Pregunta:
La empresa no sigue las políticas de seguridad anunciadas a los clientes
NetworkMonkey
2018-01-19 21:18:11 UTC
view on stackexchange narkive permalink

Trabajo para una pequeña empresa de consultoría sin personal de TI formal. Otro empleado y yo somos los únicos que realmente nos preocupamos por la seguridad de la información y la administración de redes. Ambos tenemos mucha resistencia cuando intentamos dedicar tiempo a mejorar la seguridad porque no se puede facturar directamente.

Acabo de descubrir que las políticas de seguridad que los directores anuncian a los clientes y utilizan para adquirir todos nuestros los negocios ni siquiera se acercan a reflejar cómo operamos realmente. ¿Hay algo que pueda hacer además de saltar del barco?

No tengo experiencia en este aspecto, ya que soy principalmente un desarrollador que todavía estoy tratando de entrar en la industria de la seguridad. . Siendo uno de los dos principales 'responsables' de la red ahora, ¿corro algún riesgo personal?

Los comentarios no son para una discusión extensa;esta conversación se ha [movido al chat] (http://chat.stackexchange.com/rooms/72011/discussion-on-question-by-networkmonkey-company-doesnt-follow-security-policies).Por favor [edite] actualizaciones en el OP y use el chat vinculado para discusiones / comentarios y el cuadro de Respuesta para respuestas.
Muchos consejos diferentes en las respuestas, pero lo que realmente se reduce a esto es: ¿Qué es lo peor que puede suceder si la actitud de seguridad laxa se vuelve real y algo se viola?¿Realiza desarrollo web front-end y, tal vez, alguien ve que el código fuente podría ser un complemento?¿O tiene una plataforma de comercio electrónico donde los datos financieros están en riesgo?Todo se reduce a la gravedad de la infracción.Y si se trata de una empresa que se ocupa de datos financieros y otros datos confidenciales, entonces sí ... Debe salir antes de que lo conviertan en un "chivo expiatorio" por una infracción.¿Si no?Lamento decir que lo que describe es más común que no.
Tenga en cuenta que depende mucho de las reglas exactas que rigen lo que se supone que debe hacer la empresa: si la empresa se ocupa de las regulaciones de HIPAA, ejecute.Si la empresa pertenece a una industria no regulada y realiza afirmaciones en su mayoría falsas como parte de los materiales de marketing (como que ejecuta escáneres de virus en servidores Linux), entonces legalmente está siendo creativo con los hechos.Lo cual en ese momento es solo una cuestión de ética, no de fraude.
Seven respuestas:
#1
+94
BirdLawExpert
2018-01-19 22:36:33 UTC
view on stackexchange narkive permalink

Si hay un fraude generalizado (que es exactamente lo que está sucediendo aquí por cómo lo describe), eventualmente uno de sus clientes lo resolverá y citará a cualquiera que trabaje en estos proyectos. Personalmente buscaría asesoría legal en este momento. Suena como si estuviera en una situación un poco legal que necesita la guía de un profesional con el que pueda hablar libremente y que pueda guiarlo a través de esto.

También debe tenerse en cuenta que cuanto más tiempo permanezca, más difícil será tener algún tipo de negación plausible.Solo piense en todas las personas que supieron algo durante años y nunca dijeron nada, y esos tipos también se meten en un gran problema.Si lo sabe ahora, es hora de hablar ahora.
Voy a seguir adelante y marcar esto como la respuesta, ya que sospechaba que este sería el caso.Afortunadamente para mí, acabo de darme cuenta del alcance de la deshonestidad, ya que las 'políticas' están bloqueadas detrás de una página de confluencia que requiere roles de administración para que los empleados generales no puedan verlos.Me los dieron hace dos días por necesidad porque necesitaban a alguien que redactara un Plan de Continuidad Comercial y les dije que necesitaba documentación actual como punto de partida.
Incluso si obtiene asesoramiento legal, el OP se beneficiará mejor saliendo de la situación lo antes posible.El OP puede entonces contratar a un abogado si es necesario.
@NetworkMonkey Para referencia futura, negarse a mostrar a los empleados lo que muestran a los clientes potenciales sería, para mí, una * enorme * bandera roja.
Para ser honesto, dudo que se emitan citaciones.A medida que los clientes descubran el fraude, cancelarán / no renovarán silenciosamente los contratos y el negocio se ralentizará sin litigios.
@emory Depende mucho de cómo se descubra el fraude.Si una violación de datos enyesa los datos de los clientes de los clientes en toda la web, las demandas son bastante probables.En el peor de los casos, fue algún tipo de información protegida legalmente y el gobierno se involucra.
@KRyan Eso es bastante normal si el empleado no está trabajando directamente con el cliente.Por lo general, no brinda información a personas que no necesitan conocerla.
Las empresas de @mbrig intentarán ocultar las brechas de seguridad si pueden, pero tiene razón en que no siempre pueden hacerlo.no creo que importe mucho.de cualquier forma no querrás tener nada que ver con eso.
@immibis Existe una diferencia entre no ofrecerlo y negarse a darlo.
En general, esté de acuerdo con la respuesta, pero lo más probable es que solo pidan una copia de los correos electrónicos entre un grupo de personas que tienen ciertas palabras.Por lo general, solo los grandes son citados y eso es más tarde.
#2
+64
Neo
2018-01-19 22:40:27 UTC
view on stackexchange narkive permalink

¿Hay algo que pueda hacer más que saltar del barco?

No

Necesitas saltar del barco lo antes posible como parece que su empresa está cometiendo fraude y en algún momento se descubrirá. Y como una ventaja adicional, es posible que puedan aprovechar la culpa a su manera. Señalarlo no servirá de nada como ya ha descubierto.

En cuanto a contratar a un abogado, realmente no veo qué le traerá eso aparte de una gran factura . Usted podría investigar algunas técnicas gratuitas de denuncia de irregularidades anónimas, pero nuevamente tenga mucho cuidado de que no lo descubran,

Respuesta corta fuerte>: Es hora de actualizar el currículum y seguir adelante.

Hay pocas ocasiones en las que "Simplemente renuncie" es la respuesta correcta, pero cuando su empleador está involucrado en el engaño y el fraude como práctica comercial habitual ... ¡Sí, salte!
Hay razones por las que es posible que uno no desee permanecer en el anonimato cuando se denuncian irregularidades, los abogados son buenos para ayudar a navegar en esos casos.Además, los abogados son buenos para ayudarlo a evitar infringir la ley cuando se involucra en denuncias.Por último, el OP ya puede estar en peligro legal, por lo que determinar si ese es el caso podría ser útil.Simplemente, los abogados no son inútiles en esta circunstancia en absoluto.
Debe ser específico de EE. UU.En Alemania, básicamente estaría obligado a informar al Fiscal General de Fraude.Y, curiosamente, no será válido ningún papeleo privado que lo prohíba.
@TomTom Lo es, ya que la pregunta tiene una etiqueta de EE. UU. Adjunta.
#3
+22
Anthony
2018-01-20 09:14:26 UTC
view on stackexchange narkive permalink

Soy un auditor de TI con experiencia en la evaluación de controles de seguridad en organizaciones de servicios, como parece ser su empresa.

Siendo uno de los dos principales 'responsables' de la red ahora , ¿corro algún riesgo personal?

En todas las certificaciones que he realizado ( SOC 1 2, 3 AUPs), el cliente y el servicio La organización / proveedor tenía un contrato que generalmente es firmado por la alta dirección del cliente y la organización de servicios. Establecer controles internos en una empresa es, en última instancia, el deber de la dirección y, a menos que sea un miembro de la alta dirección, es poco probable que el cliente lo considere responsable si los controles se tergiversan de forma fraudulenta.

¿Hay algo que pueda hacer más que saltar del barco ?

Para lo que usted personalmente puede hacer, no se parece mucho a lo que han dicho otras respuestas. Por lo tanto, estoy de acuerdo en que la mejor decisión para ti es irte lo antes posible. Puede haber una posibilidad a largo plazo de un cambio positivo, pero dado lo que dijo sobre la administración, dudo que haya una mejora seria en la postura de seguridad de TI de su empresa porque la administración simplemente no se preocupa por el control interno.

No me sorprendería que la mejora, asumiendo que se lleve a cabo, sea impulsada por el cliente en forma de revisiones de diligencia debida del proveedor o auditorías SOC exigidas por nuevos clientes antes de que consideren hacer negocios su empresa.

En este momento, si un cliente requiriera un SOC 1/2 (dependiendo de si el servicio afecta los informes financieros de los clientes), su empresa probablemente recibirá una opinión adversa. En otras palabras , el auditor concluiría basándose en la falta de evidencia confiable de que los controles especificados por la gerencia de su empresa, como si estuvieran implementados, no están diseñados ni funcionan de manera efectiva. Por ejemplo, según lo que escribió, No hay forma de que se cumplan los objetivos de control de SOC 2 con respecto a las Comunicaciones.

Aparte de su pregunta, a continuación se ofrecen algunas sugerencias adicionales.

Olvídese de adoptar controles de seguridad de la información significativos hasta que esas políticas de seguridad se desbloqueen y estén disponibles a todos los empleados

Para que el programa de seguridad de la información de una empresa funcione, todos los empleados deben participar activamente. No pueden hacerlo si no saben qué se espera de ellos. Por ejemplo:

  1. ¿Qué debe hacer un empleado si sospecha de un incidente de seguridad?
  2. ¿Cómo debe denunciar los activos robados, como computadoras portátiles?
  3. Si No existe ningún requisito de capacitación periódica en seguridad, ¿los empleados conocen los ataques que tienen como objetivo las debilidades humanas, como la ingeniería social?
"su" debería estar "allí" justo al final de esta respuesta, pero no tengo la reputación de hacer pequeñas modificaciones.
#4
+14
rackandboneman
2018-01-20 02:24:40 UTC
view on stackexchange narkive permalink

Lo que sigue son cosas oscuras, y no soy abogado ni estoy involucrado en ningún negocio que lo maneje de esa manera.

Tenga en cuenta que a veces la diferencia en la teoría y la práctica con respecto a las políticas de seguridad se entiende mutuamente de manera informal: hay casos en los que el cliente desea tales políticas en papel , probablemente porque SUS clientes quieren que se vea de esa manera en el papel, siendo muy conscientes de que no pueden conseguirlo en la práctica a un precio determinado. Ese juego a veces se juega en una cadena alimentaria de los clientes del cliente.

Tenga en cuenta que los costos gastados en seguridad a menudo se consideran antieconómicos si no están por debajo de ((costo esperado cuando algo sale mal) / (probabilidad percibida sale mal y no puede hacer que otra persona pague la cuenta)).

El riesgo en tales prácticas es que un cliente podría estar calculando en poder subcontratar el culpe a su empresa si algo sucede.

La pregunta importante para usted es: ¿Puede usted, como persona responsable (ante la empresa), ser también responsable (ante personas externas)? Esto depende bastante de la legislación local. No soy un abogado y no puedo comentar sobre eso.

También podría ser importante asegurarse de que la gerencia de su empleador sepa que usted, responsable o no, está a) no implementando la política formal en la práctica yb ) la persona responsable no les dice que lo implementen. Si puede reunir alguna prueba (por ejemplo, correos electrónicos) que lo aclare, hágalo. Si necesita pedir explícitamente que lo consiga por escrito, hágalo de una manera no conflictiva que no implique que tenga una razón (por ejemplo, conocimiento de lo que se le dijo al cliente) para considerar que las prácticas actuales son insuficientes; en lugar de eso, pregunte si la gerencia lo quiere. para cambiar cualquier cosa relacionada con las prácticas de seguridad.

Muy cierto.Sin embargo, el OP parece estar más preocupado por el riesgo de reputación y, en segundo lugar, quizás por la responsabilidad civil.La responsabilidad penal suena remota.
#5
+4
trashpanda
2018-01-19 22:43:26 UTC
view on stackexchange narkive permalink

Podría ser una posibilidad remota dada su descripción de la empresa ... pero podría denunciar irregularidades, ya sea internamente (a RR.HH.) o externamente (un abogado).

Hay algunos consejos útiles sobre https://www.gov.uk/whistleblowing para denunciar irregularidades:

Puede informarle a su empleador: es posible que tenga una política de denuncias que le indique qué esperar si denuncia su preocupación por ellos. Aún puede informarles de su inquietud si no tienen una política.

Existen otras opciones si no desea informar su inquietud a su empleador, por ejemplo, puede obtener asesoramiento legal de un abogado, o dígaselo a una persona u organismo prescrito.

Editar: Si sigue esta ruta, es muy probable que la empresa cierre. Entonces, lo que sea que decidas hacer, es hora de abandonar el barco.

Él es el único Dane Ver
#6
+3
TOOGAM
2018-01-21 02:33:58 UTC
view on stackexchange narkive permalink

acaba de descubrir que las políticas de seguridad que anuncian los directores

Pregúntele a sus directores sobre esto.

Lo hace sonar tan blanco y negro. Y tal vez lo sea. Sin embargo, sé que muchos trabajadores más jóvenes pueden apresurarse a llegar rápidamente a una conclusión como esta, sin que sea la correcta.

Quizás los directores estén implementando ciertas prácticas de seguridad que usted desconoce por completo. Por ejemplo, tal vez no vea cierta seguridad implementada en una estación de trabajo. Sin embargo, tal vez esto se esté implementando en un firewall. O tal vez el tráfico de red está siendo escaneado por una empresa de terceros, utilizando un servicio "en la nube", antes de que el tráfico llegue incluso al firewall más externo de su sitio. O tal vez el servicio se esté implementando, pero solo en una computadora (un "servidor" principal, por ejemplo, en Active Directory podría ser un controlador de dominio) y no se está implementando en otras computadoras. En todos estos escenarios posibles, los directores pueden ser inocentes.

O tal vez esto sea un descuido de algo que se implementó, pero luego se suspendió la implementación pero la publicidad nunca se actualizó. (O tal vez la publicidad fue actualizada por alguna persona de marketing / publicidad que hizo publicidad nueva basada en una lista de funciones, y es solo la lista de funciones la que no se actualizó). En este caso, algo puede estar mal, pero si Si sale con puños en alto, fácilmente podría hacerse enemigos, mientras que preguntar cómo se implementa algo podría hacer que los directores vean un problema y decidan aliarse con usted en los esfuerzos para hacer algo que antes se consideraba innecesariamente costoso. La misma situación podría resultar en un enemigo o un aliado, según cómo lo manejes.

Entonces, para resumir:
Si la empresa, de hecho, no tiene escrúpulos como sugirió su pregunta, entonces hay muchas otras respuestas que brindan consejos sólidos (desafiantes, desagradables, pero correctos). Sin embargo, antes de comenzar cualquier pelea o tomar acciones extremas como saltar del barco, asegúrese absolutamente de cuán mala es la situación. Luego, hable con ellos y pregúnteles sobre los planes existentes para corregir las situaciones o si podemos comenzar a hacer esos planes de inmediato. Si cooperan, acabarás con las atrocidades y harás del mundo un lugar mejor. Si no es así, al menos puede tener la confianza de que hizo lo que pudo para tratar de corregir situaciones antes de salir de una situación tóxica.

Votando esto porque es la única respuesta que no hace suposiciones descabelladas de que el mundo está lleno de personas malvadas que hacen cosas malas en todo momento.Esté de acuerdo en que el mejor curso de acción es simplemente tener la conversación directamente con los directores.ENTONCES, prepárate para abandonar el barco si nada va a cambiar.Asume la inocencia hasta que puedas probar lo contrario.
#7
+1
Talbot Clifton
2018-01-20 00:19:38 UTC
view on stackexchange narkive permalink

Podría encontrarse en una situación complicada. Debe diferenciar entre sus prácticas engañosas y las de su empresa. Si abandona el barco, la empresa podría culparlo por no hacer cosas y luego irse. Te recomiendo que hables con tu gerente sobre esto. ¿También son cómplices de esta mentira? Si es posible, tome notas por escrito después de la reunión.

Exprese sus inquietudes y expóngalas todas. ¿Qué es la reacción de la dirección? Si no desean seguir su consejo sobre las medidas a tomar, renuncie cortésmente, ya que este no es el tipo de empresa que lo ayudará a avanzar en su carrera.

Lea esto primero: https://expertpages.com/news/taping_conversations.htm
Las leyes de grabación de una conversación varían de un estado a otro.Esto podría ser peligroso para el OP.
Tomé "grabar la reunión" en el sentido de documentarla.Tenga una ruta de correo electrónico que pueda usarse para mostrar que la reunión sucedió, y resuma la reunión y lo que se acordó y también póngalo en un correo electrónico.


Esta pregunta y respuesta fue traducida automáticamente del idioma inglés.El contenido original está disponible en stackexchange, a quien agradecemos la licencia cc by-sa 3.0 bajo la que se distribuye.
Loading...