Я работаю ИТ-аудитором по профессии InfoSec. Мой коллега из отдела ИТ-безопасности попросил меня провести экспертную оценку / высказать свое профессиональное мнение по завершенному им отчету о тестировании приложений на проникновение / уязвимостях. Этот конкретный отчет планируется представить высшему руководству позднее на этой неделе.
Мой отдел часто сотрудничает с отделом информационной безопасности во многих сферах нашей деятельности. В прошлом отдел InfoSec очень помогал мне в другой работе, которую я выполнял (соответствие PCI среди нескольких других проектов). В прошлом я также проводил экспертную оценку работы, которая будет представлена руководству, как для моих коллег в моем отделе, так и для членов группы информационной безопасности.
Тем не менее, у меня есть несколько задач на конец квартала, которые необходимо выполнить к концу недели, чтобы включить различные обзоры/проверки процессов. Помимо всего этого, я также планирую несколько проверок, которые начнутся в конце года. Я не думаю, что у меня будет достаточно времени, чтобы предоставить профессионалу через экспертную оценку моему коллеге всю работу, которую я имею. Я считаю, что что-то меньшее, чем откровенная и честная обратная связь, было бы непрофессионально с моей стороны.
Как сообщить коллеге из отдела информационной безопасности, что я не могу максимально вежливо выполнить его просьбу?
Не переусердствуйте с этим. Просто скажите своему коллеге то, что вы сказали нам здесь, четко и вежливо. Вы ясно даете понять, что не можете проводить проверку кода, потому что перегружены другими важными задачами. Что еще более важно, обзор кода, сделанный «просто для того, чтобы покончить с этим», будет не только непрофессиональным, но и нанесет потенциальный вред проекту, особенно если они высоко ценят ваши обзоры.
Вы также должны попытаться предложить им альтернативу, чтобы их работа не застопорилась только потому, что у вас нет времени. Таким образом, вы также избегаете, чтобы это звучало как «это не моя проблема». Предложите им связаться с кем-то другим, кто, по вашему мнению, мог бы сделать код-ревью вместо этого, или, если такого человека нет, предложите (или даже предложите) попросить руководство найти кого-то.
IT-специалисты время от времени перегружаются задачами. Я не вижу никаких причин, по которым ваш коллега должен был бы обижаться на ваш отказ, если только вы не ведете себя придурком (которым вы явно не являетесь).
Таким образом, должно быть сделано что-то вроде следующего:
Я боюсь, что не смогу сделать этот обзор кода, потому что я перегружен другими важными задачами. Я обеспокоен тем, что если я попытаюсь сделать обзор без моего полного внимания к нему, обзор не будет эффективным, и я, вероятно, упущу что-то важное.
Я бы предложил поговорить с Джоном Доу и посмотреть, сможет ли он уделить время обзору. Если вы настаиваете на том, чтобы я сделал обзор, мне придется поговорить с моим менеджером и позволить ему определить приоритет.