Das Unternehmen befolgt keine den Kunden angekündigten Sicherheitsrichtlinien

Ich arbeite für ein kleines Beratungsunternehmen ohne formelles IT-Personal. Ein weiterer Mitarbeiter und ich sind die einzigen, die sich wirklich um Informationssicherheit und Netzwerkmanagement kümmern. Wir bekommen beide eine Menge Widerstand, wenn wir versuchen, Zeit für die Verbesserung der Sicherheit aufzuwenden, weil es nicht direkt abrechenbar ist.

Ich habe gerade herausgefunden, dass die Sicherheitsrichtlinien, die die Direktoren gegenüber Kunden anpreisen und verwenden, um unser gesamtes Geschäft zu erwerben, nicht einmal annähernd widerspiegeln, wie wir tatsächlich arbeiten. Kann ich irgendetwas anderes tun, als vom Schiff zu springen?

Ich bin in dieser Hinsicht eher unerfahren, da ich in erster Linie Entwickler bin und immer noch versuche, meinen Durchbruch in der Sicherheitsbranche zu schaffen. Bin ich als einer von zwei Hauptverantwortlichen für das Netzwerk jetzt einem persönlichen Risiko ausgesetzt?

Kommentare sind nicht für längere Diskussionen gedacht; Diese Konversation wurde in den Chat verschoben . Bitte bearbeiten Sie Aktualisierungen im OP und verwenden Sie den verknüpften Chat für Diskussionen/Kommentare und das Antwortfeld für Antworten.
Viele verschiedene Ratschläge in den Antworten, aber es kommt wirklich darauf an: Was ist das Schlimmste, was passieren kann, wenn die laxe Sicherheitseinstellung Realität wird und etwas verletzt wird? Machen Sie Front-End-Webentwicklung und – vielleicht – sieht jemand eine Quelle für ein Plug-in? Oder betreiben Sie eine E-Commerce-Plattform, bei der Finanzdaten gefährdet sind? Es hängt alles davon ab, wie schlimm ein Verstoß wäre. Und wenn dies ein Unternehmen ist, das mit Finanz- und anderen sensiblen Daten zu tun hat, dann ja … Sie müssen raus, bevor Sie wegen eines Verstoßes zum Sündenbock gemacht werden. Wenn nicht? Es tut mir leid zu sagen, dass das, was Sie beschreiben, häufiger vorkommt als nicht.
Denken Sie daran, dass es stark davon abhängt, welche genauen Regeln das Unternehmen regeln: Wenn das Unternehmen mit HIPAA-Vorschriften zu tun hat, führen Sie es aus. Wenn das Unternehmen in einer nicht regulierten Branche tätig ist und im Rahmen von Marketingmaterialien meist falsche Behauptungen aufstellt (z. B. dass es Virenscanner auf Linux-Servern betreibt), dann handelt es rechtlich gesehen kreativ mit Fakten. Was zu diesem Zeitpunkt nur ein ethisches Problem ist, kein Betrugsproblem.

Antworten (7)

Wenn es einen weit verbreiteten Betrug gibt (was genau das ist, was hier passiert, wie Sie es beschreiben), wird einer Ihrer Kunden es irgendwann herausfinden und jeden vorladen, der an diesen Projekten arbeitet. Ich persönlich würde mich an dieser Stelle anwaltlich beraten lassen. Sie klingen, als befänden Sie sich in einer rechtlichen Situation, die die Anleitung eines Fachmanns erfordert, mit dem Sie frei sprechen können und der Sie dabei unterstützen kann.

Es sollte auch beachtet werden, dass es umso schwieriger ist, eine plausible Leugnung zu haben, je länger Sie drinnen bleiben. Denken Sie nur an all die Leute, die jahrelang etwas wussten und nie etwas gesagt haben, und diese Typen geraten auch in große Schwierigkeiten. Wenn Sie es jetzt wissen, dann ist es Zeit, sich jetzt zu äußern.
Ich werde dies als Antwort markieren, da ich irgendwie vermutet habe, dass dies der Fall sein würde. Zu meinem Glück wurde mir gerade das Ausmaß der Unehrlichkeit bewusst, da die „Richtlinien“ hinter einer Confluence-Seite verschlossen sind, die Managementrollen erfordert, sodass allgemeine Mitarbeiter sie nicht sehen können. Ich habe sie vor zwei Tagen aus der Not heraus erhalten, weil sie jemanden brauchten, der einen Business Continuity Plan schreibt, und ich sagte ihnen, dass ich als Ausgangspunkt alle aktuellen Unterlagen benötige.
Selbst wenn er rechtlichen Rat einholt, ist dem OP am besten gedient, wenn er so schnell wie möglich aus der misslichen Lage herauskommt. Der OP kann dann bei Bedarf einen Anwalt beauftragen.
@NetworkMonkey Für die Zukunft wäre die Weigerung, Mitarbeitern das zu zeigen, was sie potenziellen Kunden zeigen, für mich ein großes Warnsignal.
Ehrlich gesagt bezweifle ich, dass Vorladungen ausgestellt werden. Wenn Kunden den Betrug entdecken, werden sie Verträge stillschweigend kündigen/nicht verlängern und das Geschäft wird sich ohne Rechtsstreit verlangsamen.
@emory Es hängt sehr davon ab, wie der Betrug entdeckt wird. Wenn eine Datenschutzverletzung die Kundendaten des Kunden im ganzen Internet verputzt, werden Klagen ziemlich wahrscheinlich. Im schlimmsten Fall handelt es sich um eine Art rechtlich geschützte Information und die Regierung mischt sich ein.
@KRyan Das ist ziemlich normal, wenn der Mitarbeiter nicht direkt mit dem Kunden zusammenarbeitet. Sie geben im Allgemeinen keine Informationen an Personen weiter, die sie nicht wissen müssen.
@mbrig-Unternehmen werden versuchen, Sicherheitshosen zu verstecken, wenn sie können, aber Sie haben Recht, dass sie dies nicht immer tun können. Ich glaube nicht, dass es viel ausmacht. damit will man sowieso nichts zu tun haben.
@immibis Es gibt einen Unterschied zwischen dem Nichtangebot und der Weigerung, es zu geben.
Stimmen Sie der Antwort im Allgemeinen zu, aber wahrscheinlicher werden sie nur eine Kopie von E-Mails zwischen einer benannten Gruppe von Personen bestellen, die bestimmte Wörter enthalten. Nur die großen Jungs werden normalerweise vorgeladen, und das ist später.

Kann ich irgendetwas anderes tun, als vom Schiff zu springen?

Sie müssen so schnell wie möglich von Bord gehen, da es den Anschein hat, dass Ihr Unternehmen in Betrug verwickelt ist und irgendwann herausgefunden wird. Und als zusätzlichen Bonus können sie die Schuld auf Ihre Weise nutzen. Sie darauf hinzuweisen, bringt nichts, wie Sie bereits festgestellt haben.

Was die Beauftragung eines Anwalts betrifft, sehe ich wirklich nicht, was Ihnen das bringen wird, außer einer großen Rechnung . Sie könnten sich einige kostenlose anonyme Whistleblowing-Techniken ansehen, aber seien Sie auch hier sehr vorsichtig , dass Sie nicht entdeckt werden.

Kurze Antwort : Zeit, den Lebenslauf auf den neuesten Stand zu bringen und weiterzumachen.

Es gibt nur wenige Fälle, in denen "Kündigen Sie einfach" die richtige Antwort ist, aber wenn Ihr Arbeitgeber als reguläre Geschäftspraxis in Täuschung und Betrug verwickelt ist ... Ja, springen Sie!
Es gibt Gründe, warum man beim Whistleblowing nicht anonym bleiben möchte, Anwälte sind gut darin, bei der Navigation in solchen Fällen zu helfen. Außerdem sind Anwälte gut darin, Ihnen dabei zu helfen, Gesetzesverstöße zu vermeiden, wenn Sie Whistleblowing betreiben. Schließlich ist das OP möglicherweise bereits in rechtlicher Gefahr, und es könnte hilfreich sein, festzustellen, ob dies der Fall ist. Einfach - Anwälte sind unter diesen Umständen überhaupt nicht nutzlos.
Dies muss US-spezifisch sein. In Deutschland wären Sie grundsätzlich verpflichtet, den Generalbundesanwalt über Betrug zu informieren. Und interessanterweise werden keine privaten Papiere gültig sein, die dies verbieten.
@TomTom Das ist es, da an die Frage ein USA-Tag angehängt ist.

Ich bin ein IT-Auditor, der Erfahrung mit der Bewertung von Sicherheitskontrollen in Serviceorganisationen hat, wie es Ihr Unternehmen zu sein scheint.

Bin ich als einer von zwei Hauptverantwortlichen für das Netzwerk jetzt einem persönlichen Risiko ausgesetzt?

In allen Bescheinigungen, die ich erstellt habe ( SOC 1, 2, 3 AUPs ), hatten der Kunde und die Serviceorganisation / der Anbieter einen Vertrag, der normalerweise von der Geschäftsleitung der Kunden- und Serviceorganisation unterzeichnet wird. Die Einrichtung interner Kontrollen in einem Unternehmen ist letztendlich die Pflicht des Managements, und es ist unwahrscheinlich, dass Sie vom Kunden zur Verantwortung gezogen werden, wenn die Kontrollen in betrügerischer Absicht falsch dargestellt werden, es sei denn, Sie sind ein Mitglied der Geschäftsleitung.

Kann ich irgendetwas tun, außer Schiff zu springen ?

Für das, was Sie persönlich tun können, gibt es nicht viel, was andere Antworten gesagt haben. Daher stimme ich zu, dass die beste Entscheidung für Sie darin besteht, so schnell wie möglich zu gehen. Es mag langfristig die Möglichkeit für positive Veränderungen geben, aber angesichts dessen, was Sie über das Management gesagt haben, bezweifle ich, dass Sie die IT-Sicherheitshaltung Ihres Unternehmens ernsthaft verbessern werden, da sich das Management einfach nicht um interne Kontrollen kümmert .

Ich wäre nicht überrascht, wenn eine Verbesserung, sofern sie stattfindet, kundenorientiert in Form von Due-Diligence-Prüfungen des Anbieters oder SOC-Audits erfolgen würde, die von neuen Kunden verlangt werden, bevor sie eine Geschäftsbeziehung mit Ihrem Unternehmen in Betracht ziehen.

Wenn ein Kunde ein SOC 1 / 2 verlangen würde (je nachdem, ob sich der Service auf die Finanzberichterstattung des Kunden auswirkt), würde Ihr Unternehmen derzeit höchstwahrscheinlich eine negative Meinung erhalten. Mit anderen Worten, der Prüfer würde aufgrund des Fehlens seriöser Beweise zu dem Schluss kommen, dass die Kontrollen, die von Ihrer Unternehmensleitung als vorhanden angegeben wurden, nicht effektiv konzipiert sind oder funktionieren. Basierend auf dem, was Sie geschrieben haben, gibt es beispielsweise keine Möglichkeit, dass die Kontrollziele von SOC 2 in Bezug auf Kommunikation erfüllt werden.

Abgesehen von Ihrer Frage, unten sind nur einige zusätzliche Vorschläge für Sie.

Vergessen Sie die Einführung sinnvoller Informationssicherheitskontrollen, bis diese Sicherheitsrichtlinien freigegeben und allen Mitarbeitern zur Verfügung gestellt werden

Damit das Informationssicherheitsprogramm in einem Unternehmen funktioniert, müssen sich alle Mitarbeiter aktiv beteiligen. Sie können dies nicht tun, wenn sie nicht wissen, was von ihnen erwartet wird. Zum Beispiel:

  1. Was sollte ein Mitarbeiter tun, wenn er einen Sicherheitsvorfall vermutet?
  2. Wie sollten sie gestohlene Vermögenswerte wie Laptops melden?
  3. Wenn keine regelmäßigen Sicherheitsschulungen erforderlich sind, sind die Mitarbeiter über Angriffe informiert, die auf menschliche Schwächen abzielen, wie z. B. Social Engineering?
"ihr" sollte gleich am Ende dieser Antwort "dort" stehen, aber ich habe hier nicht den Ruf, kleine Änderungen vorzunehmen.

Was folgt, ist düsteres Zeug, und ich bin weder Anwalt noch in irgendein Geschäft involviert, das es so handhabt.

Seien Sie sich bewusst, dass manchmal der Unterschied zwischen Theorie und Praxis in Bezug auf Sicherheitsrichtlinien informell gegenseitig verstanden wird – es gibt Fälle, in denen der Kunde solche Richtlinien auf dem Papier haben möchte, wahrscheinlich weil IHRE Kunden möchten, dass es auf dem Papier so aussieht, obwohl sie sich dessen sehr wohl bewusst sind dass sie es zu einem bestimmten Preis in der Praxis nicht bekommen können. Dieses Spiel wird manchmal in einer Nahrungskette von Klienten gespielt.

Beachten Sie, dass Kosten für Sicherheit oft als unwirtschaftlich angesehen werden, wenn sie nicht unter ((erwartete Kosten, wenn etwas schief geht)/(wahrgenommene Wahrscheinlichkeit, dass es schief geht und Sie können niemanden dazu bringen, die Rechnung zu übernehmen)) liegen.

Das Risiko bei solchen Praktiken besteht darin, dass ein Kunde damit rechnet , die Schuld an Ihr Unternehmen auslagern zu können, wenn etwas passiert.

Die für Sie wichtige Frage lautet: Können Sie als Verantwortlicher (gegenüber dem Unternehmen) auch (gegenüber Außenstehenden) zur Rechenschaft gezogen werden? Dies ist eher abhängig von der lokalen Gesetzgebung. Ich bin kein Jurist und kann dazu nichts sagen.

Es könnte auch wichtig sein sicherzustellen, dass die Geschäftsführung Ihres Arbeitgebers sich bewusst ist, dass Sie, verantwortlich oder nicht, a) die formelle Richtlinie in der Praxis nicht umsetzen und b) von der verantwortlichen Person nicht aufgefordert werden , sie umzusetzen. Wenn Sie Beweise (z. B. E-Mails) sammeln können, die dies deutlich machen, tun Sie dies. Wenn Sie explizit darum bitten müssen, es schriftlich zu bekommen, tun Sie dies auf eine nicht konfrontative Weise, die nicht impliziert, dass Sie einen Grund haben (z. B. Kenntnis dessen, was dem Kunden gesagt wurde), die aktuellen Praktiken für unzureichend zu halten – fragen Sie lieber, ob das Management Sie will etwas an den Sicherheitspraktiken zu ändern.

Sehr richtig. Das OP scheint sich jedoch mehr Sorgen um das Reputationsrisiko und zweitens vielleicht um die zivilrechtliche Haftung zu machen. Strafrechtliche Haftung klingt weit entfernt.

Könnte angesichts Ihrer Beschreibung des Unternehmens ein langer Weg sein ... aber Sie könnten entweder intern (an die Personalabteilung) oder extern (an einen Anwalt) einen Hinweis geben.

Auf https://www.gov.uk/whistleblowing finden Sie einige nützliche Ratschläge , um Fehlverhalten zu melden:

Sie können es Ihrem Arbeitgeber mitteilen – er hat möglicherweise eine Whistleblowing-Richtlinie, die Ihnen sagt, was Sie erwarten können, wenn Sie ihm Ihre Bedenken melden. Sie können ihnen Ihre Bedenken immer noch melden, wenn sie keine Richtlinie haben.

Wenn Sie Ihr Anliegen nicht Ihrem Arbeitgeber melden möchten, gibt es andere Möglichkeiten, z. B. können Sie sich von einem Anwalt beraten lassen oder einer vorgeschriebenen Person oder Stelle mitteilen.

Bearbeiten: Wenn Sie diesen Weg einschlagen, besteht eine gute Chance, dass das Unternehmen geschlossen wird. Also, wofür auch immer Sie sich entscheiden, es ist Zeit, das Schiff zu verlassen.

Er ist der einzige Däne Ver

gerade entdeckt, dass die Sicherheitsrichtlinien, die die Direktoren bewerben

Fragen Sie Ihre Direktoren danach.

Du lässt es so schwarz und weiß klingen. Und vielleicht ist es das. Ich weiß jedoch, dass viele jüngere Arbeitnehmer schnell zu einer solchen Schlussfolgerung kommen, ohne dass sie richtig ist.

Vielleicht implementieren die Direktoren bestimmte Sicherheitspraktiken, von denen Sie nichts wissen. Vielleicht sehen Sie zum Beispiel bestimmte Sicherheitsmaßnahmen nicht auf einer Workstation implementiert. Möglicherweise wird dies jedoch in einer Firewall implementiert. Oder vielleicht wird der Netzwerkverkehr von einem Drittanbieter mithilfe eines „Cloud“-Dienstes gescannt, bevor der Datenverkehr überhaupt die äußerste Firewall Ihrer Website erreicht. Oder vielleicht wird der Dienst implementiert, aber nur auf einem Computer (einem Haupt-"Server", zB in Active Directory könnte dies ein Domänencontroller sein) und wird nicht auf anderen Computern implementiert. In all diesen möglichen Szenarien können die Direktoren unschuldig sein.

Oder vielleicht ist dies ein Versehen von etwas, das implementiert wurde, aber dann wurde die Implementierung eingestellt, aber die Werbung wurde nie aktualisiert. (Oder vielleicht wurde die Werbung von einer Marketing-/Werbeperson aktualisiert, die basierend auf einer Feature-Liste neue Werbung gemacht hat, und es ist nur die Feature-Liste, die nicht aktualisiert wurde.) In diesem Fall stimmt vielleicht etwas nicht, aber wenn Sie Wenn Sie mit schwingenden Fäusten herauskommen, können Sie sich leicht Feinde machen, während die Frage, wie etwas implementiert wird, dazu führen kann, dass die Direktoren ein Problem sehen und sich mit Ihnen verbünden, um etwas zu tun, das zuvor als unnötig teuer angesehen wurde. Die gleiche Situation könnte zu einem Feind oder einem Verbündeten führen, je nachdem, wie Sie damit umgehen.

Also, um zusammenzufassen:
Wenn das Unternehmen tatsächlich skrupellos ist, wie Ihre Frage vermuten lässt, dann gibt es viele andere Antworten, die solide (herausfordernde, unangenehme, aber richtige) Ratschläge geben. Bevor Sie jedoch Kämpfe beginnen oder extreme Aktionen wie einen Sprung von einem Schiff aus unternehmen, vergewissern Sie sich unbedingt, wie schlimm die Situation ist. Sprechen Sie dann mit ihnen und fragen Sie sie nach bestehenden Plänen, um Situationen richtig zu machen, oder ob wir sofort mit der Erstellung solcher Pläne beginnen können. Wenn sie kooperieren, beenden Sie Gräueltaten und machen die Welt zu einem besseren Ort. Wenn dies nicht der Fall ist, können Sie zumindest darauf vertrauen, dass Sie alles getan haben, um Situationen zu korrigieren, bevor Sie eine toxische Situation verlassen.

Ich befürworte dies, weil es die einzige Antwort ist, die keine wilden Annahmen macht, dass die Welt voller böser Menschen ist, die zu jeder Zeit böse Dinge tun. Stimmen Sie zu, dass die beste Vorgehensweise darin besteht, das Gespräch direkt mit den Direktoren zu führen. DANN bereiten Sie sich darauf vor, das Schiff zu verlassen, wenn sich nichts ändern soll. Gehen Sie von der Unschuld aus, bis Sie das Gegenteil beweisen können.

Sie könnten sich in einer schwierigen Situation befinden. Sie müssen zwischen Ihren betrügerischen Praktiken und denen Ihres Unternehmens unterscheiden. Wenn Sie von Bord gehen, könnte die Firma Sie beschuldigen, Dinge nicht getan zu haben und dann zu gehen. Ich empfehle Ihnen, mit Ihrem Vorgesetzten darüber zu sprechen. Sind sie auch an dieser Lüge mitschuldig? Machen Sie nach Möglichkeit schriftliche Notizen nach dem Meeting.

Bringen Sie Ihre Bedenken vor und legen Sie sie alle dar. Was ist die Reaktion des Managements? Wenn sie Ihren Rat nicht befolgen möchten, kündigen Sie höflich, da dies nicht die Art von Unternehmen ist, die Ihre Karriere vorantreiben wird.

Die Gesetze zum Aufzeichnen eines Gesprächs variieren von Staat zu Staat. Das könnte für den OP gefährlich werden.
Ich habe "das Meeting aufzeichnen" verstanden, um es zu dokumentieren. Haben Sie einen E-Mail-Trail, der verwendet werden kann, um zu zeigen, dass das Meeting stattgefunden hat, und fassen Sie das Meeting und das, was vereinbart wurde, zusammen und fügen Sie dies auch in eine E-Mail ein.
Das Unternehmen befolgt keine den Kunden angekündigten Sicherheitsrichtlinien
AntwortenHierDatenschutz-Bestimmungen1y, 0v