Frage Geschäftsethik / Legalität für IT-Administratoren


Gibt es als Systemadministrator Dinge, die nicht offensichtlich sind, die nicht ethisch oder rechtlich erfolgen sollten, selbst wenn sie dazu aufgefordert werden? Ich interessiere mich mehr für legale, welche Art von Aktionen könnte Ihrem zukünftigen Träger ernsthaft schaden oder Sie in Schwierigkeiten mit dem Gesetz bringen.

Ist es beispielsweise nicht immer in Ordnung, bestimmte Dateitypen zu löschen, selbst wenn der Chef dies anfordert?

Insbesondere wundere ich mich über die Vereinigten Staaten. Außerdem bin ich momentan nicht in einer solchen Situation, eine andere Frage brachte mich nur dazu zu denken, dass dies Informationen sind, die ich wissen sollte.

Wirklich, ich versuche nicht, eine Diskussion über Ethik oder komplizierte Szenarien auszulösen, wo es am besten wäre, einen Anwalt zu rufen. Aber eine Checkliste oder Literatur oder einige Gesetze, über die jede IT-Person Bescheid wissen sollte.


22
2017-12-09 20:44


Ursprung


Dies sollte wirklich ein Wiki-Artikel sein, da es keine richtige oder falsche Antwort gibt. - John Gardeniers
Es kann sein, nein Recht oder falsch antworte, aber es wird sein ethisch und unethisch Antworten, ich bin sicher ... sollten wir nicht den Ruf für Ethik vergeben? ;-) - Chris W. Rea
@John Quatsch - du bist immer noch verantwortlich für deine Handlungen - Jim B
+1 für eine großartige Frage. - Chris W. Rea
Jim, du hast etwas gelesen, das ich nicht geschrieben habe. Zu keinem Zeitpunkt habe ich angedeutet, dass ich nicht denke, dass wir für unsere Handlungen verantwortlich sein sollten. Ganz im Gegenteil. Lesen Sie meine Antwort unten. - John Gardeniers


Antworten:


Ethisch gesehen könnte man viel Schlimmeres tun als folgen http://lopsa.org/CodeOfEthics


4
2017-12-09 23:29





Ich denke, wenn Sie eine Papier- / elektronische Spur halten, was von Ihren Vorgesetzten von Ihnen verlangt wird, sollte es Sie vor jeglichen rechtlichen Schwierigkeiten bewahren

dh lösche nicht einfach ein paar Rekorde, weil dein Chef dir gesagt hat, während du am Wasserkühler chattest, weil es dich am Ende vielleicht in einen Scheiß schleppen würde, von dem du nichts weißt, und dein Boss kann es leugnen, dir jemals gesagt zu haben ein Ding. Wenn Ihr Chef Ihnen etwas mündlich sagt, gehen Sie zurück in Ihr Büro und senden Sie ihm eine E-Mail, die Ihre Anfrage von Ihnen "bestätigt".

Ethik ist eine wirklich schwierige Sache für einen sys-Administrator, da wir so viele Aspekte des Geschäfts berühren, aber wenn dir etwas zu riecht, dann schreib es dir oder drucke, bevor du es tust.


4
2017-12-09 22:52



In der Tat - wenn Sie gebeten werden, etwas "von der Stange" zu machen, bedeutet das normalerweise, dass es unethisch ist. - pjc50


Wenn Sie als Amerikaner für CMS-Systeme verantwortlich sind, die Finanzdaten speichern, sollten Sie sich mit dem Thema vertraut machen Sarbanes-Oxley Act, die Unternehmen verpflichtet, bestimmte Arten von Finanzunterlagen für einen festgelegten Zeitraum zu behalten.

(Obligatorisch: IANAL)


3
2017-12-09 22:17



Ich habe mir das vorher angeschaut, aber daraus wirklich nichts Praktisches für einen IT-Administrator abgeleitet (vielleicht einen CIO) ... - Kyle Brandt♦
SOX spielt nur eine Rolle, wenn Sie eine Aktiengesellschaft sind (d. H. Ihr Unternehmen hat einen Börsengang durchgeführt) oder beabsichtigt das Unternehmen, öffentlich zu werden. - feniix


Ich bin kein Anwalt, also nehmen Sie bitte Folgendes mit einem Körnchen Salz.

Soweit ich weiß, besteht das einzige Problem mit der Legalität darin, dass Sie Beweise für illegale Aktivitäten löschen. Das könnte dich in Schwierigkeiten bringen.

Auf der anderen Seite, wenn Sie Datensätze gelöscht haben, die keine Beweise für etwas Illegales enthalten, aber dennoch nach der Tat vorgeladen werden, ist es unwahrscheinlich, dass Sie dafür in Schwierigkeiten geraten würden.


2
2017-12-09 20:56



Woher weißt du, dass die vorgeladenen Aufzeichnungen, die du gelöscht hast, keine Beweise für illegale Aktivitäten enthalten? Wie auch immer, es gibt eine Menge Regulierungen in vielen Industrien und Regierungen, die vorschreiben, welche Aufzeichnungen wann zerstört werden können und welche nicht. Es ist ziemlich kompliziert. - Boden
Hier ist ein lustiges Szenario. Sie arbeiten für einen Nachrichtenverlag, und in einem aktuellen Fall wurden Informationen über eine laufende Untersuchung von der örtlichen Polizei durchgesickert. Die Informationen bringen die lokalen Behörden in ein schlechtes Licht und sie suchen verzweifelt nach der Ursache des Lecks. Die Geschäftsleitung geht davon aus, dass sie einen Richter finden können, der einen Durchsuchungsbefehl unterzeichnet. Da Ihre Systeme Informationen enthalten, die eine beliebige Anzahl von Quellen identifizieren können, werden Sie aufgefordert, die Daten zu löschen und alle relevanten Bänder zu entmagnetisieren. Das FBI wird es nicht mögen, aber Sie haben ein verfassungsmäßiges Recht, Ihre Quellen zu schützen. Was wirst du tun? :) - Roy
Roy: Rufen Sie einen Anwalt an, wenn es so kompliziert ist :-) - Kyle Brandt♦
Wenn sie nicht Grund zu der Annahme haben, dass etwas Unrecht geschehen ist, können sie nicht einfach einen Haftbefehl erhalten, um Quellen zu erhalten. Hier ist eine Website, die sich mit Themen befasst, die sich auf Journalisten konzentrieren. rcfp.org/handbook/c04p08.html - Shial
Das ist sehr wahr und +1 für die Referenz. Informationen über eine laufende Untersuchung zu verbreiten, ist jedoch ein Verbrechen, das an den meisten Orten begangen wird, so dass es wenig Zweifel gibt, dass etwas Illegales passiert ist. Die meisten Staaten und Länder haben Einschränkungen bei der Suche in Newsrooms, aber es finden immer noch Suchanfragen statt. Eine starke Verschlüsselung ist der übliche Weg, Quellen und Hinweisgeber vor solchen Szenarien zu schützen, aber es gibt einen Grund, warum einige Nachrichtenorganisationen teure Entmagnetisierungsgeräte in der Nähe halten. - Roy


Das ist eine interessante Frage. Was tun wir, wenn wir von einem Arbeitgeber aufgefordert werden, etwas eindeutig Unmoralisches und möglicherweise auch Illegales zu tun?

Sie können auf persönliche Dateien oder Daten zugreifen, Materialien in Embargos veröffentlichen, zu haltende Daten löschen oder Daten behalten, die gelöscht werden sollten.

Ich denke, die Antwort auf diese Frage muss eher subjektiv sein. Die Mitarbeiter haben unterschiedliche Schutz- und Haftungspflichten in verschiedenen Rechtssystemen. Ihre Position und Ihr Status innerhalb des Unternehmens bestimmen möglicherweise die Ihnen zur Verfügung stehenden Optionen. Dann gibt es einen persönlichen Faktor. Wie weit bist du bereit, deinen Job zu behalten?

Persönlich habe ich mich geweigert, bei der Verbreitung unerwünschter E-Mails zu helfen und aktiv die illegale Veröffentlichung von Abstimmungsergebnissen verhindert. Beide Male konnte ich Unterstützung in der Rechtsabteilung bzw. in der Geschäftsleitung finden, aber es ist eine feine Linie zu laufen - In beiden Fällen hätte mich eine kleine Fehleinschätzung selbst unter den norwegischen Schutzgesetzen meinen Job kosten können.

Die Quintessenz ist, dass es Sache des Einzelnen ist, die Situation zu betrachten, Verantwortlichkeiten und Loyalitäten abzuwägen, das Risiko einzuschätzen, eine Entscheidung zu treffen - und schließlich mit den Konsequenzen zu leben.


2
2017-12-09 21:08





Ethik ist ein wunderbar fließendes Konzept und variiert stark zwischen Kulturen und Orten. Nuf sagte dazu.

Sie müssen zunächst verstehen, wie sich die lokalen Gesetze auf die Situation auswirken, denn manchmal hält es genau dort an. Ich glaube nicht, dass irgendjemand von uns Anweisungen folgen sollte, von denen wir wissen, dass sie gegen das Gesetz verstoßen, es sei denn, wir sind auch bereit, die Konsequenzen daraus zu akzeptieren. Der nächste Schritt besteht darin, Ihre persönlichen Überzeugungen (Ethik, Moral, Religion, was auch immer) anzuwenden. Es wird manchmal einen Konflikt geben, und Sie müssen diese Entscheidung selbst treffen.

Ich habe mich persönlich bei einigen Gelegenheiten geweigert, Dinge zu tun, weil ich nicht glaubte, dass das, was ich tun sollte, "recht" war, entweder rechtlich oder moralisch. Manchmal habe ich das Argument gewonnen, und manchmal hat jemand anderes die gleichen Anweisungen befolgt, weil sie sich weniger stark darüber gefühlt haben (oder befürchtet haben, ihren Job zu verlieren). Obwohl ich in einer solchen Situation nie persönlich entlassen worden bin, weiß ich von anderen, die es waren. Wenn ich mich stark genug fühle, werde ich jedes Mal das Risiko eingehen.


2
2017-12-09 23:46



Hmmm ... Dem stimme ich zu. Ich würde mir nicht so viel Sorgen darum machen, meinen Job zu verlieren, aber natürlich habe ich keine Kinder oder eine Hypothek :-) Aber eigentlich hätte ich gerne eine Liste von Dingen, über die man immer wieder nachdenkt. Dinge, die man bei bestimmten Industrien beachten sollte, sind auch gut, aber ich würde denken, dass diese Branchen dazu neigen, Orientierung für so etwas zu haben. - Kyle Brandt♦
+1 für "Ethik [...] variiert stark zwischen Kulturen und Orten." - CesarGon


Ich hatte vor sechs Jahren einen Artikel mit dem Titel "Managing the Manager" zu diesem Thema geschrieben. Aber was kommt darauf an ist ** Cover Your A ****

Das Prinzip Alle Administratoren sollten leben  CYA immer. Es spielt keine Rolle, wer die Verantwortung trägt, tue es immer "nur für den Fall". Deshalb a Computerrichtlinie sollte immer umgesetzt werden, es deckt Sie von der Haftung ab, vorausgesetzt, sie unterschreiben es oder geben es zumindest mit dieser Absicht weiter. Dasselbe gilt für die Eingabeaufforderung für die lokale Sicherheitsrichtlinie, verwenden Sie sie daher auch. Sobald sie sich an ihren Computern anmelden, sagen Sie, dass sie den Bedingungen der Richtlinie zustimmen.

Ich habe eine persönliche Erfahrung mit solchen Situationen und rate mal, was mit mir passiert ist, als das FBI unseren CFO verhaftet hat mehrere Gebühren? Nichts, und weil ich CYA und alle Beweise für den Fall gespeichert wurde, dass etwas Schlimmes passiert ist.


2
2017-12-09 21:16





Stellen Sie sicher, dass Sie über eine Richtlinie verfügen, die auf den Branchenanforderungen basiert (abhängig davon, was das Unternehmen tut, sind diese Anforderungen unterschiedlich)

Wenn ich jemals gebeten werde, die E-Mail eines anderen Benutzers zu berühren oder etwas zu entdecken, erhalte ich schriftlich etwas von unserer Personalabteilung mit ihrer Unterschrift. Ich erzähle ihnen sofort, dass es ein CYA für mich ist. Die Leute sind bereit, es zu akzeptieren, wenn Sie ihnen sagen, dass Sie keine Privatsphäre von Informationen verletzen wollen, und es hilft auch, das Vertrauen zu gewinnen, dass Sie betroffen sind.

Die beste Versicherung ist jedoch vollständige Sicherungen in einem externen Speicherort. Vor allem, wenn Sie eine Richtlinie haben, mehrere Jahre Wert irgendwo sicher zu halten (Bei meiner Organisation haben wir einen Safe bei Wells Fargo, Bänder jeden Monat dorthin gehen und dort unbestimmt bleiben) Wenn Sie etwas löschen, das sich als illegal herausstellt Sie können Ermittler auf die Backups verweisen. Wenn jemand die Backups löschen möchte, dann ist definitiv etwas illegal.


1
2017-12-09 21:32



Es kann durchaus Gründe dafür geben, die Backups subjektiv nach geltendem Recht löschen zu lassen. In einigen Ländern müssen sensible oder personenbezogene Daten auf Wunsch eines Kunden oder einer Person gelöscht werden. Ein weiterer Grund ist, dass Kommunikationsprotokolle oft bestimmten Einschränkungen unterliegen. Der maximale Aufbewahrungszeitraum in der EU beträgt 12 Monate. Zu diesem Zeitpunkt müssen die Protokolle gelöscht werden, einschließlich etwaiger Backups. - Roy
nicht unbedingt in vielen Fällen ist einfach Backups ein Zeichen für illegale Aktivitäten loszuwerden (vor allem Finanzunternehmen). Es gibt gesetzliche Verpflichtungen, keine Datensicherungen für Daten wie E-Mail und Finanzdaten zu führen - Jim B
Richtig, ich denke, das ist eine Politik, die auf den Anforderungen der Industrie basiert. - Shial


Erste IANAL, aber ich war in IT-Rechtsprobleme involviert. Mein Verständnis ist, dass Aktionen der IT auf das hinauslaufen, was für die IT-Person vernünftig erwartet werden kann. ZB der Chef sagt Ihnen, die Accounting-Dateien zu löschen. Sie wissen, dass sie untersucht werden. Sie tun das und Sie werden wahrscheinlich mit Behinderung belastet. Auf der anderen Seite die gleiche Situation und Sie hatten keine Ahnung, dass es eine Untersuchung gab (und die Regierung wird diese Entscheidung treffen), und es ist vernünftig, dass Sie gebeten worden wären, diese Dateien zu löschen, würden Sie in Ordnung sein.

Wie bereits erwähnt, gibt es andere Regelungen, die möglicherweise gelten. Im Biotech-Bereich gelten 21 cfr 11-Regelungen

Als IT-Mitarbeiter werden Sie als ein Verständnis dafür angesehen, was vernünftig und üblich ist (ich glaube, das ist die Rechtsprache). Es ist jedoch nicht illegal, dass sie dich feuern, weil sie die angeforderten Aktivitäten nicht durchgeführt haben, die Whistleblower-Statuten des Bundes würden gelten. Kleiner Trost, da Sie wahrscheinlich in vielen kleineren Staaten ein markierter Mann sein werden.


1
2017-12-10 00:21





Große Frage. Ich kann nicht wirklich etwas mit den Vereinigten Staaten in Verbindung bringen, da ich dort nicht arbeite, aber Ethik / Legalität war eines dieser Dinge, die oft in der Arbeit von Personen mit erhöhten Systemprivilegien auftauchen, aber das scheint es nicht zu geben Irgendwo in der Nähe von ausreichend formalisierter Anleitung zu sein. Ich persönlich wünsche mir, dass es eine starke Industrieorganisation gibt, die uns genauso vertritt wie Ärzte und Rechtsanwälte. Ich kenne die (britische spezifische) British Computer Society, die eine Verhaltensregeln für Mitglieder, die mich dazu gebracht haben, mich verletzt zu fühlen, wäre eine vernünftige, relevante Verteidigung, um eine unmoralische Anfrage abzulehnen. Ich schätze, vielleicht ist die ACM aus US-Sicht ähnlich?

Persönlich tendiere ich dazu, nach den gleichen Regeln zu arbeiten, die andere erwähnt haben. CYA. Dokumentiere, auditiere und logge alles, so weit es machbar ist, und wenn es dir unangenehm ist, die Anfrage auszuführen, vertraue ich meinem moralischen Kompass und versuche sicherzustellen, dass es so gut wie möglich als autorisiert dokumentiert wird.


1
2017-12-10 09:24





Besuche die Ethikkodex der SAGE-Systemadministratoren.


1
2017-12-09 23:58