El jefe quiere que falsifique un informe. ¿Cómo debo documentar esta demanda poco ética?

Trabajo en TI y mi gerente está tratando de que mi compañero de trabajo y yo enviemos un escaneo de seguridad falsificado a un cliente nuestro. Básicamente, quiere que enviemos un análisis de seguridad modificado para excluir las vulnerabilidades que se descubrieron durante el análisis. Esto es parte de un proyecto más grande en el que estamos trabajando para el cliente.

Mi gerente reporta directamente al CEO de la empresa, y el mismo CEO está presionando a mi gerente para que termine este proyecto sin importar nada. Al CEO no le importa si se toman atajos o si se está haciendo algo poco ético.

Para mí, el tema es muy simple. No haré lo que mi gerente me pida porque lo considero muy poco ético. Debido a que esto es parte de un proyecto más grande, he estado trabajando en otras cosas en un intento de darme algo de tiempo para descubrir qué hacer. También estoy tratando de encontrar la mejor manera de documentar lo que mi gerente está tratando de que haga, lo que me lleva a mi pregunta.

Hasta ahora, todo lo que el gerente me ha pedido que haga relacionado con esto se ha dicho verbalmente. Hice varios intentos fallidos para que él pusiera algo por escrito. Ayer le pregunté por escrito qué quería que hiciera con los escaneos de seguridad y me respondió: "Ya hablamos de esto, ya sabes qué hacer".

Debido a que estaré arriesgando mi trabajo cuando finalmente tenga que decirle a mi gerente "no", quiero al menos poder documentar lo que mi gerente me ha pedido que haga. Actualmente no tengo ninguna forma de probar que me ha pedido que haga algo poco ético. ¿Hay un mejor enfoque que pueda tomar? Me preocupa más mi reputación profesional que mi trabajo.

¿Se supone que debes dárselo para que lo pase o se lo envías directamente al cliente?
Él no quiere enviar los escaneos él mismo. Quiere que lo hagamos por él.
Independientemente de lo que termines diciéndole a tu jefe, espero que hayas comenzado a buscar un nuevo trabajo. El cliente probablemente vería muy bien el hecho de que usted no está dispuesto a engañarlo.
@it-guy Puede encontrar útil esta página: Leyes de protección de denunciantes de California
OP, esta pregunta es muy similar a lo que está enfrentando, creo que las respuestas también pueden ser útiles para usted. lugar de trabajo.stackexchange.com/questions/105378/…
¿Conoce la motivación del informe falso? Pregunto porque si esto es tan inocuo como la ignorancia de las políticas habituales de InfoSec, como algunos han mencionado, la educación sobre esto posiblemente sea más una cuestión de tener planes de remediación en lugar de ser perfecto puede ser de gran ayuda.
¿Tu gerente dio una razón para modificar los resultados? ¿Se le pidió que eliminara todas las vulnerabilidades descubiertas del informe, o solo seleccionar algunas?
@DavidK Depende del cliente. Es muy posible que el propio cliente simplemente quiera que se marque una casilla reglamentaria sin necesidad de ninguna acción, y los jefes del OP solo están haciendo lo que el cliente quiere.
Hay algunas cosas que se pueden hacer para "blanquear" el informe, como volver a realizar la prueba, el plan de mitigación, la declaración del proveedor; se las sugeriría a su gerente. Si insisten o hacen las modificaciones ellos mismos asegúrate de no aparecer como autor. Sin embargo, no creo que sea un problema legal personal para ti.
¿Tiene su empresa un Manual del empleado u otro conjunto de políticas de empleados publicadas? Puede haber una sección o política allí sobre la interacción y la comunicación con los clientes, así como el comportamiento ético y honesto, que podría brindarle alguna orientación. Siempre leo el Manual del empleado cada vez que mis sobrecargas corporativas me piden que firme un formulario que indica que lo he recibido y lo he leído. Siempre se incluyen un montón de políticas que se sienten muy repetitivas y se pueden resumir como "No seas un %$!~#@ idiota", y siempre me pregunto por qué las personas necesitan que se les recuerde que deben ser buenas personas.
Soy terco, y no me comprometeré en algo como esto. De hecho, he respondido al intercambio de correos electrónicos que tiene diciendo que simplemente no falsificaré los datos, pero que entregaré los resultados, y si desea falsificar los datos, hágalo. Hice una copia oculta de otros, así como de mi cuenta de correo electrónico personal.
Trabajar en otros subproyectos es evasión. Debe poner la mayor parte de su ancho de banda de evitación en hacer circular su currículum, porque no hay final aquí donde mantiene su trabajo.
Relacionado: security.stackexchange.com/questions/11025/… . Estaba buscando otra pregunta donde básicamente dice lo siguiente: aunque hay certificaciones en el campo de la seguridad, es un campo muy pequeño donde el factor más dominante es la confianza. Si alguna vez te involucras en algún asunto judicial, eso puede ser suficiente para darte un dolor de cabeza en tu carrera, si no es que acabar con ella.
@it-guy entonces, ¿qué pasó? ¿Qué hiciste?

Respuestas (11)

Probablemente no quiera poner la solicitud por escrito porque sabe que puede recibir una citación más adelante. Creo que hay dos pasos a seguir:

  1. Documente lo que se le ha pedido que haga. Anote las fechas de estas directivas y estas conversaciones lo mejor que pueda. También debe hacer una copia de seguridad de los intercambios de correo electrónico a los que se ha aludido en esta solicitud, aunque sea vagamente. Las cuentas escritas no son evidencia 100% a prueba de balas, pero tienen más influencia que si solo estuviera tratando de recordarlo más tarde.
  2. Infórmele a su jefe que considera que lo que le está pidiendo que haga no es ético y que no está dispuesto a cambiar el informe o aprobar que otra persona cambie el informe (o cualquiera que sea el caso).

Siento que te hayan puesto en esta situación, pero estás haciendo lo correcto al apegarte a tu ética.

Quizás envíe un correo electrónico de confirmación al jefe.Re: Our discussion yesterday; you want me to X. Y. Z. Please confirm I have understood correctly?
¿Es posible que tales correos electrónicos ayuden a documentar las cosas, incluso si mi gerente no responde?
@it-guy Sí, ayudan, incluso si no obtienen respuesta; en general, crearán registros, particularmente con marca de tiempo, etc. y son difíciles (pero no imposibles) de falsificar (probablemente requeriría que el propietario del servicio de correo electrónico se involucre) - además, son fáciles de reenviar a quien sea cuando se escala (el jefe del jefe, abogado, etc.) - y si los archivos estan misteriosamente purgados, eso tampoco se ve bien
Dependiendo de las leyes locales, es posible que pueda grabar su pregunta verbalmente.
@it-guy: el hecho de que su gerente no responda no es suficiente para presentarse en la corte por sí solo para probar la culpabilidad del gerente, pero la ausencia de correos electrónicos que digan "Nunca le dije eso" puede ser suficiente para preguntarle al gerente por qué nunca respondió. (y si afirman que lo hicieron, para probar que lo hicieron). Incluso si eso no es suficiente para condenar al gerente, debería ser suficiente para no condenarlo a usted por mala conducta (nota: NO SOY ABOGADO)
No solo por apegarse a su ética: el jefe de OP lo está convirtiendo en el cordero sacrificado si se va al sur.
@Flater O un paso más allá, después de escribir un correo electrónico y solo obtener una respuesta verbal, envíe otro correo electrónico "como me dijo en persona, ahora seguiré adelante con esto". Ninguna respuesta a eso es aún más comprometedora.
@R.Schmitz: Sin embargo, hay una cuestión de exagerar eso. Estoy de acuerdo con lo que dice y es el mejor enfoque de CYA (que parece apropiado para la situación particularmente poco ética de OP), pero solo quiero agregar que no debe aplicarse ciegamente a cualquier casual "tal vez necesitaré para cubrir mi culo algún día, ¿quién sabe?" situación ya que creará fricciones entre usted y el gerente.
@Flater De hecho, ya va en una dirección ridícula y solo es aceptable/aconsejable porque corre el peligro de convertirse en un criminal sin querer.
@Flater FWIW, después de cualquier conversación verbal que tengo con alguien , siempre hago un seguimiento con un correo electrónico: "Por discusión: ...", todos lo agradecen. (Nos ayuda a evitar el inevitable "¿qué decidimos hacer, otra vez?") Si OP se acostumbra a las pequeñas cosas, entonces también puede funcionar para esta de manera muy efectiva. (Por supuesto, se supone que OP ya lo hace).
No pase por alto el BCC a su cuenta de correo electrónico personal. Demostrará que envió ese correo electrónico y cuándo, si llega el momento legal.
3. Actualice su CV/currículum y comience a encontrar su próximo trabajo, muy, muy lejos de estos yahoos.
1. Prepárese para el peor de los casos (lo que está haciendo ahora): actualice el currículum, prepare el consejo legal, prepare sus notas, registre la información de contacto del cliente 2. Envíe la confirmación a su jefe: confirme que puede enviar un informe completo de buenos escaneos y agregue la lista de pases fallidos que aún se están explorando (quizás no necesita ser completamente deshonesto y solo necesita presentar la información de manera única) 4. Ascienda en la cadena por encima de su jefe y notifique los riesgos asociados con el envío el informe 5. Toca ese silbato

No soy abogado, pero esto parece ir más allá del ámbito ético hacia uno legal.

Trabajo en TI, y mi gerente está tratando de que mi compañero de trabajo y yo enviemos un escaneo de seguridad falsificado a un cliente nuestro.

Esto suena a fraude.

Comuníquese con un abogado de inmediato para determinar la mejor manera de protegerse y averiguar si ha hecho algo que lo haga potencialmente responsable.

Un abogado puede pedirle que renuncie inmediatamente.

La documentación está bien, pero no haga copias personales de la información del cliente o de la empresa , como tomar fotografías en su teléfono, guardar hilos de correo electrónico de la empresa o enviar documentos a una cuenta de correo electrónico personal. Si ya lo ha hecho, elimínelos inmediatamente.

Si su empleador termina siendo descubierto (que ciertamente espero que sea el caso), su empleador podría tomar represalias presentando una demanda o denuncia penal en su contra (sin importar cuán frívola) en función de su manejo de los datos de la empresa.

Es posible que un abogado no le aconseje que haga lo ético. Si es legalmente más seguro para OP ignorar lo que está sucediendo y marcharse, eso aún deja a los clientes de su empleador altamente vulnerables a lo que permitan las vulnerabilidades.
@forest, mi suposición es que un abogado podría asesorar sobre cómo ser un denunciante de manera segura si eso es lo que el OP desea hacer.
@mcknz el abogado aconsejará al cliente que cubra sus bienes y se quede en la zona legal blanca o gris claro, maldita sea la ética.
Quiero decir, por supuesto que es un fraude, pero personalmente encuentro que las preocupaciones éticas son más convincentes que las legales. Dicho esto, estoy completamente de acuerdo con el consejo dado en esta respuesta.
@Mindwin: Por lo general, un abogado no puede aconsejar a un cliente que infrinja la ley, pero si existe alguna forma legal de lograr los objetivos del OP, incluidos los objetivos relacionados con la ética, el abogado puede aconsejarle cómo hacerlo. Los abogados no se limitan a decir: "Una opción legal es X. Ahora que les he hablado sobre X, no tengo que darles consejos sobre ninguna otra opción".
@Mindwin Quiero decir, hay una probabilidad muy alta de que la acción ética y la acción legal en este contexto se alineen. Éticamente, mentir sobre las vulnerabilidades de seguridad es malo. Legalmente, mentir sobre las vulnerabilidades de seguridad (que su empresa supuestamente fue contratada para ayudar, de lo contrario, ¿por qué está haciendo un informe al respecto?) Probablemente sea un fraude.
Puede agregar una nota de que el OP podría estar expuesto personalmente por fraude criminal. Un empleado generalmente está protegido de los percances de su empleador. Pero falsificar a sabiendas documentos sobre acciones por las cuales un cliente pagó dinero probablemente alcance el nivel de fraude criminal. "Mi jefe me dijo que" puede no proteger el OP. Agregaría un encabezado a esta Respuesta para enfatizar: Consulte a un abogado .

Hasta ahora, todo lo que el gerente me ha pedido que haga relacionado con esto se ha dicho verbalmente. Hice varios intentos fallidos para que él pusiera algo por escrito.

No le obligas a poner nada por escrito. Lo pones por escrito para él.

Para: mi jefe

Asunto: orden de trabajo

Hola jefe,

Como se discutió, puse [característica poco ética] sobre la que se acercó a mí ayer en la cartera de pedidos. Todavía tengo algunas preguntas sobre el aspecto legal de las cosas y me encantaría que pudiéramos hablar sobre ellas antes de comenzar a trabajar en ello.

Mejor, chico

Entonces podrías tener una reunión en la que te diga que sigas adelante con [característica poco ética], que no te preocupes por el aspecto legal, y te indique que ya no escribas correos electrónicos que resuman tus conversaciones. Olvidarás la parte de no escribir correos electrónicos y enviarás algo como esto:

Para: mi jefe

Asunto: orden de trabajo, seguimiento

Hola jefe,

Solo resumo la discusión de las 2 pm: ya verificó con el lado legal y la forma correcta de hacerlo es que necesito hacer [algo poco ético] y [algo poco ético]. Seguramente lo tendré listo para mañana por la tarde.

Mejor, chico

Si es ambiguo, elimina la ambigüedad en el resumen, lo que hace que sea su responsabilidad aclarar si lo entendiste mal.

No olvide imprimir los correos electrónicos y llevárselos a casa (o simplemente tome la pantalla con su teléfono), porque las empresas que están dispuestas a infringir la ley ocasionalmente están dispuestas a "perder" correos electrónicos.

"imprime los correos electrónicos y llévalos a casa" Según la respuesta de mcknz, esto puede ser muy desaconsejable.

Puedo hablar de parte de esto desde mi experiencia como coordinador de seguridad de la información en una empresa SaaS. (No puedo hablar de todo, porque mi empleador tiene una cultura de cumplimiento; nuestros ejecutivos nunca jugarían este juego).

  1. En la mayoría de los casos, estas solicitudes provienen de una parte del negocio del cliente que simplemente está marcando casillas antes de firmar nuevos proveedores. En los días cínicos, creo que solo sopesan estos informes o los cuentan.

  2. A veces es posible enviar un escaneo veraz a un cliente si incluye una explicación y un plan de remediación. Muchos clientes lo aceptarán y aumentará su credibilidad: a la gente de seguridad de la información corporativa le gusta la transparencia. (Sin embargo, harán un seguimiento para asegurarse de que haya remediado la situación).

  3. Es perfectamente razonable enviar solo un resumen de un escaneo a un cliente; los detalles de sus sistemas y vulnerabilidades en realidad no son asunto de nadie más que de usted, y revelarlos aumenta su superficie de ataque.

  4. Supongo que es posible enviar un escaneo falso a un cliente para obtener el negocio. Pero sería prudente preparar un plan de remediación y pedirle a su jefe que acepte implementarlo si lo hace.

Si envía un escaneo falso y luego algún cibercreep lo ataca con éxito, ¿qué podría pasar? A menos que esté en el cuidado de la salud, supongo que el peor de los casos es Equifax: publicidad desastrosa para su cliente y para usted. O su propietario podría enviar a su CTO a Fox News para que mintiera al respecto, como lo hicieron cuando Panera tuvo una infracción. Pero probablemente no será tan malo.

Si usted es una entidad comercial asociada a la HIPAA de atención médica y tiene datos de pacientes, se filtran y alguien fue negligente, ese es un delito que perfora el velo corporativo, lo que significa que las personas pueden ser penalmente responsables y no pueden esconderse detrás de una LLC. . En ese caso, sería prudente negarse a firmar.

Mire, es un dolor en el cuello... trabajar para una empresa que no tiene una cultura de cumplimiento. Tú lo sabes. Pero, es posible usar esto como una excusa para comenzar a impulsar cambios en su empresa. Mi sugerencia número 4 podría ser una forma de hacerlo funcionar.

La pregunta correcta para usted y sus ejecutivos es "¿cómo podemos hacer que los datos de nuestros clientes estén más seguros?" Comprometerse con esto podría llevarlo más lejos en ese camino. Solo algo para pensar.

Si se compromete, le sugiero que escriba un "memorándum para archivar" que describa la situación, las instrucciones que se le dieron y sus acciones. Imprímelo y llévatelo a casa. Es solo para usted, no para sus ejecutivos o colegas. Le ayudará a recordar exactamente quién dijo qué y cuándo si tiene que describir este incidente dentro de unos años.

+1 por mencionar una solución de compromiso. Me gusta cómo no es directamente confrontacional pero al mismo tiempo puede usarse para acciones futuras. Como profesional de InfoSec, sé muy bien que a veces la mejor solución puede no ser la ideal.
El plan de remediación para cometer fraude podría ser asegurarse de tener suficiente para pagar la fianza.
En realidad, atacar a las personas, jugar la carta poco ética , no es una forma muy efectiva de lograr que cambien. Y cualquiera que lea las noticias puede ver que lograr que la gente cambie es muy difícil y muy urgente.
¿Lo peor que puede pasar? ¿Recuerdas a ese ingeniero que acaba de ir a la cárcel por varios años por falsificar los resultados de las pruebas para cosas que iban al espacio?
Re: No llamaría exactamente "desastrosa" a la publicidad de Equifax. Todavía están perfectamente en el negocio y a sus clientes reales realmente no parece importarles. Definitivamente fue mala publicidad, pero no fue realmente un desastre si la empresa responsable sigue prosperando 2 años después.
Interesante interpretación Delioth.. gizmodo.com/…
La publicación del OP parece indicar que se le pide que no le informe al cliente sobre las vulnerabilidades que encontró, en lugar de lo contrario.
@Delioth - Equifax no tiene clientes. Son una de las tres empresas que juntas básicamente tienen un dominio absoluto sobre un sector que no debería estar en manos de empresas privadas. Mis padres no están contentos con el tiempo que han tenido que pasar en el teléfono para congelar y descongelar su crédito debido a esta bs.
@Mazura: Equifax definitivamente tiene clientes, pero no tú (o tus padres). Los prestamistas y las agencias de verificación de antecedentes pagan mucho dinero a Equifax por acceder a esos informes. Las personas sobre las que recopilan informes no son clientes, son los productos que vende Equifax. En cuanto a "no debería estar en manos de empresas privadas", todas las demás opciones serían mucho, MUCHO peores.

Desafortunadamente, he estado en esta situación varias veces en mi carrera.

Primero, no puedes seguir trabajando para esta persona, empieza a buscar otro trabajo.

En segundo lugar, le sugiero que haga lo que otro sugirió. Escríbalo todo en un correo electrónico y solicite una confirmación de sí/no. En ese correo electrónico, señalaría en el correo electrónico que lo que usted entiende que él le pide que haga no es ético y posiblemente sea ilegal. "Confirme con Sí o No, o no haré esta cosa poco ética y posiblemente ilegal". He solicitado un documento firmado o un correo electrónico firmado digitalmente antes, y siempre se niegan.

Una vez, me pidieron que aprobara algo como pasar las pruebas de vulnerabilidad y no lo hice porque ni siquiera me permitieron ejecutar el análisis. Las heces golpearon el dispositivo de movimiento de aire más tarde. Un coronel de la oficina del Inspector General se puso en contacto conmigo unos 6 meses después y me pidió una declaración por escrito, porque no podía producir copias de los correos electrónicos (no podía llevarlos conmigo)....muchos despidos, pero ya me había ido... Para entonces ya estaba del otro lado del mundo.

Dan y dbeer cubrieron gran parte de mis primeros pensamientos. Copie las piezas que pueda y registre manualmente el resto. Algo de esto es arriesgado, pero me concentro en su afirmación de que está dispuesto a perder este trabajo por esto (y lo aplaudo por ello).

También puede responder a su correo electrónico sin compromiso con copias del resultado original y un borrador alterado con marcas de agua "BORRADOR" y un correo electrónico personal con copia oculta.

"Según nuestra discusión, aquí están el original y un borrador de los escaneos con los resultados redactados". Suponiendo que te diga verbalmente que eso es lo que quiere y que lo envíes (y tal vez que dejes de enviar pruebas por correo electrónico), en ese momento estás un poco acorralado para decirle que no puedes cumplir con el envío de resultados de escaneo falsificados. Si desea salvar la relación, podría estar en orden una discusión sobre los planes de remediación. La mayoría de las auditorías en las que he participado están más interesadas en la verdad, seguidas de un plan para mejorar los riesgos. Pero eso puede no sostenerse aquí.

Él puede revisar los registros de correo electrónico y saber lo que estás haciendo. Si es así, también debe saber que ha documentado su malversación. Con suerte, eso le daría una pausa antes de amenazar con arruinarte. Podría hacer algo como amenazarte con algún tipo de NDA enviándote ese correo electrónico. Recuerda que es un movimiento de desesperación. La única forma en que puede probarlo es proporcionando evidencia de que está tratando de defraudar a un cliente.

Los correos electrónicos son excelentes siempre que no estén alojados en la empresa. Es común que una empresa se haga cargo de su correo electrónico al momento de la salida (o del despido) para que el jefe del OP pueda iniciar sesión fácilmente y eliminar el correo electrónico. Por lo tanto, es una buena idea exportar todo, al menos una vez a la semana para asegurarse de que al menos está cubierto, especialmente cuando alguien le dice que haga algo poco ético. Nada les impide continuar con su comportamiento poco ético y obtener acceso a su correo electrónico y eliminar los elementos apropiados o incluso falsificar comunicaciones.
Además, si aún no lo ha hecho, podría ser una buena idea firmar digitalmente sus correos electrónicos. Eso es 100% prueba de que lo enviaste y algo que no puede ser replicado por un mal actor a menos que comprometa todo lo que tienes.
Enviar información por correo electrónico podría proteger el OP, pero no enviaría ningún dato de la empresa o del cliente a un correo electrónico personal. Esto podría violar un NDA o un acuerdo similar. Si tiene una cuenta de gmail, por ejemplo, el OP esencialmente estaría alojando información patentada a través de un tercero.
@mcknz Eso es definitivamente una consideración. IANAL, pero personalmente, estaría dispuesto a enfrentar ese riesgo contra el fraude deliberado.
Escribiría explícitamente en el correo electrónico que se opone a esto, ya que es ilegal. También aconseje a su jefe explícitamente que no elimine la marca de agua "borrador" y use el informe fraudulento. E imprima una copia del correo electrónico y el documento, y guárdelo en algún lugar donde no lo encuentren fácilmente.
@Dan Los mensajes de correo electrónico firmados digitalmente no son "100% prueba de que lo envió"; lo difícil que sería para alguien hacerse con la clave y firmar un mensaje que no escribiste depende del entorno. En entornos corporativos, donde el "atacante" generalmente tiene control total sobre el software y el hardware que está utilizando, es posible que pueda descifrar fácilmente su clave. (Probablemente esté almacenado en un disco de la empresa, y es posible que tengan, por ejemplo, un software de monitoreo que capture su frase de contraseña). En este caso particular, no veo la necesidad de firmar digitalmente los mensajes de todos modos; luego puedes testificar de lo que escribiste.
@mcknz En algún momento, la información ya no está protegida por NDA o similares, especialmente cuando alguien viola las leyes o la ética. Cuando una persona hace algo malo, ya no estás limitado por los términos. Son leyes contractuales básicas en la mayoría de las naciones desarrolladas. Digamos que esto es médico y el empleador falsificó resultados para vender sus productos que podrían resultar fatales. ¿Te gustaría que alguien revelara eso? ¿O querrías a alguien que siga su llamado NDA?

En la empresa de alta tecnología para la que trabajo, tenemos un rol en la organización llamado Defensor del Pueblo. Es su deber independiente ofrecer asesoramiento y orientación en cuestiones éticas/legales como esta. En nuestra empresa puede ser completamente anónimo si es necesario. Si su empresa tiene esa función, le sugiero que se comunique con ellos para obtener orientación, ya que ese es su trabajo y deber.

consejos inútiles para un gerente que reporta directamente al CEO, quien está aplicando la presión original. Lea la pregunta
El trabajo de cualquier empleado, ya sea de Recursos Humanos o de un Defensor del Pueblo, es ante todo proteger a su empleador. A menos que este Defensor del Pueblo sea un tercero independiente (tal vez pagado por el gobierno o el sindicato), probablemente no será de ayuda. Bajo ninguna circunstancia asuma nunca que alguien empleado por el mismo empleador que usted pondrá sus intereses por encima de los de su empleador. Hay ciertos roles específicos, legalmente definidos, que tienen ciertas protecciones (por ejemplo, un Oficial de Protección de Datos GDPR no puede ser despedido por hacer su trabajo), pero eso aún no significa que sean independientes.
No está en los intereses de la empresa. Si el Defensor del Pueblo actúa en nombre de la junta, cerrará este sórdido lío.

Lo que funcionó para mí en el pasado: haga un informe que describa lo que realmente hizo, incluidos los pasajes que debe hacer/planea hacer, pero márquelos explícitamente como "todavía no hecho", envíelo a su jefe y dígale que lo haga. redactarlo como mejor le parezca, firmarlo y enviarlo al cliente.

Mucha gente de repente se vuelve mucho más cuidadosa si es su firma y no la firma de sus subordinados (en mi caso se trataba de un pedido a su "proveedor favorito" en lugar del más barato).

Si su jefe todavía quiere hacer esto, huya de esa empresa y, dependiendo de la gravedad de la situación, pase el conocimiento a las instituciones apropiadas (-> cuestión legal, hable con un abogado).

Mi idea es que si tiene los escaneos originales y los escaneos modificados, simplemente grabe los escaneos reales en un CD y envíelo por correo a la empresa. Incluya un archivo de texto encriptado con una frase clave que lo identifique. Si alguna vez necesita subir al estrado, por así decirlo, puede describir qué hay en ese archivo de texto encriptado para que tenga una posición. También es genial si tu jefe te tira debajo del autobús frente a la empresa, y puedes decir que incluyeste un archivo cifrado con una frase clave que solo tú conoces. Creo que ese es el mejor enfoque en términos de seguros. De lo contrario, creo que tu jefe y sus jefes pueden inventar lo que quieran y prácticamente no tienes pruebas, especialmente si te lo dijeron verbalmente.

Yo no soy un abogado. Estoy de acuerdo con el espíritu de esta respuesta, pero creo que el OP podría tener problemas por la divulgación no autorizada de información de la empresa, incluso si es por una buena causa. Mejor obtener asesoramiento legal.
Buen punto sobre la divulgación de información, pero esa es información que se supone que debe ir al cliente, si debe ir antes de ser "manipulada" o no es una cuestión diferente...
@SolarMike Supongo que ese es el caso, y que el OP estaría protegido por ese hecho, pero la ley es rara y no siempre justa.
@mcknz oh sí, "un hombre es inocente hasta que se demuestre que está en quiebra"...
Y cuando el cliente llama a su empresa para contarles sobre el CD, y se sabe que OP se ha negado a falsificar un escaneo de seguridad (no puede haber tantos proveedores, y no puede haber tanta gente haciendo un escaneo de seguridad. .. ese es un trabajo específico) luego OP decide si valió la pena.
Los NDA de @mcknz se utilizan para proteger el secreto comercial, por lo que no irá a una empresa diferente y divulgará información comercial o tomará información de patentes e irá a una empresa diferente y divulgará información. No protege a la empresa de mentir a sus clientes falsificando informes. A menos que ambas partes estén de acuerdo en que quieren mentir sobre el informe, pero sospecho que la empresa en cuestión no estuvo de acuerdo con un informe falso.

Creo que hay otra opción aquí que a la gente puede no gustarle pero que está siendo ignorada. Gira en torno a la idea de quién es la persona que está cometiendo fraude y cómo. Si su deseo es continuar trabajando en la empresa pero evitar hacer algo que pueda implicarlo, le recomendaría lo siguiente.

Cree la versión del informe que le pidió su jefe, luego envíeselo con el original adjunto y diga lo siguiente.

Creé el informe (con respuestas omitidas) que me pediste que preparara para {company}; lo encontrarás junto con el informe original adjunto a este correo electrónico para compararlo. Quiero que sepa que he preparado el informe con la esperanza de que lo use solo para fines internos. Realmente creo que la decisión de compartir la versión editada de este documento con {company} pone a nuestra empresa en una posición muy peligrosa, ya que algunos de los problemas del documento original son problemas reales que podrían aprovecharse. En este sentido, le insto a utilizar el original.

Luego, BCC el correo electrónico a una cuenta de correo electrónico personal e imprimía el correo electrónico completo (el correo electrónico sin procesar de su carpeta enviada con todos los encabezados). Si su jefe responde y le dice que envíe el correo electrónico a {company}, ese es el punto donde dice

Por mis propios problemas de responsabilidad personal, no puedo, en buena conciencia, ser la persona que envíe esto por correo electrónico a {company} y espero que eso no sea un problema para usted.

Yo diría que esto hace un par de cosas diferentes:

a) Independientemente del fraude o de la situación, su jefe le asignó una tarea de trabajo para crear un informe y esta puede ser una situación en la que podría ser despedido por no hacerlo. La creación del documento y la notificación de que se solicitó deja en claro que está dispuesto a hacerlo. complete las tareas de su gerente (realmente entiendo que la gente no estará de acuerdo con esto, pero lo veo como caminar hacia una línea ética sin cruzarla)

b) al proporcionar el informe en un correo electrónico a su gerente con el original, deja muy claro que el documento debe ser considerado para fines internos. Si su gerente decide usar ese documento, es su gerente quien ha cometido fraude, no usted. (Abordaré qué hacer si realmente lo envía más tarde)

c) enviar esto a su gerente les da la oportunidad por escrito de hacer lo correcto. su gerente podría cambiar de opinión... con suerte.

d) Imprimir y guardar el correo electrónico en BCC le brinda evidencia física importante que podría ser necesaria si experimenta repercusiones negativas de esta acción.

Finalmente, diría que hacer el informe no es una cuestión ética difícil. yo diría que

¿Cuál es su responsabilidad si sabe con certeza que su gerente/la empresa ha enviado el documento cometiendo fraude?

es una pregunta muy compleja, podría hacer varias recomendaciones en ese sentido, pero la verdadera que absolutamente debe hacer es.

Si su jefe utiliza el informe editado y, como resultado directo o indirecto, su empresa obtiene o continúa los contratos con la otra empresa. No publiques en stack exchange, gasta un par de cientos de dólares y obtén el consejo de un abogado laboral (eso será un consejo que tenga seguro de mala praxis)

Para mi hay dos alternativas:

  1. Hazlo, pero protégete

    Mantén un documento con las acciones que has realizado, con una fecha de creación/modificación anterior al correo que enviarás al cliente con vulnerabilidades excluidas. En este documento, recuerde sus conversaciones con su gerente, las vulnerabilidades excluidas y el enlace al informe real.

    Luego tome las medidas que le indicaron y envíe el correo con el informe editado a su gerente para advertirle sobre las vulnerabilidades (o busque otro correo que ya haya enviado hablando de ello).

    Si esto lo descubre el cliente, estarás protegido (e incluso si te preguntan por qué hiciste esta cosa poco ética a conciencia, podrías decir que te presionaron).

  2. Encuentra un nuevo trabajo y sal lo antes posible

    Este es un ambiente tóxico y/o una gestión tóxica que tiene aquí. Intenta salir sin quemar puentes y encuentra otro trabajo antes. Gana todo el tiempo que puedas sin tener que editar el informe, para que puedas salir antes de tener que hacerlo.

َ

"envíe el correo con el informe editado a su gerente": esto me da una buena idea: aunque el gerente se niega a responder por escrito, aún puede documentar lo que sucede enviando el informe sin editar al gerente, comentando las vulnerabilidades , mencionando que este es el informe que se debe enviar. De esta manera, documenta que usted y su gerente estaban al tanto de los problemas y tienen alguna evidencia de que los abordaron correctamente. Si todavía solo el informe editado llega al cliente, el hecho de que esto haya sucedido a pesar de sus preocupaciones documentadas debería sacarlo de la
gerente en foco.
Falsificar el informe de ninguna manera debería ser una opción aquí y no veo cómo un profesional decente lo consideraría siquiera. Solo mire lo que les sucedió a esos desarrolladores en el escándalo de las emisiones de BMW.
@ayrtonclark Estoy de acuerdo, pero en algunos casos realmente no puedes elegir. No estoy en los zapatos de esta persona: si se encuentra en una situación en la que no puede manejar perder su trabajo, la única opción que queda es seguir las instrucciones, cubriéndose tanto como pueda.
El jefe quiere que falsifique un informe. ¿Cómo debo documentar esta demanda poco ética?
RespuestasAquíPolítica de privacidad1y, 0v