
No pienses demasiado en esto. Simplemente dígale a su colega lo que nos ha dicho aquí, que sea claro y cortés. Está dejando en claro que no puede hacer la revisión del código porque está abrumado con otras tareas importantes. Más importante aún, una revisión del código realizada "solo para terminar" no solo sería poco profesional, sino que también causaría un daño potencial al proyecto, especialmente si tienen sus revisiones en alta estima.
También debes tratar de ofrecerles una alternativa para que su trabajo no se estanque solo porque no tienes tiempo. De esa manera, también evitas que suene como "este no es mi problema". Sugiérales que se comuniquen con otra persona que creas que podría hacer la revisión del código en su lugar, o si no hay nadie así, sugiere (o incluso ofrece) pedirle a la gerencia que encuentre a alguien.
Es bastante común que la gente de TI se sienta abrumada con las tareas de vez en cuando. No veo ninguna razón por la que tu colega deba sentirse ofendido por tu negativa, siempre y cuando no seas un idiota al respecto (que claramente no lo eres).
En resumen, algo como lo siguiente debería hacer:
Me temo que no podría hacer esta revisión de código porque estoy abrumado con otras tareas críticas. Me preocupa que si intento hacer la revisión sin prestarle toda mi atención, la revisión no sería efectiva y probablemente me perdería algo importante.
Sugeriría hablar con John Doe y ver si puede dedicar tiempo para hacer la revisión. Si insiste en que haga la revisión, tendré que hablar con mi gerente y dejar que él decida la prioridad.