Pytanie:
Zmuszony przez klienta do usunięcia funkcji zabezpieczeń, teraz obwinia mnie za kradzież danych
Jack Jack
2020-03-18 13:02:45 UTC
view on stackexchange narkive permalink

W ciągu ostatnich miesięcy kierownik projektu (PM) klienta wielokrotnie prosił o usunięcie niektórych funkcji bezpieczeństwa, które umieściliśmy na ich portalu internetowym, aby „ułatwić nam codzienną pracę” (ich własne słowa).

Początkowo te prośby były spokojne i udało nam się je powstrzymać. Po jakimś czasie PM stał się bardziej naglący, więc ja (jako lider zespołu projektu) napisałem szczegółową wiadomość e-mail z wyraźnymi dowodami zagrożeń, jakie mogą wyniknąć z ich wymagań (skopiowałem mojego szefa, mój zespół, nasz dział bezpieczeństwa IT , nasz dział testów / QA i ich szef). Po kilku dniach PM odpowiedział mi tylko (wszyscy pozostali odbiorcy usunęli) w bardzo nieprofesjonalny sposób (wszystkie wyroki z dużej litery, bezpośrednie i osobiste zniewagi, groźby procesów sądowych o niekompetencję itp.), Nakazując mi realizację ich próśb lub „być przygotowanym ponieść bardzo poważne konsekwencje ”(znowu ich własne słowa, wielkie litery usunięte przeze mnie). Natychmiast przedyskutowałem ten temat z szefem, a ona zasugerowała wykonanie tego, o co poprosił premier, a ona wysłałaby e-mail (z kopią wszystkich poprzednich odbiorców) z informacją, że wykonaliśmy wszystkie prośby, ale ponownie podkreślając nasze obawy. Usunąłem więc zabezpieczenia, a ona napisała e-maila.

Całkowita cisza od tego dnia do wczoraj. Wczoraj rano PM napisał do mnie, że ich zespół ds. Bezpieczeństwa dowiedział się, że ktoś nielegalnie wszedł do portalu i znaleziono w sieci pewne prywatne dane ich klientów. Premier powiedział również, że to „cała moja wina”, ponieważ nie zdawali sobie sprawy z możliwych konsekwencji „Twojego wyboru wyłączenia funkcji bezpieczeństwa naszego portalu”. Patrząc na to, jak PM opisał to, co się stało, zauważyłem, że był to (dosłownie, krok po kroku) jeden ze scenariuszy, które wskazałem jako potencjalne zagrożenie bezpieczeństwa. Znowu poszedłem do szefowej, a ona zdecydowała, że ​​mamy dość PM. Dlatego przez następny tydzień będzie organizować telefon w celu omówienia sytuacji ze mną, ona, dyrektor generalny naszego oddziału (2 poziomy nad moim szefem, więc 3 powyżej mnie), starszy współpracownik z naszego działu bezpieczeństwa, PM i ich szef.

Chociaż wydaje mi się, że nie zrobiłem nic złego i mogę liczyć na swojego szefa, obawiam się, że może to mieć dla mnie konsekwencje. Jak mogę być w pełni przygotowany na to ważne wezwanie i osłonić plecy? Jak mam się zachowywać?

Nie rozumiem, gdzie jesteś winiony przez szefa za utratę danych?Kto dokładnie cię obwinia?Wygląda na to, że to Twój współpracownik IT?Dlaczego martwisz się o ich oświadczenie?Czy mają moc, by cię zwolnić?
@Donald PM wini mnie za problem.Ufam szefowi i mojej firmie.Nie boję się zwolnienia.Chcę tylko mieć 100% pewności, że wszystko zrobiłem poprawnie i chcę wiedzieć, czy muszę być specjalnie przygotowany do rozmowy
Nie wiem, czy miałoby to wpływ na cokolwiek, ale czy istnieje standardowy proces weryfikacji zmiany funkcji?Czy jest jakaś szansa, że mogliby twierdzić, że nie zastosowałeś właściwej procedury wprowadzania zmiany?(może nadszedł czas, aby omówić to również z firmą?) Jeden ze scenariuszy, który sobie wyobrażam, to taki, w którym ktoś inny uzyskuje dostęp do wiadomości e-mail i żąda usunięcia funkcji w niecnych celach.Znam przynajmniej jedną sytuację, w której ktoś próbował to zrobić za pomocą swojego adresu rozliczeniowego;ale klient pomyślał, że coś jest nie tak i najpierw wezwał do sprawdzenia.
Czy są jakieś wątpliwości lub spory, że ten „bardzo nieprofesjonalny” e-mail jest prawdziwy i zgodny z prawem (tj. Wysłany przez PM)?E-maile łatwo podrobić.
@JMac, gdy zmiana funkcji w projekcie wymaga zmiany kodu, do realizacji żądania wymagany jest dokument.Gdy wymagana jest zmiana konfiguracji, wystarczy e-mail z odpowiednimi adresatami.Tutaj byliśmy w drugim scenariuszu, więc e-mail był właściwym sposobem zadawania pytań, zastosowano standardową procedurę
@fraxinus nie ma sporu, e-mail jest prawdziwy, nie ma wątpliwości
Czy przekazałeś wiadomość e-mail swojemu szefowi przed lub po wprowadzeniu zmian?
@EJoshuaS-ReinstateMonica Przesłałem e-mail przed zastosowaniem jakiejkolwiek zmiany i dokonałem zmian dopiero po omówieniu z szefową i dopiero po napisaniu przez nią e-maila potwierdzającego
@JackJack Dobrze, to był sprytny sposób na zrobienie tego, więc nie ma absolutnie żadnego powodu, dla którego miałbyś mieć tutaj jakiekolwiek kłopoty.Wygląda na to, że zrobiłeś wszystko dobrze.
Z ciekawości, jak poszło później?
@frarugi87 Po raz pierwszy w życiu widzę osobę zwolnioną na miejscu i nakrzyczaną przez swoich szefów (którzy twierdzili, że wytoczyliby premierowi sprawę za celowe uszkodzenie firmy i klientów).Potem wielokrotnie przepraszali za zachowanie PM i prosili o ponowne włączenie wszystkich funkcji bezpieczeństwa (zrobiłem to przed zakończeniem rozmowy).Wszyscy byli zadowoleni i nie mamy innego problemu z tym klientem
@JackJack Dziękuję za aktualizację :)
Pięć odpowiedzi:
Anish Sheela
2020-03-18 13:24:13 UTC
view on stackexchange narkive permalink

Podkreśliłeś obawy dotyczące bezpieczeństwa. Wszyscy byli świadomi tego, co się stanie. Masz ślad papieru.

Ponadto, co najważniejsze, szef będzie Cię wspierał. Zrelaksuj się i wydrukuj dokumenty już teraz i zaznacz swoje ostrzeżenia, o których wspomina TheoreticalMinimum w komentarzach. Przynieś je jako dowód, gdy zostaniesz o to poproszony. Jesteś przy tym całkowicie bezpieczny.

+1 dla „drukowania dokumentów” - pliki znikają z serwerów
Szczególnie wydrukuj e-mail z pogróżkami, który premier wysłał tylko do PO.To dymiący pistolet, skoro premier zdecydował się usunąć funkcje.
Wydrukuj również wszystkie nagłówki tych wiadomości.
OP jest bezpieczny, o ile jego firma bardziej chce „wygrać” spór, niż zatrzymać klienta jako klienta.OP powinien rozpocząć przygotowywanie CV
Zwróć uwagę na „wszystkie nagłówki” w komentarzu @fraxinus's.Wielu czytników poczty domyślnie wyświetla tylko podsumowanie.Powinieneś zobaczyć serię wierszy o treści „Otrzymano z X przez Y ...”, gdzie X i Y to serwery w łańcuchu od maszyny wysyłającej do serwera poczty.
Joe Strazzere
2020-03-18 16:31:22 UTC
view on stackexchange narkive permalink

Jak mogę się w pełni przygotować do tej ważnej rozmowy i osłaniać plecy? Jak mam się zachowywać?

Wygląda na to, że twój szef to załatwił.

Porozmawiaj o tym z szefem. Zapytaj ją, czy jest coś innego, co powinieneś zrobić w ramach przygotowań. Następnie podążaj za jej wskazówkami.

Przynieś swoje notatki na każde spotkanie. Używaj ich tylko wtedy, gdy szef Cię o to poprosi.

Nie bądź defensywny. Zachowuj się tak, jakbyś zrobił wszystko, o co cię poproszono, pomimo twoich profesjonalnych zaleceń - bo tak właśnie się stało. Wskaż, że nadal będziesz szczęśliwy, wykonując wszystko, co jest dla Ciebie wymagane.

Zacznij myśleć o tym, jak ponownie zaimplementować funkcje bezpieczeństwa, o których usunięcia polecono. Przygotuj szacunki, jak to zrobić.

I nie martw się. Zajmowałeś się tym profesjonalnie. Przedstawienie opcji i profesjonalnych rekomendacji było sprytne. Przekazanie sprawy kierownictwu, gdy Twoje ostrzeżenia zostały pominięte, było całkowicie właściwe. Postępowanie zgodnie z wymaganiami dobrze poinformowanego PM było prawidłowe. I najwyraźniej twój szef cię wspiera. To wszystko jest w porządku.

@PatriciaShanahan Ponieważ ten portal jest wysoce konfigurowalny, przywracanie polega na prostej modyfikacji pliku konfiguracyjnego i ponownym uruchomieniu aplikacji
@JackJack jest tak, jak może, ale (a) klient nie musi o tym wiedzieć i (b), ale nadal powinien podlegać rozliczeniu.
Dodam również, że w przyszłości na takie wnioski należy odpowiadać „potrzebujemy formalnego wniosku o zmianę wymagań i podpisanie się”, a nie tylko e-mailem.Pomaga to śladowi papieru i każdemu, kto musi stać się świadomy.
Hilmar
2020-03-18 18:33:04 UTC
view on stackexchange narkive permalink

Już dobre odpowiedzi, ale jedna rzecz do dodania

Jak mogę być w pełni przygotowany na tę ważną rozmowę

Powinieneś omówić z szefem dokładnie, w jaki sposób to spotkanie ma się odbyć, zwłaszcza jeśli nie masz dużego doświadczenia w tego typu sprawach

  1. Jaki jest cel i pożądany wynik spotkania?
  2. Jaki jest program i kto będzie prowadził?
  3. Jakie są Twoje role, kiedy zabrać głos i kiedy się zamknąć?
  4. Jakie dokładnie dokumenty uzupełniające powinieneś mieć . W jakiej formie powinny być i kiedy & jak powinny być prezentowane. Przejrzyj je z góry
  5. Jakich fraz kluczowych powinieneś używać? Zapisz je i zapamiętaj.
  6. Omów możliwe reakcje / argumenty drugiej strony i jak odpowiesz / zareagujesz na nie.

Jeśli wejdziesz w spotkanie potencjalnie kontrowersyjne i stresujące, warto być dobrze przygotowanym. Im więcej możesz przewidzieć, co dokładnie się wydarzy, tym lepiej zareagujesz, tym bardziej będziesz spokojny i tym większe prawdopodobieństwo, że osiągniesz pożądany rezultat.

Jedno z potencjalnych spotkań Strategia polega na znalezieniu najsłabszej osoby po drugiej stronie stołu i rozpoczęciu jej hakowania: spróbuj sprawić, by była zdenerwowana, zirytowana lub zdezorientowana, aby powiedzieli coś niewłaściwego lub niewłaściwego. Upewnij się, że to nie ty.

Pamiętaj: wszystko w porządku. Zrobiłeś wszystkie właściwe rzeczy i masz dokumentację, aby to zrobić.

Myślę, że to bardzo dobra rada.Miej świadomość, kim są uczestnicy spotkania, jaki jest wynik, co powinieneś powiedzieć (i jak to wyrazić), a czego * nie * mówić i jakich zwrotów unikać.OP wspomniał, że wyciekły „prywatne” dane.Nie jest w 100% jasne, co to oznacza, ale jeśli obejmuje chronione dane umożliwiające identyfikację osoby, może to wiązać się z odpowiedzialnością prawną, a nawet karną.OP nie zrobił nic złego, więc powinien unikać wyrażeń typu „przepraszam”, które mogą być interpretowane jako przyjęcie odpowiedzialności.
Seth R
2020-03-18 22:10:44 UTC
view on stackexchange narkive permalink

Już wiele dobrych odpowiedzi, ale dodatkowa kwestia, której nie widziałem dobrze omówionych na temat Twojego zachowania podczas spotkania. Zachowaj spokój.

Sądząc po tonie e-maili, które otrzymałeś od tego klienta, bądź przygotowany na to, że będą na Ciebie krzyczeć, obwiniać Cię i ogólnie być nieprzyjemnym. Pozwól im. Pozwól im powiedzieć wszystko, co chcą, i nie przerywaj. Pozwól im się wyczerpać i nie bierz tego do siebie. Następnie, kiedy nadejdzie Twoja kolej, możesz spokojnie przedstawić wydrukowane e-maile, w których opisałeś wszystkie zagrożenia, a mimo to zaakceptowali zmiany. Będą próbować wciągnąć cię w pojedynek na krzyki, ale naprawdę trudno to zrobić z kimś, kto nie chce się zaangażować. Nie pozwól im ciągnąć cię do ich poziomu.

Nie zrobiłeś nic złego i masz dokumenty, które to potwierdzają. Prawdopodobnie ten klient rzeczywiście wie, że jest w błędzie, ale próbuje to na tobie przypiąć, aby się uratować. Jeśli pozwolisz im wejść pod skórę i podniecić się, to ich ostatnia szansa, aby pociągnąć cię za sobą. Nie zadziała, jeśli zachowasz spokój i profesjonalizm.

Dan
2020-03-19 00:43:13 UTC
view on stackexchange narkive permalink

Po kilku dniach PM odpowiedział mi tylko (wszyscy pozostali odbiorcy usunęli) w bardzo nieprofesjonalny sposób (wszystkie zdania z dużej litery, bezpośrednie i osobiste zniewagi, groźby pozwów o niekompetencję itp.), nakazując mi zastosować ich prośby lub „być przygotowanym na bardzo poważne konsekwencje”

Jeśli jeszcze tego nie zrobiłeś, wyeksportuj te e-maile do innego miejsca na wypadek, gdybyś nie mógł uzyskać dostępu do e-maili w jakimkolwiek celu powód.

Następnie powiedziałeś swojemu szefowi i pokazałeś e-maile wyjaśniające wszystko, co mogło się wydarzyć, co się wydarzyło. Teraz to gra czekania. Jeśli wrzucą cię pod autobus, możesz założyć się, że twoje e-maile w tajemniczy sposób znikną i zwolnisz.

Wszystkie e-maile zostały już przekazane mojej szefowej, ona je przekreśliła.Sama napisała też ostatni e-mail.
@JackJack Czy z ciekawości przesłałeś je przed czy po wprowadzeniu zmian?


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 4.0, w ramach której jest rozpowszechniana.
Loading...