Есть ли у системного администратора вещи, которые могут быть неочевидными, но которые не следует выполнять с этической или юридической точки зрения, даже если это предписано? Меня больше интересует закон, какие действия могут серьезно повредить вашему будущему перевозчику или вызвать у вас проблемы с законом.
Например, никогда не бывает нормально удалять определенные типы файлов, даже когда босс запрашивает это?
В частности, меня интересуют Соединенные Штаты. Кроме того, я сейчас не в такой ситуации, еще один вопрос заставил меня подумать, что это информация, которую я должен знать.
На самом деле, я не пытаюсь вызвать обсуждение этики или сложных сценариев, когда лучше всего было бы вызвать юриста. Но контрольный список, или литература, или некоторые законы, о которых должен знать каждый ИТ-специалист.
С этической точки зрения, вы могли бы сделать намного хуже, чем следовать http://lopsa.org/CodeOfEthics
Я думаю, что если вы будете вести бумажный / электронный след того, что вас просят ваше начальство, это должно уберечь вас от любых юридических проблем.
т.е. не удаляйте просто некоторые записи, потому что ваш босс сказал вам об этом во время разговора у кулера с водой, потому что это может в конечном итоге втянуть вас в дерьмо, о котором вы не знаете, и ваш босс может отрицать, что когда-либо говорил вам делать такие вещь. Если ваш босс говорит вам что-то устно, вернитесь в свой офис и отправьте ему / ей электронное письмо, «подтверждающее» их запрос к вам.
Этика - действительно сложная вещь для системного администратора, поскольку мы затрагиваем очень многие аспекты бизнеса, но если что-то кажется вам подозрительным, то получите это в письменном виде или распечатайте, прежде чем делать это.
Как американец, если вы отвечаете за системы CMS, которые хранят финансовые данные, вам следует ознакомиться с Закон Сарбейнса-Оксли, который налагает на предприятия обязательства хранить определенные типы финансовой отчетности в течение определенного периода времени.
(Обязательно: IANAL)
Я не юрист, поэтому отнеситесь к следующему с недоверием.
Насколько мне известно, единственная проблема с законностью заключается в том, что вы удаляете доказательства незаконной деятельности. Это определенно может вызвать у вас проблемы.
С другой стороны, если вы удалили записи, которые не содержат доказательств чего-либо противозаконного, но все же получили повестку в суд после факта, маловероятно, что у вас возникнут проблемы из-за этого.
Это интересный вопрос. Что мы делаем, когда работодатель просит сделать что-то явно аморальное и, возможно, незаконное.
Это может быть доступ к личным файлам или данным, публикация материалов в условиях эмбарго, удаление данных, которые следует сохранить, или сохранение данных, которые следует удалить.
Думаю, ответ на этот вопрос должен быть достаточно субъективным. В разных правовых системах у сотрудников разная защита и разные обязанности. Ваше положение и статус в компании могут определять доступные вам варианты. Затем есть личный фактор. Как далеко вы готовы зайти, чтобы сохранить работу?
Лично я отказался распространять нежелательную почту и активно предотвращал незаконную публикацию результатов голосования. Оба раза мне удавалось найти поддержку в юридическом отделе и высшем руководстве соответственно, но это тонкая грань, которую нужно пройти - в обоих случаях небольшая ошибка могла стоить мне моей работы даже в соответствии с законами Норвегии о защите.
Суть в том, что каждый человек должен рассмотреть ситуацию, взвесить обязанности и лояльность, оценить риск, принять решение - и, наконец, жить с последствиями.
Этика - это удивительно подвижное понятие, которое сильно различается в зависимости от культуры и места. 'Нуф сказал по этому поводу.
Вам нужно сначала понять, как местные законы применимы к ситуации, потому что иногда все заканчивается прямо здесь. Я не верю, что кто-либо из нас должен следовать инструкциям, которые, как мы знаем, нарушают закон, если мы также не готовы принять любые последствия, возникающие в результате этого. Следующий шаг - применить свои личные убеждения (этические, моральные, религиозные и т. Д.). Иногда возникает конфликт, и вы должны принять это решение самостоятельно.
Я лично отказывался что-то делать в ряде случаев, потому что не верил, что то, что меня просили сделать, было «правильным» ни с юридической, ни с моральной точки зрения. Иногда я выигрывал спор, а в других случаях кто-то другой выполнял те же инструкции, потому что они не так сильно относились к этому (или боялись потерять работу). Хотя меня лично никогда не увольняли в такой ситуации, я знаю других, кто был. Если я буду чувствовать себя достаточно сильно, я буду каждый раз рисковать.
На самом деле я написал статью под названием «Управление менеджером», посвященную этой теме, лет 6 назад или около того. Но все сводится к ** Прикрой свою задницу
Принцип все администраторы должны жить CYA всегда. Неважно, кто главный, всегда делайте это «на всякий случай». Вот почему Компьютерная политика всегда должен быть реализован, он освобождает вас от ответственности при условии, что они подписывают его или, по крайней мере, передают его с таким намерением. То же самое и с приглашением входа в систему локальной политики безопасности, используйте его и по этой причине. Как только они войдут в свои компьютеры, скажите, что они согласны с условиями политики.
У меня есть личный опыт в подобных ситуациях, и угадайте, что случилось со мной, когда ФБР арестовало нашего финансового директора за несколько обвинения? Ничего, потому что я CYA и все доказательства были сохранены на случай, если что-то случится.
Убедитесь, что у вас есть политика, основанная на отраслевых требованиях (в зависимости от того, что делает компания, эти требования будут разными)
Если меня когда-либо просят прикоснуться к электронной почте другого пользователя или сделать какое-то открытие, я получаю что-то в письменном виде от нашего отдела кадров с их подписью. Я прямо говорю им, что для меня это CYA. Люди готовы принять это, когда вы говорите им, что не хотите нарушать конфиденциальность информации, и это также помогает завоевать доверие, что вы обеспокоены.
Однако лучшая страховка - это полные резервные копии в удаленном хранилище. В частности, если у вас есть действующая политика хранения в каком-то безопасном месте на несколько лет (в моей организации есть сейф в wells fargo, кассеты каждый месяц идут туда и остаются там на неопределенный срок) Если вы удалите что-то, что оказалось незаконным вы можете указать исследователям на резервные копии. Если кто-то когда-нибудь захочет удалить резервные копии, то определенно происходит что-то незаконное.
Сначала IANAL, но я занимался юридическими вопросами в области ИТ. Насколько я понимаю, действия ИТ сводятся к тому, что разумно ожидать от ИТ-специалиста. Например, начальник говорит вам удалить учетные файлы. Вы ЗНАЕТЕ, что они находятся под следствием. Вы делаете это, и вас, скорее всего, обвинят в создании препятствий. С другой стороны, та же ситуация, и вы не подозревали, что было проведено какое-либо расследование (и правительство должно принять это решение), и разумно, что вас попросили бы удалить эти файлы, с вами все будет в порядке.
как указывалось ранее, могут применяться другие правила. В биотехнологии 21 будут применяться правила части 11 CFR
Считается, что как ИТ-сотрудник вы имеете некоторое представление о том, что разумно и принято (я считаю, что это закон). Однако для них не является незаконным увольнение вас за невыполнение запрошенных действий, к ним применяются федеральные законы о разоблачителях. Небольшой комфорт, поскольку вы, вероятно, будете заметным мужчиной во многих небольших штатах.
Отличный вопрос. Я не могу ничего сказать о Соединенных Штатах, так как я там не работаю, но этика / законность были одной из тех вещей, которые часто возникают в работе любого человека с повышенными системными привилегиями, но, похоже, нет быть где-нибудь рядом с достаточно формализованным руководством по. Лично мне хочется, чтобы в отрасли была сильная отраслевая организация, которая представляла бы нас так же, как врачи и юристы. Я знаю, что Британское компьютерное общество (только для Великобритании) опубликовало правила поведения для участников, которые заставили меня присоединиться, чтобы почувствовать, что нарушение этого кода будет разумной соответствующей защитой для отклонения неэтичного запроса. Я предполагаю, что, возможно, ACM может быть похожим с точки зрения США?
Лично я стараюсь придерживаться тех же правил, о которых говорили другие. CYA. Документируйте, проверяйте и регистрируйте все, насколько это возможно, и если это заставляет вас чувствовать себя некомфортно при выполнении запроса, я доверяю своему моральному компасу и стараюсь убедиться, что он задокументирован как разрешенный настолько, насколько я могу.
Проверьте Кодекс этики системных администраторов SAGE.
Как упоминалось ранее, очевидно, что во многих ситуациях, когда возникают этические дилеммы, есть тонкая грань. Большинство из нас чувствуют себя обязанными в соответствии с личными и профессиональными стандартами вести себя этично. Государственные служащие во многих случаях подвергаются уголовным санкциям за практику, которая считается нормальной в частном секторе. (Подарки от продавцов и т. Д.)
Лучший способ справиться с подобными ситуациями - предотвратить их возникновение.
По техническим вопросам: ограничение привилегий, процедуры настройки, внутренний контроль и контрольные журналы, чтобы людям было трудно скрыть поведение. Если все знают, что существует контрольный журнал, это послужит сдерживающим фактором. Настаивайте на политиках жизненного цикла данных ... (т.е. периодическое действие) В более крупных средах вы используете службу поддержки / службу поддержки, чтобы установить брандмауэр между пользователями и ИТ или пользователями и бухгалтерией.
По человеческим вопросам: вы должны знать законы / правила, которым вы подчиняетесь. Тогда вам нужен позвоночник. Скажи "нет". Это может означать, что вы столкнетесь с репрессиями со стороны вашего руководства.