Trabajo en TI y mi gerente está tratando de que mi compañero de trabajo y yo enviemos un escaneo de seguridad falsificado a un cliente nuestro. Básicamente, quiere que enviemos un análisis de seguridad modificado para excluir las vulnerabilidades que se descubrieron durante el análisis. Esto es parte de un proyecto más grande en el que estamos trabajando para el cliente.
Mi gerente reporta directamente al CEO de la empresa, y el mismo CEO está presionando a mi gerente para que termine este proyecto sin importar nada. Al CEO no le importa si se toman atajos o si se está haciendo algo poco ético.
Para mí, el tema es muy simple. No haré lo que mi gerente me pida porque lo considero muy poco ético. Debido a que esto es parte de un proyecto más grande, he estado trabajando en otras cosas en un intento de darme algo de tiempo para descubrir qué hacer. También estoy tratando de encontrar la mejor manera de documentar lo que mi gerente está tratando de que haga, lo que me lleva a mi pregunta.
Hasta ahora, todo lo que el gerente me ha pedido que haga relacionado con esto se ha dicho verbalmente. Hice varios intentos fallidos para que él pusiera algo por escrito. Ayer le pregunté por escrito qué quería que hiciera con los escaneos de seguridad y me respondió: "Ya hablamos de esto, ya sabes qué hacer".
Debido a que estaré arriesgando mi trabajo cuando finalmente tenga que decirle a mi gerente "no", quiero al menos poder documentar lo que mi gerente me ha pedido que haga. Actualmente no tengo ninguna forma de probar que me ha pedido que haga algo poco ético. ¿Hay un mejor enfoque que pueda tomar? Me preocupa más mi reputación profesional que mi trabajo.
Probablemente no quiera poner la solicitud por escrito porque sabe que puede recibir una citación más adelante. Creo que hay dos pasos a seguir:
Siento que te hayan puesto en esta situación, pero estás haciendo lo correcto al apegarte a tu ética.
Re: Our discussion yesterday; you want me to X. Y. Z. Please confirm I have understood correctly?
No soy abogado, pero esto parece ir más allá del ámbito ético hacia uno legal.
Trabajo en TI, y mi gerente está tratando de que mi compañero de trabajo y yo enviemos un escaneo de seguridad falsificado a un cliente nuestro.
Esto suena a fraude.
Comuníquese con un abogado de inmediato para determinar la mejor manera de protegerse y averiguar si ha hecho algo que lo haga potencialmente responsable.
Un abogado puede pedirle que renuncie inmediatamente.
La documentación está bien, pero no haga copias personales de la información del cliente o de la empresa , como tomar fotografías en su teléfono, guardar hilos de correo electrónico de la empresa o enviar documentos a una cuenta de correo electrónico personal. Si ya lo ha hecho, elimínelos inmediatamente.
Si su empleador termina siendo descubierto (que ciertamente espero que sea el caso), su empleador podría tomar represalias presentando una demanda o denuncia penal en su contra (sin importar cuán frívola) en función de su manejo de los datos de la empresa.
Hasta ahora, todo lo que el gerente me ha pedido que haga relacionado con esto se ha dicho verbalmente. Hice varios intentos fallidos para que él pusiera algo por escrito.
No le obligas a poner nada por escrito. Lo pones por escrito para él.
Para: mi jefe
Asunto: orden de trabajo
Hola jefe,
Como se discutió, puse [característica poco ética] sobre la que se acercó a mí ayer en la cartera de pedidos. Todavía tengo algunas preguntas sobre el aspecto legal de las cosas y me encantaría que pudiéramos hablar sobre ellas antes de comenzar a trabajar en ello.
Mejor, chico
Entonces podrías tener una reunión en la que te diga que sigas adelante con [característica poco ética], que no te preocupes por el aspecto legal, y te indique que ya no escribas correos electrónicos que resuman tus conversaciones. Olvidarás la parte de no escribir correos electrónicos y enviarás algo como esto:
Para: mi jefe
Asunto: orden de trabajo, seguimiento
Hola jefe,
Solo resumo la discusión de las 2 pm: ya verificó con el lado legal y la forma correcta de hacerlo es que necesito hacer [algo poco ético] y [algo poco ético]. Seguramente lo tendré listo para mañana por la tarde.
Mejor, chico
Si es ambiguo, elimina la ambigüedad en el resumen, lo que hace que sea su responsabilidad aclarar si lo entendiste mal.
No olvide imprimir los correos electrónicos y llevárselos a casa (o simplemente tome la pantalla con su teléfono), porque las empresas que están dispuestas a infringir la ley ocasionalmente están dispuestas a "perder" correos electrónicos.
Puedo hablar de parte de esto desde mi experiencia como coordinador de seguridad de la información en una empresa SaaS. (No puedo hablar de todo, porque mi empleador tiene una cultura de cumplimiento; nuestros ejecutivos nunca jugarían este juego).
En la mayoría de los casos, estas solicitudes provienen de una parte del negocio del cliente que simplemente está marcando casillas antes de firmar nuevos proveedores. En los días cínicos, creo que solo sopesan estos informes o los cuentan.
A veces es posible enviar un escaneo veraz a un cliente si incluye una explicación y un plan de remediación. Muchos clientes lo aceptarán y aumentará su credibilidad: a la gente de seguridad de la información corporativa le gusta la transparencia. (Sin embargo, harán un seguimiento para asegurarse de que haya remediado la situación).
Es perfectamente razonable enviar solo un resumen de un escaneo a un cliente; los detalles de sus sistemas y vulnerabilidades en realidad no son asunto de nadie más que de usted, y revelarlos aumenta su superficie de ataque.
Supongo que es posible enviar un escaneo falso a un cliente para obtener el negocio. Pero sería prudente preparar un plan de remediación y pedirle a su jefe que acepte implementarlo si lo hace.
Si envía un escaneo falso y luego algún cibercreep lo ataca con éxito, ¿qué podría pasar? A menos que esté en el cuidado de la salud, supongo que el peor de los casos es Equifax: publicidad desastrosa para su cliente y para usted. O su propietario podría enviar a su CTO a Fox News para que mintiera al respecto, como lo hicieron cuando Panera tuvo una infracción. Pero probablemente no será tan malo.
Si usted es una entidad comercial asociada a la HIPAA de atención médica y tiene datos de pacientes, se filtran y alguien fue negligente, ese es un delito que perfora el velo corporativo, lo que significa que las personas pueden ser penalmente responsables y no pueden esconderse detrás de una LLC. . En ese caso, sería prudente negarse a firmar.
Mire, es un dolor en el cuello... trabajar para una empresa que no tiene una cultura de cumplimiento. Tú lo sabes. Pero, es posible usar esto como una excusa para comenzar a impulsar cambios en su empresa. Mi sugerencia número 4 podría ser una forma de hacerlo funcionar.
La pregunta correcta para usted y sus ejecutivos es "¿cómo podemos hacer que los datos de nuestros clientes estén más seguros?" Comprometerse con esto podría llevarlo más lejos en ese camino. Solo algo para pensar.
Si se compromete, le sugiero que escriba un "memorándum para archivar" que describa la situación, las instrucciones que se le dieron y sus acciones. Imprímelo y llévatelo a casa. Es solo para usted, no para sus ejecutivos o colegas. Le ayudará a recordar exactamente quién dijo qué y cuándo si tiene que describir este incidente dentro de unos años.
Desafortunadamente, he estado en esta situación varias veces en mi carrera.
Primero, no puedes seguir trabajando para esta persona, empieza a buscar otro trabajo.
En segundo lugar, le sugiero que haga lo que otro sugirió. Escríbalo todo en un correo electrónico y solicite una confirmación de sí/no. En ese correo electrónico, señalaría en el correo electrónico que lo que usted entiende que él le pide que haga no es ético y posiblemente sea ilegal. "Confirme con Sí o No, o no haré esta cosa poco ética y posiblemente ilegal". He solicitado un documento firmado o un correo electrónico firmado digitalmente antes, y siempre se niegan.
Una vez, me pidieron que aprobara algo como pasar las pruebas de vulnerabilidad y no lo hice porque ni siquiera me permitieron ejecutar el análisis. Las heces golpearon el dispositivo de movimiento de aire más tarde. Un coronel de la oficina del Inspector General se puso en contacto conmigo unos 6 meses después y me pidió una declaración por escrito, porque no podía producir copias de los correos electrónicos (no podía llevarlos conmigo)....muchos despidos, pero ya me había ido... Para entonces ya estaba del otro lado del mundo.
Dan y dbeer cubrieron gran parte de mis primeros pensamientos. Copie las piezas que pueda y registre manualmente el resto. Algo de esto es arriesgado, pero me concentro en su afirmación de que está dispuesto a perder este trabajo por esto (y lo aplaudo por ello).
También puede responder a su correo electrónico sin compromiso con copias del resultado original y un borrador alterado con marcas de agua "BORRADOR" y un correo electrónico personal con copia oculta.
"Según nuestra discusión, aquí están el original y un borrador de los escaneos con los resultados redactados". Suponiendo que te diga verbalmente que eso es lo que quiere y que lo envíes (y tal vez que dejes de enviar pruebas por correo electrónico), en ese momento estás un poco acorralado para decirle que no puedes cumplir con el envío de resultados de escaneo falsificados. Si desea salvar la relación, podría estar en orden una discusión sobre los planes de remediación. La mayoría de las auditorías en las que he participado están más interesadas en la verdad, seguidas de un plan para mejorar los riesgos. Pero eso puede no sostenerse aquí.
Él puede revisar los registros de correo electrónico y saber lo que estás haciendo. Si es así, también debe saber que ha documentado su malversación. Con suerte, eso le daría una pausa antes de amenazar con arruinarte. Podría hacer algo como amenazarte con algún tipo de NDA enviándote ese correo electrónico. Recuerda que es un movimiento de desesperación. La única forma en que puede probarlo es proporcionando evidencia de que está tratando de defraudar a un cliente.
En la empresa de alta tecnología para la que trabajo, tenemos un rol en la organización llamado Defensor del Pueblo. Es su deber independiente ofrecer asesoramiento y orientación en cuestiones éticas/legales como esta. En nuestra empresa puede ser completamente anónimo si es necesario. Si su empresa tiene esa función, le sugiero que se comunique con ellos para obtener orientación, ya que ese es su trabajo y deber.
Lo que funcionó para mí en el pasado: haga un informe que describa lo que realmente hizo, incluidos los pasajes que debe hacer/planea hacer, pero márquelos explícitamente como "todavía no hecho", envíelo a su jefe y dígale que lo haga. redactarlo como mejor le parezca, firmarlo y enviarlo al cliente.
Mucha gente de repente se vuelve mucho más cuidadosa si es su firma y no la firma de sus subordinados (en mi caso se trataba de un pedido a su "proveedor favorito" en lugar del más barato).
Si su jefe todavía quiere hacer esto, huya de esa empresa y, dependiendo de la gravedad de la situación, pase el conocimiento a las instituciones apropiadas (-> cuestión legal, hable con un abogado).
Mi idea es que si tiene los escaneos originales y los escaneos modificados, simplemente grabe los escaneos reales en un CD y envíelo por correo a la empresa. Incluya un archivo de texto encriptado con una frase clave que lo identifique. Si alguna vez necesita subir al estrado, por así decirlo, puede describir qué hay en ese archivo de texto encriptado para que tenga una posición. También es genial si tu jefe te tira debajo del autobús frente a la empresa, y puedes decir que incluyeste un archivo cifrado con una frase clave que solo tú conoces. Creo que ese es el mejor enfoque en términos de seguros. De lo contrario, creo que tu jefe y sus jefes pueden inventar lo que quieran y prácticamente no tienes pruebas, especialmente si te lo dijeron verbalmente.
Creo que hay otra opción aquí que a la gente puede no gustarle pero que está siendo ignorada. Gira en torno a la idea de quién es la persona que está cometiendo fraude y cómo. Si su deseo es continuar trabajando en la empresa pero evitar hacer algo que pueda implicarlo, le recomendaría lo siguiente.
Cree la versión del informe que le pidió su jefe, luego envíeselo con el original adjunto y diga lo siguiente.
Creé el informe (con respuestas omitidas) que me pediste que preparara para {company}; lo encontrarás junto con el informe original adjunto a este correo electrónico para compararlo. Quiero que sepa que he preparado el informe con la esperanza de que lo use solo para fines internos. Realmente creo que la decisión de compartir la versión editada de este documento con {company} pone a nuestra empresa en una posición muy peligrosa, ya que algunos de los problemas del documento original son problemas reales que podrían aprovecharse. En este sentido, le insto a utilizar el original.
Luego, BCC el correo electrónico a una cuenta de correo electrónico personal e imprimía el correo electrónico completo (el correo electrónico sin procesar de su carpeta enviada con todos los encabezados). Si su jefe responde y le dice que envíe el correo electrónico a {company}, ese es el punto donde dice
Por mis propios problemas de responsabilidad personal, no puedo, en buena conciencia, ser la persona que envíe esto por correo electrónico a {company} y espero que eso no sea un problema para usted.
Yo diría que esto hace un par de cosas diferentes:
a) Independientemente del fraude o de la situación, su jefe le asignó una tarea de trabajo para crear un informe y esta puede ser una situación en la que podría ser despedido por no hacerlo. La creación del documento y la notificación de que se solicitó deja en claro que está dispuesto a hacerlo. complete las tareas de su gerente (realmente entiendo que la gente no estará de acuerdo con esto, pero lo veo como caminar hacia una línea ética sin cruzarla)
b) al proporcionar el informe en un correo electrónico a su gerente con el original, deja muy claro que el documento debe ser considerado para fines internos. Si su gerente decide usar ese documento, es su gerente quien ha cometido fraude, no usted. (Abordaré qué hacer si realmente lo envía más tarde)
c) enviar esto a su gerente les da la oportunidad por escrito de hacer lo correcto. su gerente podría cambiar de opinión... con suerte.
d) Imprimir y guardar el correo electrónico en BCC le brinda evidencia física importante que podría ser necesaria si experimenta repercusiones negativas de esta acción.
Finalmente, diría que hacer el informe no es una cuestión ética difícil. yo diría que
¿Cuál es su responsabilidad si sabe con certeza que su gerente/la empresa ha enviado el documento cometiendo fraude?
es una pregunta muy compleja, podría hacer varias recomendaciones en ese sentido, pero la verdadera que absolutamente debe hacer es.
Si su jefe utiliza el informe editado y, como resultado directo o indirecto, su empresa obtiene o continúa los contratos con la otra empresa. No publiques en stack exchange, gasta un par de cientos de dólares y obtén el consejo de un abogado laboral (eso será un consejo que tenga seguro de mala praxis)
Para mi hay dos alternativas:
Hazlo, pero protégete
Mantén un documento con las acciones que has realizado, con una fecha de creación/modificación anterior al correo que enviarás al cliente con vulnerabilidades excluidas. En este documento, recuerde sus conversaciones con su gerente, las vulnerabilidades excluidas y el enlace al informe real.
Luego tome las medidas que le indicaron y envíe el correo con el informe editado a su gerente para advertirle sobre las vulnerabilidades (o busque otro correo que ya haya enviado hablando de ello).
Si esto lo descubre el cliente, estarás protegido (e incluso si te preguntan por qué hiciste esta cosa poco ética a conciencia, podrías decir que te presionaron).
Encuentra un nuevo trabajo y sal lo antes posible
Este es un ambiente tóxico y/o una gestión tóxica que tiene aquí. Intenta salir sin quemar puentes y encuentra otro trabajo antes. Gana todo el tiempo que puedas sin tener que editar el informe, para que puedas salir antes de tener que hacerlo.
َ
Semifriki
usuario77653
david k
david k
Antonio
Semifriki
S gris
Pablo Johnson
eckes
Adán Porad
Ron Maupin
Harper - Reincorporar a Monica
Walfrat
alex m