Si hay un fraude generalizado (que es exactamente lo que está sucediendo aquí por cómo lo describe), eventualmente uno de sus clientes lo resolverá y citará a cualquiera que trabaje en estos proyectos. Personalmente buscaría asesoría legal en este momento. Suena como si estuviera en una situación un poco legal que necesita la guía de un profesional con el que pueda hablar libremente y que pueda guiarlo a través de esto.

¿Hay algo que pueda hacer más que saltar del barco?

No

Necesitas saltar del barco lo antes posible como parece que su empresa está cometiendo fraude y en algún momento se descubrirá. Y como una ventaja adicional, es posible que puedan aprovechar la culpa a su manera. Señalarlo no servirá de nada como ya ha descubierto.

En cuanto a contratar a un abogado, realmente no veo qué le traerá eso aparte de una gran factura . Usted podría investigar algunas técnicas gratuitas de denuncia de irregularidades anónimas, pero nuevamente tenga mucho cuidado de que no lo descubran,

Respuesta corta fuerte>: Es hora de actualizar el currículum y seguir adelante.

Soy un auditor de TI con experiencia en la evaluación de controles de seguridad en organizaciones de servicios, como parece ser su empresa.

Siendo uno de los dos principales 'responsables' de la red ahora , ¿corro algún riesgo personal?

En todas las certificaciones que he realizado ( SOC 1 2, 3 AUPs), el cliente y el servicio La organización / proveedor tenía un contrato que generalmente es firmado por la alta dirección del cliente y la organización de servicios. Establecer controles internos en una empresa es, en última instancia, el deber de la dirección y, a menos que sea un miembro de la alta dirección, es poco probable que el cliente lo considere responsable si los controles se tergiversan de forma fraudulenta.

¿Hay algo que pueda hacer más que saltar del barco ?

Para lo que usted personalmente puede hacer, no se parece mucho a lo que han dicho otras respuestas. Por lo tanto, estoy de acuerdo en que la mejor decisión para ti es irte lo antes posible. Puede haber una posibilidad a largo plazo de un cambio positivo, pero dado lo que dijo sobre la administración, dudo que haya una mejora seria en la postura de seguridad de TI de su empresa porque la administración simplemente no se preocupa por el control interno.

No me sorprendería que la mejora, asumiendo que se lleve a cabo, sea impulsada por el cliente en forma de revisiones de diligencia debida del proveedor o auditorías SOC exigidas por nuevos clientes antes de que consideren hacer negocios su empresa.

En este momento, si un cliente requiriera un SOC 1/2 (dependiendo de si el servicio afecta los informes financieros de los clientes), su empresa probablemente recibirá una opinión adversa. En otras palabras , el auditor concluiría basándose en la falta de evidencia confiable de que los controles especificados por la gerencia de su empresa, como si estuvieran implementados, no están diseñados ni funcionan de manera efectiva. Por ejemplo, según lo que escribió, No hay forma de que se cumplan los objetivos de control de SOC 2 con respecto a las Comunicaciones.

Aparte de su pregunta, a continuación se ofrecen algunas sugerencias adicionales.

Olvídese de adoptar controles de seguridad de la información significativos hasta que esas políticas de seguridad se desbloqueen y estén disponibles a todos los empleados

Para que el programa de seguridad de la información de una empresa funcione, todos los empleados deben participar activamente. No pueden hacerlo si no saben qué se espera de ellos. Por ejemplo:

1. ¿Qué debe hacer un empleado si sospecha de un incidente de seguridad?
2. ¿Cómo debe denunciar los activos robados, como computadoras portátiles?
3. Si No existe ningún requisito de capacitación periódica en seguridad, ¿los empleados conocen los ataques que tienen como objetivo las debilidades humanas, como la ingeniería social?

Lo que sigue son cosas oscuras, y no soy abogado ni estoy involucrado en ningún negocio que lo maneje de esa manera.

Tenga en cuenta que a veces la diferencia en la teoría y la práctica con respecto a las políticas de seguridad se entiende mutuamente de manera informal: hay casos en los que el cliente desea tales políticas en papel , probablemente porque SUS clientes quieren que se vea de esa manera en el papel, siendo muy conscientes de que no pueden conseguirlo en la práctica a un precio determinado. Ese juego a veces se juega en una cadena alimentaria de los clientes del cliente.

Tenga en cuenta que los costos gastados en seguridad a menudo se consideran antieconómicos si no están por debajo de ((costo esperado cuando algo sale mal) / (probabilidad percibida sale mal y no puede hacer que otra persona pague la cuenta)).

El riesgo en tales prácticas es que un cliente podría estar calculando en poder subcontratar el culpe a su empresa si algo sucede.

La pregunta importante para usted es: ¿Puede usted, como persona responsable (ante la empresa), ser también responsable (ante personas externas)? Esto depende bastante de la legislación local. No soy un abogado y no puedo comentar sobre eso.

También podría ser importante asegurarse de que la gerencia de su empleador sepa que usted, responsable o no, está a) no implementando la política formal en la práctica yb ) la persona responsable no les dice que lo implementen. Si puede reunir alguna prueba (por ejemplo, correos electrónicos) que lo aclare, hágalo. Si necesita pedir explícitamente que lo consiga por escrito, hágalo de una manera no conflictiva que no implique que tenga una razón (por ejemplo, conocimiento de lo que se le dijo al cliente) para considerar que las prácticas actuales son insuficientes; en lugar de eso, pregunte si la gerencia lo quiere. para cambiar cualquier cosa relacionada con las prácticas de seguridad.

Podría ser una posibilidad remota dada su descripción de la empresa ... pero podría denunciar irregularidades, ya sea internamente (a RR.HH.) o externamente (un abogado).

Hay algunos consejos útiles sobre https://www.gov.uk/whistleblowing para denunciar irregularidades:

Puede informarle a su empleador: es posible que tenga una política de denuncias que le indique qué esperar si denuncia su preocupación por ellos. Aún puede informarles de su inquietud si no tienen una política.

Existen otras opciones si no desea informar su inquietud a su empleador, por ejemplo, puede obtener asesoramiento legal de un abogado, o dígaselo a una persona u organismo prescrito.

Editar: Si sigue esta ruta, es muy probable que la empresa cierre. Entonces, lo que sea que decidas hacer, es hora de abandonar el barco.

acaba de descubrir que las políticas de seguridad que anuncian los directores

Pregúntele a sus directores sobre esto.

Lo hace sonar tan blanco y negro. Y tal vez lo sea. Sin embargo, sé que muchos trabajadores más jóvenes pueden apresurarse a llegar rápidamente a una conclusión como esta, sin que sea la correcta.

Quizás los directores estén implementando ciertas prácticas de seguridad que usted desconoce por completo. Por ejemplo, tal vez no vea cierta seguridad implementada en una estación de trabajo. Sin embargo, tal vez esto se esté implementando en un firewall. O tal vez el tráfico de red está siendo escaneado por una empresa de terceros, utilizando un servicio "en la nube", antes de que el tráfico llegue incluso al firewall más externo de su sitio. O tal vez el servicio se esté implementando, pero solo en una computadora (un "servidor" principal, por ejemplo, en Active Directory podría ser un controlador de dominio) y no se está implementando en otras computadoras. En todos estos escenarios posibles, los directores pueden ser inocentes.

O tal vez esto sea un descuido de algo que se implementó, pero luego se suspendió la implementación pero la publicidad nunca se actualizó. (O tal vez la publicidad fue actualizada por alguna persona de marketing / publicidad que hizo publicidad nueva basada en una lista de funciones, y es solo la lista de funciones la que no se actualizó). En este caso, algo puede estar mal, pero si Si sale con puños en alto, fácilmente podría hacerse enemigos, mientras que preguntar cómo se implementa algo podría hacer que los directores vean un problema y decidan aliarse con usted en los esfuerzos para hacer algo que antes se consideraba innecesariamente costoso. La misma situación podría resultar en un enemigo o un aliado, según cómo lo manejes.

Entonces, para resumir:
Si la empresa, de hecho, no tiene escrúpulos como sugirió su pregunta, entonces hay muchas otras respuestas que brindan consejos sólidos (desafiantes, desagradables, pero correctos). Sin embargo, antes de comenzar cualquier pelea o tomar acciones extremas como saltar del barco, asegúrese absolutamente de cuán mala es la situación. Luego, hable con ellos y pregúnteles sobre los planes existentes para corregir las situaciones o si podemos comenzar a hacer esos planes de inmediato. Si cooperan, acabarás con las atrocidades y harás del mundo un lugar mejor. Si no es así, al menos puede tener la confianza de que hizo lo que pudo para tratar de corregir situaciones antes de salir de una situación tóxica.

Podría encontrarse en una situación complicada. Debe diferenciar entre sus prácticas engañosas y las de su empresa. Si abandona el barco, la empresa podría culparlo por no hacer cosas y luego irse. Te recomiendo que hables con tu gerente sobre esto. ¿También son cómplices de esta mentira? Si es posible, tome notas por escrito después de la reunión.

Exprese sus inquietudes y expóngalas todas. ¿Qué es la reacción de la dirección? Si no desean seguir su consejo sobre las medidas a tomar, renuncie cortésmente, ya que este no es el tipo de empresa que lo ayudará a avanzar en su carrera.