Obligado por el cliente a eliminar la función de seguridad, ahora el cliente me culpa por el robo de datos

Durante los últimos meses, el gerente de proyecto (PM) de un cliente solicitó muchas veces eliminar algunas características de seguridad que pusimos en su portal web para "facilitar nuestra operatividad diaria" (sus propias palabras).

Inicialmente estas solicitudes fueron tranquilas y logramos detenerlas. Después de un tiempo, el PM se volvió más apremiante, así que yo (como líder del equipo del proyecto) escribí un correo electrónico detallado con evidencia clara de los peligros en los que podría incurrir al cumplir con sus demandas (copié a mi jefe, mi equipo, nuestra división de seguridad de TI , nuestra división de prueba/control de calidad y su jefe). Después de unos días, PM solo me respondió (todos los demás destinatarios eliminados) de una manera muy poco profesional (todas las oraciones en mayúsculas, insultos directos y personales, amenazas de demandas por incompetencia, etc.) ordenándome aplicar sus solicitudes o "estar preparado". enfrentar consecuencias muy graves” (otra vez sus propias palabras, mayúsculas quitadas por mí). Inmediatamente discutí el tema con mi jefa y ella sugirió hacer lo que PM había solicitado y ella habría enviado un correo electrónico (con todos los destinatarios anteriores copiados) diciendo que hicimos todas las solicitudes pero enfatizando nuevamente nuestras preocupaciones. Así que eliminé las funciones de seguridad y ella escribió el correo electrónico.

Desde ese día hasta ayer, silencio total. Ayer por la mañana PM me escribió que su equipo de seguridad descubrió que alguien ingresó ilegalmente al portal y se encontraron algunos datos privados de sus clientes en línea. PM también dijo que esto fue "todo culpa mía" porque desconocían las posibles consecuencias de "su elección de desactivar las funciones de seguridad de nuestro portal". Mirando cómo PM describió lo que había sucedido, noté que este era (literalmente, paso a paso) uno de los escenarios que destaqué como una posible amenaza a la seguridad. Fui a ver a mi jefa nuevamente y ella decidió que ya habíamos tenido suficiente PM. Entonces, para la próxima semana, organizará una llamada para discutir la situación conmigo, ella, nuestro gerente general de división (2 niveles por encima de mi jefe, por lo tanto, 3 por encima de mí), un compañero de trabajo senior de nuestra división de seguridad, PM y su jefe.

Aunque creo que no hice nada malo y puedo contar con mi jefe, también tengo miedo de que pueda haber consecuencias para mí. ¿Cómo puedo estar completamente preparado para esta importante llamada y cubrir mis espaldas? ¿Cómo debo comportarme durante el mismo?

No veo por qué tu jefe te culpa por la pérdida de datos. ¿Quién exactamente te está culpando? ¿Parece que es tu compañero de trabajo de TI? ¿Por qué te preocupa su declaración? ¿Tienen el poder para despedirte?
@Donald PM me culpa del problema. Confío en mi jefe y en mi empresa. No tengo miedo de que me despidan. Solo quiero estar 100% seguro de que hice todo correctamente y quiero saber si necesito estar preparado de una manera especial para la llamada.
No sé si afectaría en algo, pero ¿hay algún proceso de verificación estándar para cambiar funciones? ¿Hay alguna posibilidad de que puedan afirmar que no siguió el procedimiento adecuado para implementar el cambio? (¿Tal vez es hora de discutir eso con la compañía también?) Un escenario que imagino es donde alguien más obtiene acceso al correo electrónico y solicita que se elimine la función con fines nefastos. Conozco al menos una situación en la que alguien intentó hacer esto con la dirección de facturación de su contrato; pero el cliente pensó que algo andaba mal y llamó para verificar primero.
¿Hay alguna duda o disputa de que este correo electrónico "muy poco profesional" es real y legítimo (es decir, enviado por PM)? Los correos electrónicos son fáciles de falsificar.
@JMac cuando un cambio en las características del proyecto requiere un cambio de código, se requiere un documento para continuar con la solicitud. Cuando se requiere un cambio de configuración, un correo electrónico con los destinatarios adecuados es suficiente. Aquí estábamos en el segundo escenario, por lo que el correo electrónico era la forma adecuada de preguntar, se siguió el procedimiento estándar
@fraxinus sin disputa, el correo electrónico es genuino, sin dudas
¿Reenvió el correo electrónico a su jefe antes o después de realizar los cambios?
@EJoshuaS-ReinstateMonica Reenvié el correo electrónico antes de aplicar cualquier cambio e hice los cambios solo después de hablar con mi jefe y solo después de que ella escribió el correo electrónico de confirmación
@JackJack Bueno, esa fue la forma inteligente de hacerlo, por lo que no hay absolutamente ninguna razón por la que deba tener ningún tipo de problema aquí. Parece que lo hiciste todo bien conmigo.
Por curiosidad, ¿cómo fueron las cosas después?
@frarugi87 Por primera vez en mi vida veo a una persona despedida en el acto y sus jefes le gritan (quienes afirmaron que habrían demandado al primer ministro por dañar intencionalmente a su empresa y a sus clientes). Después de eso, se disculparon muchas veces por la conducta del PM y pidieron volver a habilitar todas las funciones de seguridad (lo hice antes de que terminara la llamada). Todos quedaron satisfechos y no tenemos ningún otro problema con este cliente.

Respuestas (5)

¿Cómo puedo estar completamente preparado para esta importante llamada y cubrir mis espaldas? ¿Cómo debo comportarme durante el mismo?

Parece que tu jefe lo tiene cubierto.

Háblalo con tu jefe. Pregúntale si hay algo más que debas hacer como preparación. Entonces sigue su ejemplo.

Lleve sus notas a cualquier reunión. Úsalos solo cuando tu jefe te lo pida.

No estés a la defensiva. Actúa como si hubieras hecho todo lo que se te pidió a pesar de tus recomendaciones profesionales, porque eso es exactamente lo que sucedió. Indique que continúa feliz de hacer lo que se le solicite.

Empiece a pensar en cómo puede volver a implementar las funciones de seguridad que le dijeron que eliminara. Prepare estimaciones para hacerlo.

Y no te preocupes tanto. Has manejado esto profesionalmente. Presentar las opciones y sus recomendaciones profesionales fue inteligente. Enviarlo a la gerencia cuando sus advertencias fueron anuladas fue perfectamente apropiado. Hacer lo que el PM bien informado requería era correcto. Y claramente, tu jefe te cubre las espaldas. Todo esto está bien.

@PatriciaShanahan Debido a que este portal es altamente configurable, la restauración es una simple modificación del archivo de configuración y un reinicio de la aplicación
@JackJack, tal vez, pero (a) el cliente no necesita saber eso y (b) pero aún debe ser facturable.
También agregaría que futuras solicitudes de este tipo deben responderse con un "necesitamos una solicitud de cambio de requisitos formales y aprobación" en lugar de solo un correo electrónico. Esto ayuda al rastro en papel y a todos los que necesitan tomar conciencia.

Usted destacó las preocupaciones de seguridad. Todos estaban al tanto de lo que sucedería. Tienes un rastro de papel.

Además, lo más importante, tu jefe te cubrirá las espaldas. Entonces, relájese e imprima los documentos ahora mismo y resalte sus advertencias como las menciona TheoreticalMinimum en los comentarios. Tráelos como prueba cuando te lo pidan. Estás completamente seguro en esto.

Imprima especialmente el correo electrónico amenazante que el PM envió solo al OP. Esa es la prueba irrefutable por ser la decisión del primer ministro eliminar las características.
Imprime también todas las cabeceras de estos correos.
OP está a salvo siempre que su empresa quiera "ganar" el argumento más de lo que quieren mantener al cliente como cliente. OP debe comenzar a preparar su CV
Tenga en cuenta "todos los encabezados" en el comentario de @fraxinus. Muchos lectores de correo solo muestran un resumen por defecto. Debería ver una serie de líneas que dicen "Recibido de X por Y...", donde X e Y son servidores en una cadena desde la máquina de envío hasta su servidor de correo.

Ya son buenas respuestas, pero una cosa para agregar.

¿Cómo puedo estar completamente preparado para esta importante llamada?

Debe discutir con su jefe exactamente cómo se supone que debe ser esta reunión, especialmente si no tiene mucha experiencia con este tipo de cosas.

  1. ¿Cuál es el objetivo y el resultado deseado de la reunión?
  2. ¿Cuál es la agenda y quién va a conducir?
  3. ¿Cuáles son sus roles, cuándo debe hablar y cuándo debe callarse?
  4. ¿Cuáles son exactamente los documentos de respaldo que debe tener? En qué forma deben estar y cuándo y cómo deben presentarse. Revíselos por adelantado
  5. ¿Cuáles son algunas frases clave que debería usar? Escríbelas y memorízalas.
  6. Discuta qué posibles reacciones/argumentos podría tener la otra parte y cómo responderá/reaccionará a ellos

Si va a una reunión potencialmente controvertida y estresante, es útil estar bien preparado. Cuanto más pueda anticipar lo que sucederá exactamente, mejor podrá reaccionar, más tranquilo se sentirá y más probable es que obtenga el resultado deseado.

Una de las posibles estrategias de reunión es encontrar a la persona más débil del otro lado de la mesa y comenzar a hackearla: trate de agotarla, irritarla o confundirla para que diga algo incorrecto o inapropiado. Asegúrate de que no eres tú.

Recuerda: estás bien. Hiciste todo lo correcto y tienes documentación para respaldarlo.

Creo que este es un muy buen consejo. Tenga en cuenta quiénes son los participantes de la reunión, cuál es el resultado, qué debe decir (y cómo expresarlo), qué no debe decir y qué frases debe evitar. El OP mencionó que se filtraron datos "privados". No está 100% claro lo que eso significa, pero si incluye datos de identificación personal protegidos, es muy posible que haya culpa legal, incluso criminal, dando vueltas. El OP no hizo nada malo, por lo que debe evitar frases como "Lo siento", que pueden interpretarse como una aceptación de la responsabilidad.

Ya hay muchas buenas respuestas, pero un punto adicional que no he visto bien cubierto sobre su comportamiento durante la reunión. Mantén la calma.

A juzgar por el tono de los correos electrónicos que ha recibido de este cliente, prepárese para que le griten, le culpen y, en general, sean desagradables. Déjalos. Déjelos que digan todo lo que sientan que necesitan decir y no los interrumpa. Deja que se agoten y no te lo tomes como algo personal. Luego, cuando sea su turno de hablar, puede presentar con calma sus correos electrónicos impresos donde describió todos los riesgos y aprobaron los cambios de todos modos. Intentarán arrastrarte a una pelea a gritos, pero es realmente difícil hacerlo con alguien que no se involucra. No dejes que te arrastren a su nivel.

No hiciste nada malo y tienes los documentos para probarlo. Es probable que este cliente realmente sepa que está equivocado, pero está tratando de culparte a ti para salvarse. Si dejas que se metan debajo de tu piel y se alteren, esa es su última oportunidad de arrastrarte con ellos. No funcionará si te mantienes calmado y profesional.

Después de unos días, PM solo me respondió (todos los demás destinatarios eliminados) de una manera muy poco profesional (todas las oraciones en mayúsculas, insultos directos y personales, amenazas de demandas por incompetencia, etc.) ordenándome aplicar sus solicitudes o "estar preparado". enfrentar consecuencias muy graves”

Si aún no lo ha hecho, continúe y exporte esos correos electrónicos a otro lugar en caso de que no pueda acceder a los correos electrónicos por cualquier motivo.

A continuación, le dijiste a tu jefe y le mostraste los correos electrónicos explicando todo lo que podría pasar que pasó. Ahora es un juego de espera. Si te arrojan debajo del autobús, puedes apostar que tus correos electrónicos desaparecerán misteriosamente y dispararás.

Todos los correos electrónicos ya fueron reenviados a mi jefa, ella los redactó. Ella también escribió el último correo electrónico por sí misma.
@JackJack Por curiosidad, ¿los reenvió antes o después de realizar los cambios?
Obligado por el cliente a eliminar la función de seguridad, ahora el cliente me culpa por el robo de datos
RespuestasAquíPolítica de privacidad1y, 0v