Клиент заставил удалить функцию безопасности, теперь клиент обвиняет меня в краже данных

В течение последних месяцев менеджер проекта (PM) от клиента много раз просил удалить некоторые функции безопасности, которые мы добавили на их веб-портал, чтобы «упростить нашу повседневную работу» (их собственные слова).

Сначала эти запросы были спокойными, и нам удалось их пресечь. Через некоторое время PM стал более настойчивым, поэтому я (как руководитель группы проекта) написал подробное электронное письмо с четкими доказательствами опасностей, которые могут быть связаны с выполнением их требований (я скопировал мой босс, моя команда, наш отдел ИТ-безопасности , наш отдел тестирования/контроля качества и их босс). Через несколько дней ПМ ответил мне только (все остальные получатели удалены) в очень непрофессиональной форме (все фразы с большой буквы, прямые и личные оскорбления, угрозы судебных исков за некомпетентность и т.д.) с приказом применить их просьбы или «быть готовым столкнуться с очень серьезными последствиями» (опять же их собственные слова, удаленные мною заглавные буквы). Я немедленно обсудил эту тему с моей начальницей, и она предложила сделать то, что просил PM, и она отправила бы электронное письмо (с копиями всех предыдущих получателей), в котором говорилось бы, что мы выполнили все запросы, но еще раз подчеркнув наши опасения. Поэтому я удалил функции безопасности, и она написала электронное письмо.

С того дня и до вчерашнего дня полная тишина. Вчера утром ПМ написал мне, что их служба безопасности обнаружила, что кто-то незаконно вошел на портал, и в сети были обнаружены личные данные их клиентов. Премьер-министр также сказал, что это «все по моей вине», потому что они не знали о возможных последствиях «вашего решения отключить функции безопасности нашего портала». Глядя на то, как PM описал, что произошло, я заметил, что это был (буквально, шаг за шагом) один из сценариев, которые я выделил как потенциальную угрозу безопасности. Я снова пошел к своей начальнице, и она решила, что с нас хватит ПМ. Так что на следующей неделе она организует звонок, чтобы обсудить ситуацию со мной, с ней, с генеральным директором нашего отдела (на 2 уровня выше моего начальника, то есть на 3 уровня выше меня), со старшим коллегой из нашего отдела безопасности, с менеджером проекта и их начальником.

Хотя я думаю, что не сделал ничего плохого и могу рассчитывать на своего начальника, я также боюсь, что для меня могут быть последствия. Как я могу полностью подготовиться к этому важному звонку и прикрыть свою спину? Как мне вести себя во время него?

Я не понимаю, где ваш босс обвиняет вас в потере данных? Кто именно вас обвиняет? Похоже, это ваш коллега по ИТ? Почему вас беспокоит их заявление? Имеют ли они право уволить вас?
@Donald PM обвиняет меня в проблеме. Я доверяю своему боссу и своей компании. У меня нет страха быть уволенным. Я просто хочу быть на 100% уверенным, что все сделал правильно и хочу знать, нужно ли мне как-то особенно готовиться к звонку
Я не знаю, повлияет ли это на что-нибудь, но есть ли стандартный процесс проверки для изменения функций? Например, есть ли шанс, что они могут заявить, что вы не следовали надлежащей процедуре внесения изменений? (может быть, пришло время обсудить это и с компанией?) Я представляю себе один сценарий, когда кто-то другой получает доступ к электронной почте и запрашивает удаление этой функции в гнусных целях. Я знаю по крайней мере одну ситуацию, когда кто-то пытался сделать это со своим платежным адресом по контракту; но клиент подумал, что что-то не так, и сначала позвонил, чтобы проверить.
Есть ли какие-то сомнения или споры о том, что это «очень непрофессиональное» электронное письмо является реальным и законным (т.е. отправлено личным сообщением)? Электронные письма легко подделать.
@JMac, когда изменение функций в проекте требует изменения кода, для выполнения запроса требуется документ. Когда требуется изменение конфигурации, достаточно электронного письма с соответствующими получателями. Здесь мы были во втором сценарии, поэтому электронная почта была подходящим способом спросить, была соблюдена стандартная процедура.
@fraxinus не спорю, электронная почта подлинная, без сомнений
Вы переслали письмо своему начальнику до или после внесения изменений?
@EJoshuaS-ReinstateMonica Я переслал электронное письмо, прежде чем вносить какие-либо изменения, и внес изменения только после обсуждения с моей начальницей и только после того, как она написала электронное письмо с подтверждением.
@JackJack Хорошо, это был умный способ сделать это, так что нет абсолютно никаких причин, по которым у вас должны быть какие-либо проблемы. Похоже, ты сделал все правильно для меня.
Из любопытства, как дела пошли дальше?
@frarugi87 Впервые в жизни я вижу, как человека увольняют на месте, а на него кричат ​​его начальники (которые утверждали, что подали бы в суд на премьер-министра за умышленный ущерб их компании и их клиентам). После этого они много раз извинялись за поведение ПМ и просили снова включить все функции безопасности (я сделал это до окончания звонка). Все остались довольны, других проблем с этим клиентом у нас нет.

Ответы (5)

Как я могу полностью подготовиться к этому важному звонку и прикрыть свою спину? Как мне вести себя во время него?

Похоже, ваш босс это прикрыл.

Обсудите это со своим боссом. Спросите ее, есть ли что-то еще, что вы должны сделать в качестве подготовки. Затем следуйте ее примеру.

Приносите свои заметки на любую встречу. Используйте их только тогда, когда ваш начальник просит вас об этом.

Не занимайте оборонительную позицию. Действуйте так, как будто вы сделали все, о чем вас просили, несмотря на ваши профессиональные рекомендации, потому что именно это и произошло. Укажите, что вы по-прежнему счастливы делать все, что от вас требуют.

Начните думать о том, как вы можете повторно реализовать функции безопасности, которые вам сказали удалить. Подготовьте сметы для этого.

И не волнуйся так. Вы справились с этим профессионально. Изложение вариантов и ваших профессиональных рекомендаций было умным. Сообщить об этом руководству, когда ваши предупреждения были отменены, было совершенно уместно. Делать то, что требовал хорошо информированный премьер-министр, было правильно. И ясно, что ваш босс прикрывает вашу спину. Это все хорошо.

@PatriciaShanahan Поскольку этот портал легко настраивается, восстановление представляет собой простую модификацию файла конфигурации и перезапуск приложения.
@JackJack это возможно, но (а) покупателю не нужно об этом знать и (б), но он все равно должен оплачиваться.
Я бы также добавил, что в будущем на такие запросы следует отвечать «нам нужен формальный запрос на изменение требований и подписание», а не просто электронная почта. Это помогает документальному следу, и все, кому это нужно, становятся осведомленными.

Вы подчеркнули проблемы безопасности. Все знали о том, что произойдет. У вас есть бумажный след.

Кроме того, самое главное, ваш босс будет прикрывать вашу спину. Итак, расслабьтесь и распечатайте документы прямо сейчас и выделите свои предупреждения, упомянутые TheoreticalMinimum в комментариях. Принесите их в качестве доказательства, когда спросят. Вы в полной безопасности в этом.

Особенно напечатайте письмо с угрозами, которое ПМ отправил только ОП. Это дымящийся пистолет, потому что решение премьер-министра удалить функции.
Выведите также все заголовки этих писем.
ОП в безопасности, пока его компания хочет «выиграть» спор больше, чем они хотят сохранить клиента как клиента. ОП должен начать готовить свое резюме
Обратите внимание на «все заголовки» в комментарии @fraxinus. Многие программы чтения почты по умолчанию отображают только сводку. Вы должны увидеть ряд строк с надписью «Получено от X через Y...», где X и Y — это серверы в цепочке от отправляющей машины до вашего почтового сервера.

Уже хорошие ответы, но есть что добавить

Как я могу полностью подготовиться к этому важному звонку?

Вы должны обсудить со своим начальником, как именно должна проходить эта встреча, особенно если у вас нет большого опыта в подобных вещах.

  1. Какова цель и желаемый результат встречи?
  2. Какова повестка дня и кто будет вести?
  3. Каковы ваши роли, когда вы должны говорить и когда вы должны заткнуться?
  4. Какие именно подтверждающие документы должны быть у вас. В какой форме они должны быть, когда и как должны быть представлены. Просмотрите их заранее
  5. Какие ключевые фразы вы должны использовать? Запишите их и запомните.
  6. Обсудите, какие возможные реакции/аргументы могут быть у другой стороны и как вы будете на них отвечать/реагировать.

Если вы идете на потенциально спорную и напряженную встречу, полезно хорошо подготовиться. Чем больше вы можете предвидеть, что именно произойдет, тем лучше вы сможете реагировать, тем спокойнее вы будете чувствовать себя и тем больше вероятность того, что вы получите желаемый результат.

Одна из потенциальных стратегий встречи — найти самого слабого человека по другую сторону стола и начать его взламывать: постарайтесь вывести его из себя, разозлить или сбить с толку, чтобы он сказал что-то неправильное или неуместное. Убедитесь, что это не вы.

Помните: вы в порядке. Вы все сделали правильно, и у вас есть документы, подтверждающие это.

Я думаю, что это очень хороший совет. Знайте, кто участники встречи, каков итог, что следует говорить (и как формулировать), а что не следует говорить и каких фраз следует избегать. ОП упомянул об утечке «частных» данных. Не на 100% ясно, что это значит, но если это включает в себя защищенные данные, идентифицирующие личность, вполне может быть юридическое обвинение, даже уголовное, циркулирующее. ОП не сделал ничего плохого, поэтому следует избегать таких фраз, как «извините», которые могут быть истолкованы как принятие на себя ответственности.

Уже есть много хороших ответов, но еще один момент, о вашем поведении во время встречи, который я не видел хорошо освещенным. Сохранять спокойствие.

Судя по тону электронных писем, которые вы получили от этого клиента, будьте готовы к тому, что они будут кричать на вас, обвинять вас и просто вести себя неприятно. Позволь им. Пусть они говорят все, что считают нужным, и не перебивают. Пусть изнашиваются и не принимают это на свой счет. Затем, когда придет ваша очередь говорить, вы можете спокойно предъявить свои распечатанные электронные письма, где вы обозначили все риски, и они все равно одобрили изменения. Они попытаются втянуть вас в кричащий матч, но это действительно трудно сделать с тем, кто не будет участвовать. Не позволяйте им тянуть вас до их уровня.

Вы не сделали ничего плохого и у вас есть документы, подтверждающие это. Вполне вероятно, что этот клиент на самом деле знает, что он не прав, но пытается свалить это на вас, чтобы спасти себя. Если вы позволите им залезть вам под кожу и разозлиться, это их последний шанс утащить вас за собой. Это не сработает, если вы будете оставаться спокойным и профессиональным.

Через несколько дней ПМ ответил мне только (все остальные получатели удалены) в очень непрофессиональной форме (все фразы с большой буквы, прямые и личные оскорбления, угрозы судебных исков за некомпетентность и т.д.) с приказом применить их просьбы или «быть готовым столкнуться с очень серьезными последствиями»

Если вы еще этого не сделали, экспортируйте эти электронные письма в другое место на случай, если по какой-либо причине вы не сможете получить к ним доступ.

Затем вы сказали своему боссу и показали электронные письма, объясняющие все, что могло случиться, что произошло. Теперь это игра ожидания. Если они бросят вас под автобус, вы можете поспорить, что ваши электронные письма таинственным образом исчезнут, и вы уволены.

Все электронные письма уже были отправлены моей начальнице, она их проверила. Она также написала последнее письмо сама.
@JackJack Из любопытства, вы переслали их до или после внесения изменений?
Клиент заставил удалить функцию безопасности, теперь клиент обвиняет меня в краже данных
СпросиСетьПолитика конфиденциальности1y, 0v