Etika Bisnis / Legalitas Untuk Administrator TI

22

Sebagai administrator sistem, adakah hal-hal yang mungkin tidak jelas yang tidak boleh dilakukan secara etis atau legal bahkan ketika diperintahkan untuk melakukannya? Saya lebih tertarik secara hukum, tindakan seperti apa yang dapat merusak operator masa depan Anda atau membuat Anda bermasalah dengan hukum .

Misalnya, apakah tidak pernah boleh menghapus jenis file tertentu bahkan ketika Bos memintanya?

Secara khusus, saya bertanya-tanya tentang Amerika Serikat. Juga, saya tidak dalam situasi seperti ini saat ini, pertanyaan lain hanya membuat saya berpikir bahwa ini adalah informasi yang harus saya ketahui.

Sungguh, saya tidak mencoba untuk memicu diskusi tentang etika, atau skenario rumit di mana akan lebih baik untuk memanggil pengacara. Tetapi daftar periksa, atau beberapa literatur, atau beberapa undang-undang yang harus diketahui oleh setiap orang TI.

Kyle Brandt
sumber
4
Ini seharusnya benar-benar artikel wiki, karena tidak ada jawaban benar atau salah.
John Gardeniers
1
Mungkin tidak ada yang benar atau salah jawaban, tapi akan ada etika dan etis jawaban, saya yakin ... seharusnya tidak kita reputasi penghargaan untuk etika? ;-)
Chris W. Rea,
@John nonsense - Anda masih bertanggung jawab atas tindakan Anda
Jim B
+1 untuk pertanyaan yang bagus.
Chris W. Rea,
Jim, Anda membaca sesuatu yang tidak saya tulis. Bahkan saya tidak mengisyaratkan bahwa saya tidak berpikir kita harus bertanggung jawab atas tindakan kita. Justru sebaliknya. Baca jawaban saya di bawah ini.
John Gardeniers

Jawaban:

4

Saya pikir jika Anda menyimpan kertas / jejak elektronik dari apa yang diminta oleh atasan Anda, itu akan membuat Anda aman dari masalah hukum

yaitu jangan hanya menghapus beberapa catatan karena atasan Anda menyuruh Anda untuk mengobrol di pendingin air karena mungkin akan menyeret Anda ke tempat yang tidak Anda ketahui dan atasan Anda dapat menyangkal pernah menyuruh Anda melakukan hal itu hal. Jika atasan Anda memberi tahu Anda sesuatu secara lisan, kembalilah ke kantor Anda dan kirimkan e-mail "konfirmasi" permintaan mereka kepada Anda.

Etika adalah hal yang sangat sulit untuk admin sistem karena kami menyentuh begitu banyak aspek bisnis, tetapi jika sesuatu berbau amis kepada Anda, maka dapatkan secara tertulis atau cetak sebelum melakukannya.

Glen Y.
sumber
4
Memang - jika Anda diminta untuk melakukan sesuatu "tidak direkam", itu biasanya berarti tidak etis.
pjc50
3

Sebagai orang Amerika, jika Anda bertanggung jawab atas sistem CMS yang menyimpan data keuangan, Anda harus membiasakan diri dengan Sarbanes-Oxley Act , yang menempatkan kewajiban pada bisnis untuk menyimpan beberapa jenis catatan keuangan tertentu untuk jangka waktu tertentu.

(Wajib: IANAL)

Perhubungan
sumber
Saya telah melihat itu sebelumnya, tetapi tidak benar-benar memperoleh sesuatu yang praktis darinya untuk seorang administrator TI (Mungkin seorang CIO) ...
Kyle Brandt
SOX hanya penting jika Anda adalah perusahaan publik (yaitu perusahaan Anda yang melakukan IPO) atau jika perusahaan tersebut ingin menjadi perusahaan publik.
feniix
2

Saya bukan pengacara, jadi tolong ambil yang berikut dengan sebutir garam.

Sejauh yang saya tahu, satu-satunya masalah dengan legalitas adalah jika Anda menghapus bukti kegiatan ilegal. Itu pasti bisa membuat Anda dalam masalah.

Di sisi lain, jika Anda telah menghapus catatan yang tidak mengandung bukti sesuatu yang ilegal tetapi masih dipanggil setelah fakta, kecil kemungkinan Anda akan mendapat masalah untuk itu.

Target mudah
sumber
3
Bagaimana Anda tahu bahwa catatan panggilan pengadilan yang Anda hapus tidak mengandung bukti kegiatan ilegal? Bagaimanapun, ada banyak peraturan di banyak industri dan pemerintahan yang menentukan catatan apa yang bisa dan tidak bisa dihancurkan, dan kapan. Cukup rumit.
Boden
1
Inilah skenario yang menyenangkan. Anda bekerja untuk penerbit berita dan dalam kasus baru-baru ini informasi mengenai investigasi yang sedang berlangsung bocor dari kepolisian setempat. Informasi itu membuat otoritas lokal tidak jelas, dan mereka sangat ingin menemukan sumber kebocorannya. Manajemen senior berasumsi mereka akan dapat menemukan hakim untuk menandatangani surat perintah pencarian. Karena sistem Anda berisi informasi yang dapat mengidentifikasi sejumlah sumber, Anda diminta untuk menghapus data dan menghapus semua rekaman yang relevan. FBI tidak akan menyukainya, tetapi Anda memiliki hak konstitusional untuk melindungi sumber Anda. Apa yang akan kamu lakukan? :)
Roy
2
Roy: Hubungi pengacara ketika itu rumit :-)
Kyle Brandt
2
Kecuali mereka memiliki alasan untuk percaya bahwa sesuatu yang ilegal terjadi, mereka tidak bisa hanya mendapatkan surat perintah untuk mendapatkan sumber. Berikut adalah situs web yang membahas berbagai isu yang berfokus pada jurnalis. rcfp.org/handbook/c04p08.html
Shial
Itu sangat benar, dan +1 untuk referensi. Namun, membocorkan informasi tentang investigasi yang sedang berlangsung adalah kejahatan di sebagian besar tempat sehingga hanya ada sedikit pertanyaan bahwa sesuatu yang ilegal telah terjadi. Sebagian besar negara bagian dan negara memiliki batasan dalam mencari ruang redaksi, tetapi pencarian masih terjadi. Enkripsi yang kuat adalah cara umum untuk melindungi sumber dan pelapor terhadap skenario seperti itu, tetapi ada alasan mengapa beberapa organisasi berita menjaga peralatan degaussing tetap mahal.
Roy
2

Ini pertanyaan yang menarik. Apa yang kita lakukan ketika diminta oleh majikan untuk melakukan sesuatu yang jelas tidak bermoral dan mungkin ilegal.

Ini bisa berupa mengakses file atau data pribadi, menerbitkan materi dalam embargo, menghapus data yang harus disimpan atau menyimpan data yang harus dihapus.

Saya pikir jawaban untuk pertanyaan ini harus agak subjektif. Karyawan memiliki beragam perlindungan dan kewajiban di bawah sistem hukum yang berbeda. Posisi dan status Anda dalam perusahaan dapat menentukan opsi yang tersedia untuk Anda. Lalu, ada faktor pribadi. Seberapa jauh Anda bersedia pergi untuk mempertahankan pekerjaan Anda?

Secara pribadi, saya telah menolak untuk membantu mendistribusikan surat yang tidak diminta dan dan secara aktif mencegah penerbitan hasil pemilihan secara ilegal. Kedua kali saya dapat menemukan dukungan di departemen hukum dan manajemen senior masing-masing, tetapi itu adalah garis yang baik untuk berjalan - Dalam kedua kasus, kesalahan penilaian kecil bisa membuat saya kehilangan pekerjaan saya bahkan di bawah undang-undang perlindungan Norwegia.

Intinya adalah, tergantung pada individu untuk mempertimbangkan situasi, menimbang tanggung jawab dan loyalitas, menilai risiko, membuat keputusan - dan akhirnya hidup dengan konsekuensinya.

Roy
sumber
2

Etika adalah konsep yang sangat cair dan sangat bervariasi antara budaya dan tempat. 'Nuf berkata tentang itu.

Anda harus terlebih dahulu memahami bagaimana hukum setempat berlaku untuk situasi tersebut, karena kadang-kadang hukum itu berhenti di situ. Saya tidak percaya ada di antara kita yang harus mengikuti instruksi yang kita tahu melanggar hukum, kecuali kita juga siap menerima konsekuensi yang timbul dari melakukan itu. Langkah selanjutnya adalah menerapkan keyakinan pribadi Anda (etika, moral, agama, apa pun). Terkadang akan ada konflik dan Anda harus membuat keputusan sendiri.

Saya pribadi menolak untuk melakukan hal-hal pada sejumlah kesempatan karena saya tidak percaya bahwa apa yang diminta untuk saya lakukan adalah "benar", baik secara hukum maupun moral. Terkadang saya memenangkan argumen dan di lain waktu orang lain mengikuti instruksi yang sama karena mereka merasa kurang kuat tentang hal itu (atau takut kehilangan pekerjaan). Sementara saya tidak pernah secara pribadi dipecat dalam situasi seperti itu, saya tahu orang lain yang pernah. Jika saya merasa cukup kuat, saya akan menanggung risiko itu setiap waktu.

John Gardeniers
sumber
Hmmm ... saya setuju dengan itu. Saya tidak akan terlalu khawatir kehilangan pekerjaan, tapi tentu saja, saya tidak punya anak atau hipotek :-) Tapi sungguh saya ingin daftar hal-hal yang selalu dipikirkan dua kali. Hal-hal yang perlu diingat dengan industri tertentu juga baik, tetapi saya akan berpikir bahwa industri tersebut cenderung memiliki orientasi untuk hal semacam itu.
Kyle Brandt
+1 untuk "Etika [...] sangat bervariasi antara budaya dan tempat."
CesarGon
2

Saya sebenarnya telah menulis sebuah artikel berjudul "Mengelola Manajer" yang membahas topik ini, 6 tahun yang lalu. Tapi apa yang terjadi adalah ** Lindungi A **** Anda

Prinsipnya semua administrator harus hidup dengan CYA selalu. Tidak masalah siapa yang bertanggung jawab, selalu lakukan itu untuk "berjaga-jaga." Itulah sebabnya Kebijakan Komputer harus selalu diterapkan, itu mencakup Anda dari tanggung jawab asalkan mereka menandatanganinya atau setidaknya membagikannya dengan maksud itu. Hal yang sama berlaku dengan prompt login Kebijakan Keamanan Lokal, gunakan juga untuk alasan itu. Segera setelah mereka masuk ke komputer mereka, katakan bahwa mereka setuju dengan ketentuan kebijakan.

Saya memiliki pengalaman pribadi dengan situasi seperti ini, dan coba tebak apa yang terjadi pada saya ketika FBI menangkap CFO kami karena beberapa tuduhan? Tidak ada, dan karena saya CYA dan semua bukti diselamatkan kalau-kalau sesuatu yang buruk terjadi.

AdminAlive
sumber
1

Pastikan Anda memiliki kebijakan yang didasarkan pada persyaratan industri (tergantung pada apa yang dilakukan perusahaan, persyaratan ini akan berbeda)

Jika saya pernah diminta untuk menyentuh email pengguna lain atau melakukan beberapa penemuan saya mendapatkan sesuatu secara tertulis dari departemen SDM kami dengan tanda tangan mereka. Saya langsung mengatakan kepada mereka itu CYA untuk saya. Orang-orang bersedia menerimanya ketika Anda memberi tahu mereka bahwa Anda tidak ingin melanggar privasi informasi apa pun dan itu juga membantu mengumpulkan kepercayaan bahwa Anda adalah yang bersangkutan.

Namun asuransi terbaik adalah cadangan penuh di lokasi penyimpanan di luar kantor. Terutama jika Anda memiliki kebijakan berjalan menjaga beberapa tahun bernilai di tempat yang aman (Pada org saya, kami memiliki brankas di fargo sumur, kaset setiap bulan pergi ke sana dan tinggal di sana tanpa batas waktu) Jika Anda menghapus sesuatu yang ternyata ilegal Anda dapat mengarahkan simpatisan ke cadangan. Jika seseorang ingin backup dihapus maka pasti ada sesuatu yang ilegal terjadi.

Shial
sumber
1
Mungkin ada alasan bagus untuk menghapus cadangan, subyektif terhadap hukum yang berlaku. Beberapa negara mengharuskan data sensitif atau pribadi dihapus atas permintaan pelanggan atau individu. Lain adalah bahwa log komunikasi sering kali berada di bawah batasan tertentu. Retensi maksimum di UE adalah 12 bulan, pada saat itu log harus dihapus, termasuk cadangan apa pun.
Roy
tidak harus dalam banyak kasus hanya menghilangkan cadangan pertanda aktivitas ilegal (terutama perusahaan finansial). Ada pelanggaran hukum untuk tidak menyimpan cadangan untuk periode waktu yang lama untuk data seperti email dan catatan keuangan
Jim B
1
Benar, saya pikir itu memiliki kebijakan berdasarkan persyaratan industri.
Shial
1

IANAL pertama, tetapi saya telah terlibat dalam masalah legalitas TI. Pemahaman saya adalah bahwa tindakan TI mengarah pada apa yang dapat diharapkan secara wajar untuk diketahui oleh orang TI tersebut. EG, bos memberi tahu Anda untuk menghapus file acounting. Anda TAHU bahwa mereka sedang diselidiki. Anda melakukan itu dan Anda kemungkinan akan didakwa dengan penghalang. Di sisi lain, situasi yang sama dan Anda tidak tahu bahwa ada investigasi (dan pemerintah dapat menentukannya), dan masuk akal jika Anda diminta untuk menghapus file-file itu, Anda akan baik-baik saja.

seperti yang ditunjukkan sebelumnya ada peraturan lain yang mungkin berlaku. Dalam biotek 21 cfr bagian 11 peraturan akan berlaku

Sebagai staf TI Anda dianggap memiliki pemahaman tentang apa yang masuk akal dan kebiasaan (saya percaya itu legalese). Namun itu tidak ilegal bagi mereka untuk memecat Anda karena tidak melakukan kegiatan yang diminta, undang-undang whistleblower federal akan berlaku. Kenyamanan kecil karena Anda cenderung menjadi orang yang terkenal di banyak negara bagian yang lebih kecil.

Jim B
sumber
1

Pertanyaan bagus Saya tidak dapat benar-benar merujuk apa pun ke Amerika Serikat karena saya tidak bekerja di sana, tetapi etika / legalitas telah menjadi salah satu hal yang sering muncul dalam pekerjaan siapa pun dengan hak istimewa sistem yang tinggi, tetapi tampaknya tidak ada berada di dekat panduan formal yang cukup pada. Secara pribadi, itu membuat saya berharap ada badan industri yang kuat yang mewakili kita dengan cara yang sama seperti yang dilakukan dokter dan pengacara. Saya tahu British Computer Society (khusus Inggris) telah menerbitkan kode etik untuk anggota, yang membuat saya bergabung untuk merasa melanggar kode itu akan menjadi pertahanan relevan yang wajar untuk menolak permintaan yang tidak etis. Saya menduga mungkin ACM mungkin mirip dari sudut pandang AS?

Secara pribadi, saya cenderung bekerja dengan aturan yang sama seperti yang disebutkan orang lain. CYA. Dokumentasikan, audit, dan catat semua yang sejauh mungkin, dan jika itu membuat Anda merasa tidak nyaman melaksanakan permintaan, saya percaya kompas moral saya dan mencoba memastikan bahwa dokumen itu didokumentasikan setinggi yang saya bisa dapatkan.

Mike1980
sumber
0

Seperti yang disebutkan sebelumnya, jelas ada garis yang baik untuk berjalan dalam banyak situasi yang menghadirkan dilema etis. Sebagian besar dari kita merasa berkewajiban oleh standar pribadi dan profesional untuk bertindak sendiri secara etis. Pegawai pemerintah dikenakan sanksi pidana dalam banyak kasus karena praktik yang dianggap normal di sektor swasta. (Hadiah dari wiraniaga, dll)

Cara terbaik untuk menghadapi situasi semacam ini adalah mencegahnya terjadi.

Untuk masalah teknis: batasi hak istimewa, prosedur pengaturan, kontrol internal, dan jalur audit untuk mempersulit orang menyembunyikan perilaku. Jika semua orang tahu bahwa jejak audit ada, itu akan berfungsi sebagai pencegah. Dorong kebijakan siklus hidup data ... (mis. Pemilihan berkala) Di lingkungan yang lebih besar, Anda menggunakan meja layanan / help desk untuk menempatkan firewall antara pengguna & TI atau pengguna & akuntansi.

Untuk masalah manusia: Anda harus mengetahui hukum / peraturan yang Anda ikuti. Maka Anda harus memiliki tulang punggung. Katakan tidak". Melakukannya dapat berarti bahwa Anda akan menghadapi pembalasan dari manajemen Anda.

duffbeer703
sumber