Jeśli doszło do powszechnego oszustwa (co jest dokładnie tym, co dzieje się tutaj na podstawie tego, jak je opisujesz), w końcu któryś z Twoich klientów to wykryje i wezwie każdego, kto pracuje nad tymi projektami. W tym momencie osobiście zwróciłbym się o poradę prawną. Brzmisz, jakbyś znalazł się w sytuacji prawnej, która wymaga wskazówek profesjonalisty, z którym możesz swobodnie rozmawiać i który może Ci przez to pomóc.

Czy jest coś, co mogę zrobić poza skokiem statku?

Nie

Musisz jak najszybciej przeskoczyć na statek , ponieważ Wygląda na to, że Twoja firma dopuszcza się oszustwa i w pewnym momencie zostanie o tym dowiedziona. A jako dodatkowy bonus mogą być w stanie wykorzystać winy na swój sposób. Wskazanie na to nie przyniesie nic dobrego, jak już odkryłeś.

Jeśli chodzi o zatrudnienie prawnika, naprawdę nie widzę, co by ci to dało oprócz dużego rachunku . Możesz przyjrzeć się kilku darmowym anonimowym technikom informowania o nieprawidłowościach, ale znowu bardzo uważaj , aby nie zostać odkrytym,

Krótka odpowiedź silne>: Czas zaktualizować CV i przejść dalej.

Jestem audytorem IT, który ma doświadczenie w ocenianiu kontroli bezpieczeństwa w organizacjach usługowych, takich jak Twoja firma.

Bycie jednym z dwóch głównych „odpowiedzialnych” teraz za sieć , czy narażam się na jakiekolwiek osobiste ryzyko?

We wszystkich poświadczeniach, które zrobiłem ( SOC 1 2, 3 AUPs), klient i usługa organizacja / dostawca miała umowę, która jest zwykle podpisywana przez wyższą kadrę kierowniczą klienta i organizacji usługowej. Ustanowienie kontroli wewnętrznej w firmie jest ostatecznie obowiązkiem kierownictwa i jeśli nie jesteś członkiem wyższej kadry kierowniczej, jest mało prawdopodobne, że klient zostanie pociągnięty do odpowiedzialności, jeśli kontrole są oszukańczo fałszywie przedstawiane.

Czy jest coś, co mogę zrobić poza szybkim statkiem ?

To, co ty osobiście możesz zrobić, nie ma nic podobnego do innych odpowiedzi. Dlatego zgadzam się, że najlepszą decyzją dla Ciebie jest jak najszybsze odejście. W dłuższej perspektywie może istnieć możliwość pozytywnej zmiany, ale biorąc pod uwagę to, co powiedziałeś o zarządzaniu, wątpię, czy dojdzie do poważnej poprawy w zakresie bezpieczeństwa IT Twojej firmy, ponieważ Kierownictwo po prostu nie dba o kontrolę wewnętrzną.

Nie zdziwiłbym się, gdyby poprawa, zakładając, że będzie miała miejsce, będzie kierowana przez klienta w postaci przeglądów due diligence dostawców lub audytów SOC wymaganych przez nowych klientów, zanim rozważą współpracę z Twoja firma.

Od teraz, jeśli klient zażądałby SOC 1/2 (w zależności od tego, czy usługa wpływa na jego sprawozdawczość finansową), Twoja firma najprawdopodobniej otrzymałaby negatywną opinię. Innymi słowy , audytor doszedłby do wniosku, opierając się na braku wiarygodnych dowodów, że kontrole określone przez kierownictwo firmy jako wprowadzone nie są zaprojektowane ani nie działają skutecznie. Na przykład na podstawie tego, co napisałeś, nie ma możliwości, aby cele kontroli SOC 2 dotyczące komunikacji zostały spełnione.

Oprócz pytania, poniżej przedstawiamy tylko kilka dodatkowych sugestii.

Zapomnij o wdrażaniu znaczących kontroli bezpieczeństwa informacji, dopóki te zasady bezpieczeństwa nie zostaną odblokowane i udostępnione do wszystkich pracowników

Aby program bezpieczeństwa informacji w firmie działał, wszyscy pracownicy muszą aktywnie uczestniczyć. Nie mogą tego zrobić, jeśli nie wiedzą, czego się od nich oczekuje. Na przykład:

1. Co powinien zrobić pracownik, jeśli podejrzewa incydent związany z bezpieczeństwem?
2. W jaki sposób powinien zgłosić skradzione zasoby, takie jak laptopy?
3. Jeśli nie ma wymogu przeprowadzania okresowych szkoleń z zakresu bezpieczeństwa, czy pracownicy mają wiedzę na temat ataków wymierzonych w ludzkie słabości, takich jak inżynieria społeczna?

Poniżej znajdują się mroczne sprawy, a ja nie jestem prawnikiem ani nie zajmuję się żadną firmą zajmującą się tym w ten sposób.

Należy pamiętać, że czasami różnica w teorii i praktyce dotycząca polityk bezpieczeństwa jest nieformalnie rozumiana wzajemnie - zdarzają się przypadki, w których klient chce takich polityk na papierze , prawdopodobnie dlatego, że ICH klienci chcą, żeby tak wyglądało na papierze, mając jednocześnie świadomość, że nie są w stanie tego zrealizować w praktyce w danym przedziale cenowym. Ta gra jest czasami odgrywana w łańcuchu żywnościowym klientów klienta.

Pamiętaj, że koszty wydawane na bezpieczeństwo są często postrzegane jako nieekonomiczne, jeśli nie są poniżej ((oczekiwany koszt, gdy coś pójdzie nie tak) / (postrzegane prawdopodobieństwo idzie źle i nie możesz zmusić kogoś innego do przejęcia karty)).

Ryzyko w takich praktykach polega na tym, że klient może kalkulować na temat możliwości outsourcingu winić swoją firmę, jeśli coś się wydarzy.

Ważnym pytaniem dla Ciebie jest: czy jako osoba odpowiedzialna (wobec firmy) możesz również ponosić odpowiedzialność (przed osobami z zewnątrz)? Jest to raczej zależne od lokalnego prawa. Nie jestem prawnikiem i nie mogę tego komentować.

Ponadto może być ważne, aby upewnić się, że kierownictwo pracodawcy jest świadome, że a) nie wdrażasz formalnej polityki w praktyce oraz b ) nie są informowane przez osobę odpowiedzialną o ich wdrożeniu. Jeśli możesz zebrać jakikolwiek dowód (np. E-maile), który by to wyjaśnił, zrób to. Jeśli musisz wyraźnie poprosić o uzyskanie tego na piśmie, zrób to w sposób niekonfrontacyjny, który nie oznacza, że ​​masz powód (np. Wiedza o tym, co powiedziano klientowi), aby uznać obecne praktyki za niewystarczające - raczej zapytaj, czy kierownictwo chce, zmienić cokolwiek w zakresie praktyk bezpieczeństwa.

Może to być długa szansa, biorąc pod uwagę twój opis firmy ... ale możesz zgłosić nieprawidłowości, wewnętrznie (do HR) lub zewnętrznie (prawnik).

Istnieje kilka przydatnych porad na temat https://www.gov.uk/whistleblowing, aby zgłosić niewłaściwe postępowanie:

Możesz powiedzieć swojemu pracodawcy - może on mieć politykę informowania o nieprawidłowościach, która mówi, czego możesz się spodziewać po zgłoszeniu Twoja troska o nich. Nadal możesz zgłosić im swoje obawy, jeśli nie mają polityki.

Istnieją inne opcje, jeśli nie chcesz zgłaszać swoich obaw pracodawcy, np. Możesz uzyskać poradę prawną od prawnik lub powiadomić wyznaczoną osobę lub organ.

Edytuj: Jeśli pójdziesz tą drogą, istnieje duża szansa, że ​​firma zostanie zamknięta. Więc cokolwiek zdecydujesz się zrobić, czas wskoczyć na statek.

Właśnie odkryłem, że polityka bezpieczeństwa reklamowana przez dyrektorów

Zapytaj o to swoich dyrektorów.

Sprawiasz, że brzmi to czarno-biało. I może tak jest. Wiem jednak, że wielu młodszych pracowników może szybko dojść do takiego wniosku, nawet jeśli nie jest on właściwy.

Być może dyrektorzy wdrażają pewne praktyki bezpieczeństwa, których jesteś całkowicie nieświadomy. Na przykład, być może nie widzisz pewnych zabezpieczeń zaimplementowanych na stacji roboczej. Jednak być może jest to realizowane w zaporze. A może ruch sieciowy jest skanowany przez firmę zewnętrzną za pomocą usługi „chmury”, zanim jeszcze dotrze do najbardziej zewnętrznej zapory sieciowej Twojej witryny. A może usługa jest wdrażana, ale tylko na jednym komputerze (głównym „serwerze”, np. W Active Directory może to być kontroler domeny) i nie jest wdrażana na innych komputerach. We wszystkich tych możliwych scenariuszach reżyserzy mogą być niewinni.

A może jest to przeoczenie z powodu czegoś, co zostało wdrożone, ale potem implementacja została przerwana, ale reklama nigdy nie została zaktualizowana. (A może reklama została zaktualizowana przez jakąś osobę zajmującą się marketingiem / reklamą, która stworzyła nową reklamę na podstawie listy funkcji i jest to po prostu lista funkcji, która nie została zaktualizowana). W tym przypadku coś może być nie tak, ale jeśli wyjdź z wymachiwanymi pięściami, wtedy możesz łatwo zdobyć wrogów, podczas gdy pytanie, jak coś jest wdrożone, może spowodować, że reżyserzy zobaczą problemy i zdecydują się sprzymierzyć z tobą w wysiłkach, aby zrobić coś, co wcześniej było postrzegane jako niepotrzebnie kosztowne. Ta sama sytuacja może skutkować wrogiem lub sojusznikiem, w zależności od tego, jak sobie z tym poradzisz.

Podsumowując:
Jeśli w rzeczywistości firma nie ma skrupułów, jak sugerowało twoje pytanie, istnieje wiele innych odpowiedzi, które zawierają solidne (trudne, nieprzyjemne, ale słuszne) porady. Jednak przed rozpoczęciem jakichkolwiek walk lub podjęciem ekstremalnych działań, takich jak wyskakujący statek, upewnij się, że jest zła sytuacja. Następnie porozmawiaj z nimi i zapytaj o istniejące plany naprawienia sytuacji lub czy możemy od razu zacząć takie plany. Jeśli współpracują, kończysz okrucieństwa i zmieniasz świat na lepsze. Jeśli tego nie zrobią, przynajmniej wtedy możesz mieć pewność, że zrobiłeś, co mogłeś, aby spróbować naprawić sytuację, zanim opuściłeś sytuację toksyczną.

Możesz być w trudnej sytuacji. Musisz rozróżnić zwodnicze praktyki swojej i swojej firmy. Jeśli wyskoczysz ze statku, firma może cię winić za nie zrobienie czegoś, a następnie odejście. Radzę porozmawiać o tym ze swoim przełożonym. Czy oni też są współwinni tego kłamstwa? Jeśli to możliwe, rób pisemne notatki po spotkaniu.

Przedstaw swoje obawy i przedstaw je wszystkie. Jaka jest reakcja kierownictwa? Jeśli nie chcą skorzystać z Twojej rady co do podjęcia działań, grzecznie zrezygnuj, ponieważ nie jest to firma, która pomoże Ci rozwinąć karierę.