Компания не следует политикам безопасности, рекламируемым клиентам

Я работаю в небольшой консалтинговой компании без официального ИТ-персонала. Еще один сотрудник и я единственные, кого действительно волнует информационная безопасность и управление сетью. Мы оба сталкиваемся с огромным сопротивлением, когда пытаемся потратить время на улучшение безопасности, потому что это не оплачивается напрямую.

Я только что обнаружил, что политика безопасности, которую директора рекламируют клиентам и используют для приобретения всего нашего бизнеса, даже близко не отражает того, как мы на самом деле работаем. Есть ли что-нибудь, что я могу сделать, кроме как покинуть корабль?

Я довольно неопытен в этой части вещей, так как я в первую очередь разработчик, который все еще пытается пробиться в индустрию безопасности. Являясь одним из двух основных «ответственных» за сеть сейчас, несу ли я какой-либо личный риск?

Комментарии не для расширенного обсуждения; этот разговор был перемещен в чат . Пожалуйста , редактируйте обновления в OP и используйте связанный чат для обсуждения / комментариев и поле для ответов для ответов.
В ответах много разных советов, но на самом деле все сводится к следующему: что самое худшее может случиться, если слабое отношение к безопасности станет реальным и что-то будет нарушено? Вы занимаетесь интерфейсной веб-разработкой и, может быть, кто-то увидит исходный код плагина? Или вы используете платформу электронной коммерции, где финансовые данные находятся под угрозой? Все сводится к тому, насколько серьезным будет нарушение. И если это компания, которая имеет дело с финансовыми и другими конфиденциальными данными, то да… Вам нужно выйти, прежде чем вас сделают «простолюдином» за взлом. Если не? Извините, что то, что вы описываете, более распространено, чем нет.
Имейте в виду, что это во многом зависит от того, какие именно правила регулируют то, что компания должна делать: если компания соблюдает правила HIPAA, бегите. Если компания работает в нерегулируемой отрасли и делает в основном ложные заявления в рамках маркетинговых материалов (например, запускает антивирусные сканеры на Linux-серверах), то с юридической точки зрения она творчески подходит к фактам. Что на данный момент является просто вопросом этики, а не вопросом мошенничества.

Ответы (7)

Если имеет место широко распространенное мошенничество (а это именно то, что происходит здесь, судя по тому, как вы это описываете), то в конечном итоге один из ваших клиентов выяснит это и вызовет в суд любого, кто работает над этими проектами. Я бы лично обратился за юридической помощью в этот момент. Вы говорите так, как будто вы находитесь в какой-то правовой ситуации, которая нуждается в руководстве профессионала, с которым вы можете свободно поговорить и который может помочь вам пройти через это.

Следует также отметить, что чем дольше вы остаетесь, тем труднее иметь какое-либо правдоподобное отрицание. Только подумайте обо всех людях, которые знали что-то годами и никогда ничего не говорили, и у этих парней тоже большие проблемы. Если вы знаете сейчас, то пришло время говорить прямо сейчас.
Я собираюсь отметить это как ответ, так как я как бы подозревал, что это так. К счастью для меня, я только что осознал степень нечестности, поскольку «политики» заблокированы за страницей слияния, которая требует управленческих ролей, поэтому обычные сотрудники не могут их видеть. Мне дали их два дня назад по необходимости, потому что им нужен был кто-то, кто написал бы план обеспечения непрерывности бизнеса, и я сказал им, что мне нужна любая текущая документация в качестве отправной точки.
Даже если он получит юридическую консультацию, лучше всего для ОП выйти из затруднительного положения как можно скорее. Затем ОП может нанять адвоката, если в этом возникнет необходимость.
@NetworkMonkey Для справки в будущем, отказ показывать сотрудникам то, что они показывают потенциальным клиентам, был бы для меня огромным красным флажком.
Честно говоря, я сомневаюсь, что будут выданы какие-либо повестки в суд. Когда клиенты узнают о мошенничестве, они будут тихо отменять/не продлевать контракты, и бизнес замедлится без судебных разбирательств.
@emory Во многом это зависит от того, как будет обнаружено мошенничество. Если утечка данных распространит данные клиентов по всему Интернету, вполне вероятны судебные иски. В худшем случае это была какая-то защищенная законом информация, и в дело вмешалось правительство.
@KRyan Это вполне нормально, если сотрудник не работает напрямую с клиентом. Обычно вы не даете информацию людям, которым это не нужно знать.
Компании @mbrig попытаются скрыть бриджи безопасности, если смогут, но вы правы, что они не всегда могут это сделать. я не думаю, что это имеет большое значение. в любом случае вы не хотите иметь с этим ничего общего.
@immibis Есть разница между тем, чтобы не предлагать это, и отказом от этого.
Согласитесь с ответом в целом, но, скорее всего, они просто закажут копию электронных писем между названной группой лиц, в которых есть определенные слова. Обычно вызывают в суд только больших мальчиков, и то позже.

Есть ли что-нибудь, что я могу сделать, кроме как покинуть корабль?

Неа

Вам нужно как можно скорее покинуть корабль , так как кажется, что ваша компания занимается мошенничеством, и в какой-то момент это будет обнаружено. И в качестве дополнительного бонуса они могут использовать вину по-своему. То, что вы указываете на это, не принесет никакой пользы, как вы уже обнаружили.

Что касается найма адвоката, я действительно не вижу, что это даст вам, кроме большого счета . Вы можете ознакомиться с некоторыми бесплатными методами анонимного информирования о нарушениях, но опять же будьте очень осторожны , чтобы вас не обнаружили.

Краткий ответ : пришло время обновить резюме и двигаться дальше.

Есть несколько случаев, когда правильный ответ «Просто увольняйтесь», но когда ваш работодатель занимается обманом и мошенничеством как обычной деловой практикой ... Да, прыгайте!
Есть причины, по которым нельзя оставаться анонимным при разоблачении, адвокаты хорошо помогают ориентироваться в таких случаях. Кроме того, адвокаты хорошо помогают вам не нарушать закон, когда вы участвуете в разоблачении. Наконец, ОП уже может быть под угрозой с юридической точки зрения, поэтому может быть полезно определить, так ли это. Просто - адвокаты в данном случае совсем не бесполезны.
Это должно быть специфично для США. В Германии вы в основном были бы обязаны сообщить генеральному прокурору о мошенничестве. И, что интересно, никакие частные документы, запрещающие это, не будут действительны.
@TomTom Это так, поскольку к вопросу прикреплен тег США.

Я ИТ-аудитор, у меня есть опыт оценки мер безопасности в сервисных организациях, вроде вашей компании.

Являясь одним из двух основных «ответственных» за сеть сейчас, несу ли я какой-либо личный риск?

Во всех проведенных мною аттестациях ( SOC 1, 2, 3 AUP ) клиент и сервисная организация/поставщик имели договор, который обычно подписывается высшим руководством клиента и сервисной организации. Установление внутреннего контроля в компании, в конечном счете, является обязанностью руководства, и если вы не являетесь членом высшего руководства, вы вряд ли будете нести ответственность перед клиентом, если средства контроля будут искажены обманным путем.

Есть ли что-нибудь, что я могу сделать, кроме как покинуть корабль ?

Для того, что вы лично можете сделать, нет ничего особенного, как другие ответы. Поэтому я согласен, что лучшее решение для вас — уйти как можно скорее. Возможно, в долгосрочной перспективе возможны положительные изменения, но, учитывая то, что вы сказали об управлении, я сомневаюсь, что вы серьезно улучшите позицию вашей компании в области ИТ-безопасности, потому что руководство просто не заботится о внутреннем контроле .

Я не удивлюсь, если улучшение, если оно произойдет, будет осуществляться клиентами в форме комплексных проверок поставщиков или аудитов SOC, которых требуют новые клиенты, прежде чем они рассмотрят возможность сотрудничества с вашей компанией.

На данный момент, если клиенту потребуется SOC 1 / 2 (в зависимости от того, влияет ли услуга на финансовую отчетность клиентов), ваша компания, скорее всего, получит отрицательное заключение. Другими словами, на основании отсутствия авторитетных доказательств аудитор может сделать вывод о том, что средства контроля, установленные руководством вашей компании, не разработаны и не работают эффективно. Например, исходя из того, что вы написали, цели контроля SOC 2 в отношении коммуникаций не могут быть выполнены.

В дополнение к вашему вопросу, ниже приведены лишь некоторые дополнительные предложения для вас.

Забудьте о принятии значимых средств управления информационной безопасностью, пока эти политики безопасности не будут разблокированы и не станут доступными для всех сотрудников.

Чтобы программа информационной безопасности в компании работала, в ней должны активно участвовать все сотрудники . Они не могут этого сделать, если не знают, чего от них ждут. Например:

  1. Что делать сотруднику, если он подозревает нарушение безопасности?
  2. Как они должны сообщать о украденных активах, таких как ноутбуки?
  3. Если нет требований к периодическому обучению безопасности, осведомлены ли сотрудники об атаках, нацеленных на человеческие слабости, таких как социальная инженерия?
«Их» должно быть «там» прямо в конце этого ответа, но у меня нет репутации здесь, чтобы вносить небольшие правки.

Далее следует тёмная тема, и я не юрист и не связан с каким-либо бизнесом, решающим это таким образом.

Имейте в виду, что иногда разница в теории и практике в отношении политик безопасности неформально взаимно понимается - бывают случаи, когда клиент хочет, чтобы такие политики были на бумаге , вероятно, потому, что ИХ клиенты хотят, чтобы это выглядело так на бумаге, при этом очень хорошо осознавая что они не могут получить его на практике по данной цене. В эту игру иногда разыгрывается пищевая цепочка клиентов клиента.

Имейте в виду, что затраты на безопасность часто считаются неэкономичными, если они не ниже ((ожидаемые затраты, когда что-то пойдет не так)/(ощущаемая вероятность того, что что-то пойдет не так, и вы не сможете заставить кого-то еще оплатить счет)).

Риск такой практики заключается в том, что клиент может рассчитывать на возможность переложить вину на вашу компанию, если что-то случится.

Важный вопрос для вас: можете ли вы, как лицо, ответственное (перед компанией), также нести ответственность (перед посторонними)? Это скорее зависит от местного законодательства. Я не юрист и не могу это комментировать.

Также может быть важно убедиться, что руководство вашего работодателя знает о том, что вы, независимо от того, ответственны вы или нет, а) не применяете официальную политику на практике и б) подотчетное лицо не требует от вас ее реализации. Если вы можете собрать какие-либо доказательства (например, электронные письма), подтверждающие это, сделайте это. Если вам необходимо прямо попросить получить его в письменной форме, делайте это в неконфронтационном ключе, который не означает, что у вас есть причина (например, знание того, что было сказано клиенту) считать текущую практику недостаточной — лучше спросите, хочет ли руководство, чтобы вы изменить что-либо в отношении методов обеспечения безопасности.

Очень верно. Однако ОП, похоже, больше обеспокоен репутационным риском и, во-вторых, возможно, гражданской ответственностью. Уголовная ответственность кажется отдаленной.

Возможно, это далеко не так, учитывая ваше описание компании... но вы можете сообщить об этом либо внутри компании (отделу кадров), либо снаружи (юристу).

На https://www.gov.uk/whistleblowing есть несколько полезных советов , как сообщать о правонарушениях:

Вы можете сообщить об этом своему работодателю — у них может быть политика информирования о нарушениях, в которой указано, чего ожидать, если вы сообщите им о своей проблеме. Вы по-прежнему можете сообщить им о своей проблеме, если у них нет политики.

Есть и другие варианты, если вы не хотите сообщать о своей проблеме своему работодателю, например, вы можете получить юридическую консультацию у адвоката или сообщить об этом назначенному лицу или органу.

Редактировать: если вы пойдете по этому пути, есть большая вероятность, что компания может быть закрыта. Итак, что бы вы ни решили сделать, пора бежать с корабля.

Он единственный датчанин Вер

только что обнаружил, что политики безопасности, которые рекламируют директора

Спросите об этом своих директоров.

Ты заставляешь это звучать так черно-бело. И, может быть, это так. Тем не менее, я знаю, что многие молодые работники могут поторопиться с таким выводом, хотя он не является правильным.

Возможно, директора внедряют определенные меры безопасности, о которых вы совершенно не подозреваете. Например, возможно, вы не видите, что на рабочей станции реализована определенная защита. Однако, возможно, это реализовано в брандмауэре. Или, возможно, сетевой трафик сканируется сторонней компанией с помощью «облачной» службы еще до того, как трафик достигнет самого внешнего брандмауэра вашего сайта. Или, может быть, служба внедряется, но только на одном компьютере (основном «сервере», например, в Active Directory это может быть контроллер домена) и не внедряется на других компьютерах. Во всех этих возможных сценариях режиссеры могут быть невиновны.

А может это недоработка чего-то, что было реализовано, но потом внедрение было прекращено, а реклама так и не обновилась. (Или, может быть, реклама была обновлена ​​каким-то специалистом по маркетингу/рекламе, который сделал свежую рекламу на основе списка функций, и это просто список функций, который не был обновлен.) В этом случае что-то может быть не так, но если вы выйти с размахивающими кулаками, то вы можете легко нажить себе врагов, тогда как вопрос о том, как что-то реализовано, может привести к тому, что директора увидят проблемы и решат объединиться с вами в попытках сделать что-то, что ранее считалось излишне дорогим. Та же самая ситуация может привести к появлению врага или союзника, в зависимости от того, как вы с этим справитесь.

Итак, резюмируя:
если компания на самом деле недобросовестна, как предполагает ваш вопрос, то есть много других ответов, дающих твердые (сложные, неприятные, но правильные) советы. Однако, прежде чем начинать какие-либо драки или предпринимать экстремальные действия, такие как прыжок с корабля, убедитесь, насколько плоха ситуация. Затем поговорите с ними и спросите их о существующих планах по исправлению ситуации или о том, можем ли мы немедленно приступить к разработке таких планов. Если они будут сотрудничать, вы прекратите злодеяния и сделаете мир лучше. Если нет, то, по крайней мере, вы можете быть уверены, что сделали все возможное, чтобы попытаться исправить ситуацию, прежде чем покинуть токсичную ситуацию.

Голосую за это, потому что это единственный ответ, который не делает диких предположений о том, что мир полон злых людей, постоянно совершающих злые дела. Согласитесь, что лучший способ действий — просто поговорить напрямую с режиссерами. ТОГДА приготовьтесь покинуть корабль, если ничего не изменится. Считай себя невиновным, пока не докажешь обратное.

Вы можете оказаться в щекотливой ситуации. Вы должны различать методы обмана, применяемые вами и вашей компанией. Если вы сбежите с корабля, компания может обвинить вас в том, что вы ничего не делаете, а затем уходите. Рекомендую поговорить об этом с вашим менеджером. Они тоже замешаны в этой лжи? Если возможно, делайте письменные заметки после встречи.

Выскажите свои опасения и изложите их все. Какова реакция руководства? Если они не хотят следовать вашему совету о том, что нужно предпринять, вежливо увольтесь, поскольку это не та компания, которая поможет вашей карьере.

Сначала прочтите это: expertpages.com/news/taping_conversations.htm
Законы о записи разговора варьируются от штата к штату. Это может быть опасно для ОП.
Я понял, что «запись встречи» означает ее документирование. Имейте электронный след, который можно использовать, чтобы показать, что встреча состоялась, и подведите итоги встречи и того, что было согласовано, а также поместите это в электронное письмо.
Компания не следует политикам безопасности, рекламируемым клиентам
СпросиСетьПолитика конфиденциальности1y, 0v