Geschäftsethik / Legalität Für IT-Administratoren

22

Gibt es als Systemadministrator Dinge, die möglicherweise nicht offensichtlich sind und die ethisch oder rechtlich nicht vertretbar sind, selbst wenn Sie dazu aufgefordert werden? Ich bin rechtlich mehr daran interessiert, welche Art von Handlungen Ihren zukünftigen Spediteur ernsthaft schädigen oder Sie in Schwierigkeiten mit dem Gesetz bringen könnten .

Ist es beispielsweise jemals in Ordnung, bestimmte Dateitypen zu löschen, auch wenn der Chef dies anfordert?

Insbesondere wundere ich mich über die Vereinigten Staaten. Außerdem bin ich im Moment nicht in einer solchen Situation. Eine andere Frage brachte mich nur auf den Gedanken, dass dies Informationen sind, die ich wissen sollte.

Wirklich, ich versuche nicht, eine Diskussion über Ethik oder komplizierte Szenarien auszulösen, in denen es am besten wäre, einen Anwalt anzurufen. Aber eine Checkliste, Literatur oder Gesetze, die jeder IT-Mitarbeiter kennen sollte.

untagged Kyle Brandt
quelle
4
Dies sollte eigentlich ein Wiki-Artikel sein, da es keine richtige oder falsche Antwort gibt.
John Gardeniers
1
Es kann keine richtige oder falsche Antwort geben, aber es wird ethische und unethische Antworten geben, da bin ich mir sicher ... sollten wir nicht den Ruf für Ethik vergeben? ;-)
Chris W. Rea
@ John Quatsch - Sie sind immer noch für Ihre Handlungen verantwortlich
Jim B
+1 für eine gute Frage.
Chris W. Rea
Jim, du hast etwas gelesen, das ich nicht geschrieben habe. Ich habe zu keinem Zeitpunkt angedeutet, dass wir nicht für unser Handeln verantwortlich sein sollten. Ganz im Gegenteil. Lesen Sie unten meine Antwort.
John Gardeniers

Antworten:

4

Ich denke, wenn Sie in Papierform / elektronisch nachvollziehen, was Ihre Vorgesetzten von Ihnen verlangen, sollten Sie vor rechtlichen Problemen geschützt sein

Löschen Sie also nicht einfach einige Datensätze, weil Ihr Chef Sie dazu aufgefordert hat, während Sie sich am Wasserkühler unterhalten, da Sie sonst in Dinge hineingezogen werden, von denen Sie nichts wissen, und Ihr Chef kann bestreiten, dass er Sie jemals dazu aufgefordert hat ein Ding. Wenn Ihr Chef Ihnen etwas mündlich sagt, gehen Sie zurück in Ihr Büro und senden Sie ihm eine E-Mail, in der Sie Ihre Anfrage bestätigen.

Ethik ist für einen Systemadministrator eine wirklich schwierige Sache, da wir so viele Aspekte des Geschäfts ansprechen. Wenn Ihnen jedoch etwas nach Fisch riecht, sollten Sie dies vorher schriftlich oder in gedruckter Form erledigen.

Glen Y.
quelle
4
In der Tat - wenn Sie aufgefordert werden, etwas "off the record" zu tun, bedeutet das normalerweise, dass es unethisch ist.
pjc50
3

Wenn Sie als Amerikaner für CMS-Systeme verantwortlich sind, in denen Finanzdaten gespeichert sind, sollten Sie sich mit dem Sarbanes-Oxley Act vertraut machen , der Unternehmen dazu verpflichtet, bestimmte Arten von Finanzunterlagen für einen festgelegten Zeitraum aufzubewahren.

(Obligatorisch: IANAL)

Nexus
quelle
Ich habe mir das schon einmal angesehen, aber für einen IT-Administrator (vielleicht einen CIO) nichts Praktisches daraus abgeleitet ...
Kyle Brandt
SOX ist nur von Bedeutung, wenn Sie eine Aktiengesellschaft sind (dh Ihr Unternehmen hat einen Börsengang durchgeführt) oder wenn das Unternehmen beabsichtigt, an die Börse zu gehen.
Feniix
2

Ich bin kein Anwalt, also nehmen Sie bitte Folgendes mit einem Körnchen Salz.

Meines Wissens ist das einzige Problem mit der Legalität, wenn Sie Beweise für illegale Aktivitäten löschen. Das könnte Sie sicherlich in Schwierigkeiten bringen.

Auf der anderen Seite ist es unwahrscheinlich, dass Sie in Schwierigkeiten geraten, wenn Sie Datensätze gelöscht haben, die keine Beweise für etwas Illegales enthalten, aber dennoch nachträglich vorgeladen werden.

Einfaches Ziel
quelle
3
Woher wissen Sie, dass die von Ihnen gelöschten vorgeladenen Aufzeichnungen keine Beweise für illegale Aktivitäten enthielten? Wie dem auch sei, es gibt eine Menge Vorschriften in vielen Branchen und Regierungen, die vorschreiben, welche Aufzeichnungen wann vernichtet werden können und welche nicht. Das ist ziemlich kompliziert.
Boden
1
Hier ist ein lustiges Szenario. Sie arbeiten für einen Nachrichtenverlag und in einem aktuellen Fall wurden Informationen zu laufenden Ermittlungen von der örtlichen Polizei durchgesickert. Die Informationen setzen die lokalen Behörden in ein schlechtes Licht und sie sind verzweifelt, die Quelle des Lecks zu finden. Die Geschäftsleitung geht davon aus, dass sie einen Richter finden kann, der einen Durchsuchungsbefehl unterzeichnet. Da Ihre Systeme Informationen enthalten, die eine beliebige Anzahl von Quellen identifizieren können, werden Sie aufgefordert, die Daten zu löschen und alle relevanten Bänder zu entmagnetisieren. Die Regierung wird es nicht mögen, aber Sie haben ein verfassungsmäßiges Recht, Ihre Quellen zu schützen. Was wirst du machen? :)
Roy
2
Roy: Rufen Sie einen Anwalt an, wenn es so kompliziert ist :-)
Kyle Brandt
2
Wenn sie keinen Grund zur Annahme haben, dass etwas Illegales passiert ist, können sie nicht einfach einen Haftbefehl zur Beschaffung von Quellen erhalten. Hier ist eine Website, die sich mit solchen Themen befasst, die sich an Journalisten richten. rcfp.org/handbook/c04p08.html
Shial
Das ist sehr richtig und +1 für die Referenz. Die Weitergabe von Informationen zu laufenden Ermittlungen ist jedoch an den meisten Orten eine Straftat. Es steht also außer Frage, dass etwas Illegales passiert ist. Die meisten Bundesstaaten und Länder haben Beschränkungen für die Suche in Nachrichtenredaktionen, es wird jedoch weiterhin gesucht. Starke Verschlüsselung ist die übliche Methode zum Schutz von Quellen und Hinweisgebern vor solchen Szenarien, aber es gibt einen Grund, warum einige Nachrichtenagenturen teure Entmagnetisierungsgeräte bereithalten.
Roy
2

Das ist eine interessante Frage. Was tun wir, wenn ein Arbeitgeber uns dazu auffordert, etwas eindeutig Unmoralisches und möglicherweise Illegales zu tun?

Es kann sich um den Zugriff auf persönliche Dateien oder Daten, das Veröffentlichen von Material in Form eines Embargos, das Löschen von Daten handeln, die aufbewahrt werden sollen, oder das Aufbewahren von Daten, die gelöscht werden sollen.

Ich denke, die Antwort auf diese Frage muss eher subjektiv sein. Die Arbeitnehmer sind in unterschiedlichen Rechtsordnungen unterschiedlich geschützt und haftbar. Ihre Position und Ihr Status innerhalb des Unternehmens bestimmen möglicherweise die Optionen, die Ihnen zur Verfügung stehen. Dann gibt es einen persönlichen Faktor. Wie weit willst du gehen, um deinen Job zu behalten?

Persönlich habe ich mich geweigert, unerwünschte Post zu verbreiten, und die illegale Veröffentlichung von Abstimmungsergebnissen aktiv verhindert. In beiden Fällen konnte ich Unterstützung in der Rechtsabteilung bzw. in der Geschäftsleitung finden, aber es ist eine feine Linie - In beiden Fällen hätte mich eine kleine Fehleinschätzung meinen Job kosten können, selbst unter den norwegischen Schutzgesetzen.

Entscheidend ist, dass der Einzelne die Situation berücksichtigt, Verantwortlichkeiten und Loyalitäten abwägt, das Risiko einschätzt, eine Entscheidung trifft und schließlich mit den Konsequenzen lebt.

Roy
quelle
2

Ethik ist ein wunderbar fließendes Konzept und variiert stark zwischen Kulturen und Orten. 'Nuf sagte dazu.

Sie müssen zuerst verstehen, wie die lokalen Gesetze auf die Situation zutreffen, da sie manchmal genau dort aufhören. Ich glaube nicht, dass einer von uns Anweisungen befolgen sollte, von denen wir wissen, dass sie gegen das Gesetz verstoßen, es sei denn, wir sind auch bereit, Konsequenzen daraus zu akzeptieren. Der nächste Schritt besteht darin, Ihre persönlichen Überzeugungen anzuwenden (Ethik, Moral, Religion, was auch immer). Es wird manchmal einen Konflikt geben und Sie müssen diese Entscheidung selbst treffen.

Ich persönlich habe mich mehrmals geweigert, Dinge zu tun, weil ich nicht glaubte, dass das, was ich tun sollte, legal oder moralisch "richtig" war. Manchmal habe ich das Argument gewonnen, und manchmal hat jemand anderes die gleichen Anweisungen befolgt, weil er sich weniger stark dafür fühlte (oder befürchtete, seinen Arbeitsplatz zu verlieren). Während ich in einer solchen Situation noch nie persönlich entlassen worden bin, kenne ich andere, die es waren. Wenn ich mich stark genug fühle, gehe ich jedes Mal dieses Risiko ein.

John Gardeniers
quelle
Hmmm ... da stimme ich zu. Ich würde mich nicht so sehr darum sorgen, meinen Job zu verlieren, aber natürlich habe ich keine Kinder oder eine Hypothek :-) Aber wirklich, worüber ich eine Liste von Dingen haben möchte, über die ich immer zweimal nachdenken sollte. Dinge, die in Bezug auf bestimmte Branchen zu beachten sind, sind auch gut, aber ich denke, diese Branchen tendieren dazu, sich an solchen Dingen zu orientieren.
Kyle Brandt
+1 für "Ethik [...] variiert stark zwischen Kulturen und Orten."
CesarGon
2

Ich hatte vor ungefähr 6 Jahren einen Artikel mit dem Titel "Managing the Manager" zu diesem Thema geschrieben. Aber worauf es ankommt, ist ** Cover Your A ****

Das Prinzip, das alle Administratoren von CYA immer leben sollten . Es ist egal, wer das Sagen hat, machen Sie es immer "nur für den Fall". Aus diesem Grund sollte eine Computerrichtlinie immer implementiert werden. Sie deckt Sie von der Haftung ab, sofern sie diese unterschreibt oder zumindest mit dieser Absicht herausgibt. Das Gleiche gilt für die Anmeldeaufforderung der lokalen Sicherheitsrichtlinie. Verwenden Sie sie auch aus diesem Grund. Sobald sie sich an ihren Computern anmelden, erklären sie sich mit den Bestimmungen der Richtlinie einverstanden.

Ich habe eine persönliche Erfahrung mit solchen Situationen und raten Sie mal, was mit mir passiert ist, als das FBI unseren CFO wegen mehrerer Anklagen festgenommen hat . Nichts, und weil ich CYA und alle Beweise für den Fall gespeichert wurde, dass etwas Schlimmes passiert ist.

AdminAlive
quelle
1

Stellen Sie sicher, dass Sie eine Richtlinie haben, die auf den Branchenanforderungen basiert (je nachdem, was das Unternehmen tut, sind diese Anforderungen unterschiedlich).

Wenn ich jemals gebeten werde, eine E-Mail eines anderen Benutzers zu berühren oder eine Entdeckung zu machen, bekomme ich von unserer Personalabteilung eine schriftliche Nachricht mit deren Unterschrift. Ich sage ihnen direkt, dass es ein CYA für mich ist. Die Menschen sind bereit, dies zu akzeptieren, wenn Sie ihnen mitteilen, dass Sie die Vertraulichkeit von Informationen nicht verletzen möchten, und es hilft auch, das Vertrauen zu gewinnen, dass Sie diesbezüglich besorgt sind.

Die beste Versicherung sind jedoch vollständige Sicherungen an einem externen Speicherort. Vor allem, wenn Sie die Richtlinie einhalten, dass mehrere Jahre an einem sicheren Ort aufbewahrt werden. (Bei mir haben wir einen Safe bei Wells Fargo. Bänder gehen jeden Monat dorthin und bleiben dort auf unbestimmte Zeit.) Wenn Sie etwas löschen, das sich als illegal herausstellt Sie können Ermittler auf die Sicherungen verweisen. Wenn jemand will, dass die Backups gelöscht werden, dann ist definitiv etwas Illegales los.

Shial
quelle
1
Es kann durchaus gute Gründe dafür geben, die Backups gemäß geltendem Recht löschen zu lassen. In einigen Ländern müssen sensible oder persönliche Daten auf Wunsch eines Kunden oder einer Einzelperson gelöscht werden. Ein weiterer Grund ist, dass Kommunikationsprotokolle häufig bestimmten Einschränkungen unterliegen. Die maximale Aufbewahrungsdauer in der EU beträgt 12 Monate. Zu diesem Zeitpunkt müssen die Protokolle einschließlich aller Sicherungen gelöscht werden.
Roy
In vielen Fällen ist das Entfernen von Backups nicht unbedingt ein Zeichen für illegale Aktivitäten (insbesondere bei Finanzunternehmen). Es gibt gesetzliche Verpflichtungen, Backups für Daten wie E-Mails und Finanzunterlagen nicht über einen längeren Zeitraum aufzubewahren
Jim B
1
Richtig, ich denke, das ist eine Politik, die auf den Anforderungen der Industrie basiert.
Shial
1

Zuerst IANAL, aber ich war in IT-Legalitätsfragen involviert. Ich verstehe, dass IT-Aktionen auf das hinauslaufen, was die IT-Person vernünftigerweise wissen muss. ZB der Chef fordert Sie auf, die Abrechnungsdateien zu löschen. Sie wissen, dass sie untersucht werden. Sie tun das und werden wahrscheinlich wegen Behinderung angeklagt. Auf der anderen Seite ist dieselbe Situation und Sie hatten keine Ahnung, dass eine Untersuchung stattgefunden hat (und die Regierung muss diese Entscheidung treffen), und es ist vernünftig, dass Sie gebeten worden wären, diese Dateien zu löschen, Sie wären in Ordnung.

Wie bereits erwähnt, gelten möglicherweise andere Bestimmungen. In der Biotechnologie 21, vgl. Teil 11, würden Vorschriften gelten

Als IT-Mitarbeiter haben Sie vermutlich ein gewisses Verständnis dafür, was vernünftig und üblich ist (ich glaube, das ist die Rechtsprechung). Es ist jedoch nicht illegal, dass Sie entlassen werden, weil Sie die angeforderten Aktivitäten nicht ausführen. Es gelten die gesetzlichen Bestimmungen für Whistleblower. Kleiner Trost, da Sie in vielen kleineren Staaten wahrscheinlich ein markierter Mann sind.

Jim B
quelle
1

Gute Frage. Ich kann mich nicht wirklich auf die Vereinigten Staaten beziehen, da ich dort nicht arbeite, aber Ethik / Legalität war eines der Dinge, die bei der Arbeit von Menschen mit erhöhten Systemprivilegien häufig auftauchen, aber es scheint nicht so bei weitem nicht genug formalisierte Anleitung auf. Ich persönlich wünschte, es gäbe eine starke Industrie, die uns genauso vertritt wie Ärzte und Anwälte. Ich weiß, dass die (britische spezifische) British Computer Society einen Verhaltenskodex für Mitglieder veröffentlicht hat, der mich dazu veranlasste, das Gefühl zu haben, dass ein Verstoß gegen diesen Kodex eine angemessene Verteidigung darstellt, um eine unethische Anfrage abzulehnen aus US-Sicht ähnlich?

Persönlich neige ich dazu, nach den gleichen Regeln zu arbeiten, die andere erwähnt haben. CYA. Dokumentieren, prüfen und protokollieren Sie alles, soweit dies machbar ist. Wenn Sie sich bei der Ausführung der Anfrage unwohl fühlen, vertraue ich meinem moralischen Kompass und versuche sicherzustellen, dass die Dokumentation so hoch wie möglich ist.

Mike1980
quelle
0

Wie bereits erwähnt, gibt es in vielen Situationen, in denen ethische Dilemmata bestehen, offensichtlich eine feine Linie. Die meisten von uns fühlen sich nach persönlichen und beruflichen Maßstäben verpflichtet, sich ethisch zu verhalten. Regierungsangestellte unterliegen in vielen Fällen strafrechtlichen Sanktionen für im Privatsektor als normal geltende Praktiken. (Geschenke von Verkäufern usw.)

Der beste Weg, mit solchen Situationen umzugehen, besteht darin, sie zu verhindern.

Bei technischen Problemen: Beschränken Sie Berechtigungen, Einrichtungsverfahren, interne Kontrollen und Prüfpfade, um zu verhindern, dass Benutzer ihr Verhalten verbergen. Wenn jeder weiß, dass ein Prüfpfad vorhanden ist, dient dies als Abschreckung. Push for Data Lifecycle Policies ... (dh periodisches Aussetzen) In größeren Umgebungen verwenden Sie den Service Desk / Help Desk, um eine Firewall zwischen Benutzer und IT oder Benutzer und Buchhaltung einzurichten.

Für menschliche Angelegenheiten: Sie müssen sich der Gesetze / Vorschriften bewusst sein, denen Sie unterliegen. Dann brauchen Sie ein Rückgrat. Nein sagen". Dies kann dazu führen, dass Sie Repressalien Ihres Managements ausgesetzt sind.

duffbeer703
quelle