Я работаю в небольшой консалтинговой компании без официального ИТ-персонала. Еще один сотрудник и я единственные, кого действительно волнует информационная безопасность и управление сетью. Мы оба сталкиваемся с огромным сопротивлением, когда пытаемся потратить время на улучшение безопасности, потому что это не оплачивается напрямую.
Я только что обнаружил, что политика безопасности, которую директора рекламируют клиентам и используют для приобретения всего нашего бизнеса, даже близко не отражает того, как мы на самом деле работаем. Есть ли что-нибудь, что я могу сделать, кроме как покинуть корабль?
Я довольно неопытен в этой части вещей, так как я в первую очередь разработчик, который все еще пытается пробиться в индустрию безопасности. Являясь одним из двух основных «ответственных» за сеть сейчас, несу ли я какой-либо личный риск?
Если имеет место широко распространенное мошенничество (а это именно то, что происходит здесь, судя по тому, как вы это описываете), то в конечном итоге один из ваших клиентов выяснит это и вызовет в суд любого, кто работает над этими проектами. Я бы лично обратился за юридической помощью в этот момент. Вы говорите так, как будто вы находитесь в какой-то правовой ситуации, которая нуждается в руководстве профессионала, с которым вы можете свободно поговорить и который может помочь вам пройти через это.
Есть ли что-нибудь, что я могу сделать, кроме как покинуть корабль?
Вам нужно как можно скорее покинуть корабль , так как кажется, что ваша компания занимается мошенничеством, и в какой-то момент это будет обнаружено. И в качестве дополнительного бонуса они могут использовать вину по-своему. То, что вы указываете на это, не принесет никакой пользы, как вы уже обнаружили.
Что касается найма адвоката, я действительно не вижу, что это даст вам, кроме большого счета . Вы можете ознакомиться с некоторыми бесплатными методами анонимного информирования о нарушениях, но опять же будьте очень осторожны , чтобы вас не обнаружили.
Краткий ответ : пришло время обновить резюме и двигаться дальше.
Я ИТ-аудитор, у меня есть опыт оценки мер безопасности в сервисных организациях, вроде вашей компании.
Являясь одним из двух основных «ответственных» за сеть сейчас, несу ли я какой-либо личный риск?
Во всех проведенных мною аттестациях ( SOC 1, 2, 3 AUP ) клиент и сервисная организация/поставщик имели договор, который обычно подписывается высшим руководством клиента и сервисной организации. Установление внутреннего контроля в компании, в конечном счете, является обязанностью руководства, и если вы не являетесь членом высшего руководства, вы вряд ли будете нести ответственность перед клиентом, если средства контроля будут искажены обманным путем.
Есть ли что-нибудь, что я могу сделать, кроме как покинуть корабль ?
Для того, что вы лично можете сделать, нет ничего особенного, как другие ответы. Поэтому я согласен, что лучшее решение для вас — уйти как можно скорее. Возможно, в долгосрочной перспективе возможны положительные изменения, но, учитывая то, что вы сказали об управлении, я сомневаюсь, что вы серьезно улучшите позицию вашей компании в области ИТ-безопасности, потому что руководство просто не заботится о внутреннем контроле .
Я не удивлюсь, если улучшение, если оно произойдет, будет осуществляться клиентами в форме комплексных проверок поставщиков или аудитов SOC, которых требуют новые клиенты, прежде чем они рассмотрят возможность сотрудничества с вашей компанией.
На данный момент, если клиенту потребуется SOC 1 / 2 (в зависимости от того, влияет ли услуга на финансовую отчетность клиентов), ваша компания, скорее всего, получит отрицательное заключение. Другими словами, на основании отсутствия авторитетных доказательств аудитор может сделать вывод о том, что средства контроля, установленные руководством вашей компании, не разработаны и не работают эффективно. Например, исходя из того, что вы написали, цели контроля SOC 2 в отношении коммуникаций не могут быть выполнены.
В дополнение к вашему вопросу, ниже приведены лишь некоторые дополнительные предложения для вас.
Забудьте о принятии значимых средств управления информационной безопасностью, пока эти политики безопасности не будут разблокированы и не станут доступными для всех сотрудников.
Чтобы программа информационной безопасности в компании работала, в ней должны активно участвовать все сотрудники . Они не могут этого сделать, если не знают, чего от них ждут. Например:
Далее следует тёмная тема, и я не юрист и не связан с каким-либо бизнесом, решающим это таким образом.
Имейте в виду, что иногда разница в теории и практике в отношении политик безопасности неформально взаимно понимается - бывают случаи, когда клиент хочет, чтобы такие политики были на бумаге , вероятно, потому, что ИХ клиенты хотят, чтобы это выглядело так на бумаге, при этом очень хорошо осознавая что они не могут получить его на практике по данной цене. В эту игру иногда разыгрывается пищевая цепочка клиентов клиента.
Имейте в виду, что затраты на безопасность часто считаются неэкономичными, если они не ниже ((ожидаемые затраты, когда что-то пойдет не так)/(ощущаемая вероятность того, что что-то пойдет не так, и вы не сможете заставить кого-то еще оплатить счет)).
Риск такой практики заключается в том, что клиент может рассчитывать на возможность переложить вину на вашу компанию, если что-то случится.
Важный вопрос для вас: можете ли вы, как лицо, ответственное (перед компанией), также нести ответственность (перед посторонними)? Это скорее зависит от местного законодательства. Я не юрист и не могу это комментировать.
Также может быть важно убедиться, что руководство вашего работодателя знает о том, что вы, независимо от того, ответственны вы или нет, а) не применяете официальную политику на практике и б) подотчетное лицо не требует от вас ее реализации. Если вы можете собрать какие-либо доказательства (например, электронные письма), подтверждающие это, сделайте это. Если вам необходимо прямо попросить получить его в письменной форме, делайте это в неконфронтационном ключе, который не означает, что у вас есть причина (например, знание того, что было сказано клиенту) считать текущую практику недостаточной — лучше спросите, хочет ли руководство, чтобы вы изменить что-либо в отношении методов обеспечения безопасности.
Возможно, это далеко не так, учитывая ваше описание компании... но вы можете сообщить об этом либо внутри компании (отделу кадров), либо снаружи (юристу).
На https://www.gov.uk/whistleblowing есть несколько полезных советов , как сообщать о правонарушениях:
Вы можете сообщить об этом своему работодателю — у них может быть политика информирования о нарушениях, в которой указано, чего ожидать, если вы сообщите им о своей проблеме. Вы по-прежнему можете сообщить им о своей проблеме, если у них нет политики.
Есть и другие варианты, если вы не хотите сообщать о своей проблеме своему работодателю, например, вы можете получить юридическую консультацию у адвоката или сообщить об этом назначенному лицу или органу.
Редактировать: если вы пойдете по этому пути, есть большая вероятность, что компания может быть закрыта. Итак, что бы вы ни решили сделать, пора бежать с корабля.
только что обнаружил, что политики безопасности, которые рекламируют директора
Спросите об этом своих директоров.
Ты заставляешь это звучать так черно-бело. И, может быть, это так. Тем не менее, я знаю, что многие молодые работники могут поторопиться с таким выводом, хотя он не является правильным.
Возможно, директора внедряют определенные меры безопасности, о которых вы совершенно не подозреваете. Например, возможно, вы не видите, что на рабочей станции реализована определенная защита. Однако, возможно, это реализовано в брандмауэре. Или, возможно, сетевой трафик сканируется сторонней компанией с помощью «облачной» службы еще до того, как трафик достигнет самого внешнего брандмауэра вашего сайта. Или, может быть, служба внедряется, но только на одном компьютере (основном «сервере», например, в Active Directory это может быть контроллер домена) и не внедряется на других компьютерах. Во всех этих возможных сценариях режиссеры могут быть невиновны.
А может это недоработка чего-то, что было реализовано, но потом внедрение было прекращено, а реклама так и не обновилась. (Или, может быть, реклама была обновлена каким-то специалистом по маркетингу/рекламе, который сделал свежую рекламу на основе списка функций, и это просто список функций, который не был обновлен.) В этом случае что-то может быть не так, но если вы выйти с размахивающими кулаками, то вы можете легко нажить себе врагов, тогда как вопрос о том, как что-то реализовано, может привести к тому, что директора увидят проблемы и решат объединиться с вами в попытках сделать что-то, что ранее считалось излишне дорогим. Та же самая ситуация может привести к появлению врага или союзника, в зависимости от того, как вы с этим справитесь.
Итак, резюмируя:
если компания на самом деле недобросовестна, как предполагает ваш вопрос, то есть много других ответов, дающих твердые (сложные, неприятные, но правильные) советы. Однако, прежде чем начинать какие-либо драки или предпринимать экстремальные действия, такие как прыжок с корабля, убедитесь, насколько плоха ситуация. Затем поговорите с ними и спросите их о существующих планах по исправлению ситуации или о том, можем ли мы немедленно приступить к разработке таких планов. Если они будут сотрудничать, вы прекратите злодеяния и сделаете мир лучше. Если нет, то, по крайней мере, вы можете быть уверены, что сделали все возможное, чтобы попытаться исправить ситуацию, прежде чем покинуть токсичную ситуацию.
Вы можете оказаться в щекотливой ситуации. Вы должны различать методы обмана, применяемые вами и вашей компанией. Если вы сбежите с корабля, компания может обвинить вас в том, что вы ничего не делаете, а затем уходите. Рекомендую поговорить об этом с вашим менеджером. Они тоже замешаны в этой лжи? Если возможно, делайте письменные заметки после встречи.
Выскажите свои опасения и изложите их все. Какова реакция руководства? Если они не хотят следовать вашему совету о том, что нужно предпринять, вежливо увольтесь, поскольку это не та компания, которая поможет вашей карьере.
край
Джакомо1968
Аарон Бутаков