In qualità di professionista della conformità di sicurezza, cosa devo fare se trovo che il mio datore di lavoro ha un AOC PCI ma non è conforme?

Naviga le tue risposte
5

Ho un dilemma etico. Un paio di settimane fa, ho accettato un ruolo di conformità alla sicurezza. Negli ultimi cinque anni ho lavorato come QSA PCI prima di accettare questo ruolo.

Nel breve periodo in cui sono stato con la compagnia, sono venuto a sapere che non avrebbero mai potuto acquisire il loro PCI AOC. Poiché la società non è conforme ai numerosi requisiti di più categorie all'interno di PCI DSS. Come PCI QSA formale non avrei dato loro un AOC di passaggio.

Ho espresso le mie preoccupazioni con la direzione esecutiva e mi è stato semplicemente detto che ce l'abbiamo. Sì, sono consapevoli delle carenze. Altri membri del management e il team di sicurezza mi hanno tirato da parte e hanno spiegato che un certo membro del management esecutivo è caro amico di un dirigente del QSAC ed è per questo che sono stati in grado di ottenere il PCI AOC.

I membri del gruppo di sicurezza concordano sul fatto che non dovrebbero essere stati loro assegnati gli AOC PCI in base alle prove fornite o alla mancanza di prove. Ma io sono la terza persona in questo ruolo e molto attento a ciò che dico a un certo membro dello staff esecutivo, anche se è mio compito identificare e correggere tali cose. Voglio questo lavoro e penso che l'azienda sia una buona compagnia, il problema sembra essere questo un membro dello staff esecutivo.

Quando ero un QSA PCI questa decisione era semplice in quanto avevo l'obbligo etico di segnalare tali infrazioni al Consiglio PCI. Ma ora la mia situazione è diversa, eppure continuo a credere di avere un obbligo etico come Professionista della sicurezza.

Non credo che dovrei scegliere tra fare ciò che è giusto e mantenere il mio lavoro.

    
posta SecPro 20.04.2018 - 05:38
fonte

3 risposte

5

IMHO, la cosa più etica da fare sarebbe quella di dimettersi e denunciarli. Il ragionamento:

  • Hai un obbligo etico nei confronti degli utenti di mantenere i loro dati al sicuro nella misura in cui la società afferma di farlo.
  • Hai un obbligo etico nei confronti della tua azienda di mantenere i loro prodotti funzionanti, sicuri, conformi e di seguire gli ordini.

Poiché non puoi sostenere entrambi, dovresti dimettermi, in quanto ciò ti libererebbe dal secondo obbligo e perché l'azienda ti sta mettendo in questa posizione.

Altro praticamente :

  • Potresti parlare con gli altri dirigenti, spiegando che consapevolmente non essere clienti conformi e fuorvianti apre la società a una causa per danni e che, se fosse rivelata, potrebbero perdere la fiducia dei consumatori, specialmente considerando la situazione attuale con la privacy e sicurezza che ha l'attenzione del pubblico. Il possibile pericolo per l'azienda dovrebbe attirare la loro attenzione.
  • Puoi prendere in considerazione la possibilità di raccogliere prove e lasciare che l'esecuzione citata ti licenzi, quindi presentare una causa per licenziamento o altra cosa, ostacolando la tua carriera (non un avvocato, consulta il vero avvocato ). Il risultato sarebbe lo stesso dell'esempio etico, ma otterrai quattro soldi per il tuo problema.
risposta data 20.04.2018 - 10:55
fonte
1

Personalmente, vorrei indagare su due possibili strade:

  1. Audit interno: molte persone hanno paura dell'IA e ai gestori non piacciono le immagini che cercano di individuare i problemi che devono essere affrontati. Tuttavia, nella mia esperienza, andare direttamente a loro (e rendere chiara la tua situazione) può essere molto efficace.

  2. Se la tua organizzazione ha una politica di whistle-blowing, sarebbe sensato investigarla silenziosamente. Considererei che se IA non funzionasse.

In entrambi i casi, DEVI assicurarti di avere prove documentate sui problemi e le prove che hai sollevato il problema nella gestione appropriata. Devi anche assicurarti che, quando non ricevi una risposta scritta (di solito in questi casi riceverai solo risposte verbali), segui il messaggio inviando un'altra email dicendo che non hai avuto risposta. A quel punto, sei coperto come hai fatto ciò che è richiesto dal tuo ruolo. Ora, se vieni cacciato o licenziato direttamente, hai un caso da portare per licenziamento sbagliato. Certo, assicurati di avere copie delle e-mail pertinenti al di fuori del tuo computer di lavoro. Se hai un avvocato, inoltra le email a loro in modo che abbiano il timestamp.

Avendo coperto te stesso, ora hai le opzioni sopra indicate per te. Ovviamente, è necessario riconoscere che il seguito di questo potrebbe comportare la perdita del posto di lavoro. Devi essere preparato per questo.

Prima di intraprendere qualsiasi operazione, dovrai ricontrollare tutte le tue ipotesi. Fai uso di reti professionali e forse prendi in considerazione l'idea di unirti a un gruppo di professionisti che potrebbero essere in grado di supportarti.

    
risposta data 20.04.2018 - 11:09
fonte
0

Quante volte hai seguito una valutazione in cui ti chiedi "come diavolo sono passati l'anno scorso?" Posso dirti che lo vedo sempre come un QSA. I clienti lo odiano quando dico loro che hanno qualcosa di diverso, di portata più ampia, che costa di più, e impiega più tempo. Dico sempre: "Non so cosa sia successo l'anno scorso, ma indico il DSS e dico che è quello che devi fare.

Spesso mi chiedo se dovrei riportare il vecchio QSA, ma torno a; "Hanno usato il loro giudizio per passare la società, forse c'è qualcosa che non so." Come QSA usiamo il nostro giudizio per prendere decisioni in ogni momento. Potresti aver usato il tuo per far passare un cliente quando non soddisfaceva i requisiti della lettera, ma stava facendo un buon lavoro e il rischio era basso.

Personalmente ritengo che il tuo compito sia risolvere i problemi e dimenticare il passato - l'incidente della storia. Se il QSA fa questa cattiva pratica abbastanza spesso verranno catturati e perderanno la loro certificazione.

Mi proteggerò raccogliendo i fatti se la direzione decide di agire contro di te, ma il tuo compito ora è quello di risolvere il problema a portata di mano.

Ora,

Vai agli altri membri del gruppo esecutivo e racconta che vuoi usare un auditor diverso quest'anno, non la tua vecchia compagnia! In questo modo si evita il problema del "passaggio amichevole". Non farti incolpare del passato, perderai.

Basta dire: "Guarda, è stato un incidente storico, non mi interessa. Mi hai assunto per fare un lavoro. Ho bisogno di usare un auditor diverso per fare il lavoro correttamente ". Se non ti supportano, inizia a cercare un altro lavoro al più presto. Se la nuova compagnia chiede il perché - dice la verità senza esporre i nomi. Dì solo che la mia etica non mi consente di fare qualcosa che so è sbagliato. Mi trovavo in una posizione in cui sapevo che era davvero sbagliato ed era una situazione senza vittoria.

Data la tua esperienza, sai cosa deve essere fatto per proteggere l'azienda. Probabilmente i dirigenti saranno in grado di adattarsi, dato il tempo, le risorse necessarie per portare a termine il lavoro. Stendilo a freddo e se rifiutano, inizia a cercare un nuovo lavoro. Una volta che sei fuori, manda una lettera ai membri del consiglio di amministrazione facendogli sapere che hanno un problema nella gestione; lascia che si occupino degli exec come dovrebbe fare una buona tavola.

Se sei la terza persona nel ruolo, è probabile che la gente prima di te abbia tentato di fallire; hanno mostrato la porta o hanno smesso perché era insostenibile per loro. Dato che il regime attuale ha dimostrato di essere meno competente, potresti cercare un nuovo lavoro ora ed evitare la tempesta * & ^% che stai per avviare. Se cammini o vieni licenziato; devi mettere in guardia la tua squadra sui problemi e sulle possibili ripercussioni sulle loro carriere se dovesse accadere qualcosa di brutto alla società a causa di una culatta.

L'ingegnere in me dice di provare a metterlo fuori e risolvere il problema. Se ci riesci, hai una grande vittoria; il management ti rispetterà per aver fatto un duro lavoro; ma questo è ciò che ti sei iscritto. Il manager esperto in me dice di uscire subito prima di danneggiare il tuo operatore; ci sono molte altre buone aziende in cerca di gente come te.

Credo che aggiungerò questo; se le violazioni sono veramente flagranti; porte aperte, problemi di segmentazione, problemi di patching; nessun test PEN ... - roba che mette davvero a rischio l'azienda, dovresti segnalare il QSA. Non hai spiegato bene quanto siano state violente le violazioni; quindi usa il tuo giudizio qui. Stai attento che non sai cosa è successo l'anno scorso o gli anni precedenti.

    
risposta data 21.04.2018 - 19:10
fonte

Leggi altre domande sui tag

Come prevenire CSRF se vuoi includere plugin Flash nel tuo modulo come Uploadify nel tuo modulo? Che tipo di vulnerabilità avrebbe questo exploit?