Risolve problemi di sicurezza senza l'autorizzazione del capo / cliente

Ogni correzione è una decisione aziendale. L'azienda deve effettuare la chiamata. Tu, come colui che ha la conoscenza, hai bisogno di informare e guidare correttamente l'azienda attraverso la matrice dei bisogni e dei costi. In modo ottimale, esistono policy e procedure per identificare e incorporare le correzioni nel tempo in base al costo e alla priorità, ma sfortunatamente non tutte lo fanno.

Per quanto riguarda la risoluzione di un problema senza sorveglianza, cosa succede se si causa un problema di sicurezza ancora maggiore? Cosa succede se esponi l'azienda a costi e danni a seguito di conseguenze indesiderate? La supervisione esiste per una ragione, per proteggere sia te che il business.

Per quanto riguarda le preoccupazioni etiche, esiste un dibattito aperto sull'etica delle informazioni. In una situazione in cui la vita e la salute sono minacciate, esistono linee etiche più chiare e definite. Le minacce contro l'informazione sono più difficili da comprendere eticamente. Ho avuto discussioni con alcuni operatori del settore sanitario che hanno proposto l'idea che l'informazione di un uomo valga più della vita di un essere umano (perché può influenzare la vita e la salute di un numero incalcolabile di altri umani).

Educa, informa, guida, incoraggia e parla in termini che hanno senso per il business. Queste cose devi fare eticamente e con passione.

Un grosso problema nel correggere qualcosa quando ci viene detto di non farlo è che potresti essere in errore in qualche punto:

• forse non è un vero bug / hole;

• forse lo è, ma qualche altro livello dell'applicazione impedisce di perdere

• forse è un bug, potrebbe portare a perdite, ma la tua app non è nel radar quindi potrebbe non essere scoperta semplicemente perché nessuno l'ha guardato

• idem, idem, ma non causerà tutti quei danni che immagini

• idem, idem, ma provi a risolverlo nonostante gli venga detto di non farlo, e aumenta il problema / bug

Una cosa è essere fedeli ai tuoi clienti: ogni cliente vuole il prodotto perfetto e vorrebbe sapere che c'è qualcuno all'interno di ogni azienda che va contro gli ordini e aggiusta comunque il prodotto.

L'altro punto è essere fedeli a chi paga il tuo stipendio. Ti hanno detto di non farlo: assicurati di aver indicato chiaramente il problema, le conseguenze, come potrebbe essere scoperto, utilizzato da qualcuno, come potrebbe essere risolto e quanto (tempo / denaro / risorse) occorrerebbe per risolvere esso. Mandalo via email, registralo in qualche modo e il tuo lavoro è finito.

Ciò che i tuoi dirigenti decideranno dipende da loro.

La domanda principale, è eticamente sbagliato fare un cambiamento che il capo / cliente ecc. non vuole, ma aumenterebbe la sicurezza, la risposta è abbastanza semplice.

Sì. È sbagliato.

Permettimi di fare la domanda in un altro modo: come reagiresti se fossi andato a fare modifiche non autorizzate (da te) alla dichiarazione dei redditi? Il cambiamento, in sé, è sia legale che vantaggioso dal punto di vista finanziario. Nessun danno, nessun fallo giusto? Ma cosa succede se il ritorno ora incoerente (rispetto agli anni precedenti) innesca una verifica fiscale completa? Ora quasi sicuramente ti arrabbieresti, e giustamente - ho usurpato le tue decisioni e ti ho esposto a rischi per cui non eri certamente preparato e che non ti sentivi a tuo agio con nessuno dei due.

La decisione, ed è secondo rischi & i premi, sono il capo o il cliente da fare. Se ritieni che la loro decisione sia poco saggia o li esponga a rischi di cui potrebbero non essere consapevoli, dovresti assolutamente condividerli con loro. Ma la decisione è loro da fare.

Non posso affrontare alcun problema legale, perché non sono un avvocato. A seconda della giurisdizione in cui lavori, potrebbero esserci requisiti di segnalazione legalmente obbligatori (che, per il tuo bene, si spera abbiano clausole di sicurezza sufficienti)