Question:
Comment puis-je porter plainte contre quelqu'un lorsque mes preuves ont été obtenues d'une source contraire à l'éthique?
user5473
2014-10-30 20:44:58 UTC
view on stackexchange narkive permalink

Une partie de mon travail informatique que je prends sur moi est de passer au crible les courriels des employés sortants pour supprimer les informations confidentielles et personnelles avant de remettre le compte à la personne qui succède.

Une occasion fatidique, j'ai trouvé un e-mail étrange dans la boîte de réception avec des informations sur le salaire qui a été envoyé par l'employé X au responsable des ressources humaines, puis transmis par le responsable des ressources humaines au propriétaire du compte de messagerie (qui est maintenant un ancien employé). Il semble que le responsable des ressources humaines ait envoyé les informations de salaire à l'employé X pour qu'il travaille sur un formatage de documents.

Cela déclenche l'alarme.

Pour obtenir plus de preuves, je me suis connecté à leurs comptes de messagerie et recherché les correspondances. Finalement, j'ai fini par trouver plus de cas de ce genre entre 3 autres employés, avec le directeur des ressources humaines. Au total, 12 cas d'abus de confiance; 6 semer la discorde; et 3 demander aux autres de faire son travail.

Je voulais signaler une faute mais je m'inquiète de mon accès contraire à l'éthique. En tant que personnel informatique, j'ai autorisé l'accès à tous les systèmes, mais j'estime que j'aurais pu consulter un directeur avant de procéder à la recherche. Je n'ai aucune idée de la façon dont la direction pensera / agira si je révèle cela. Que dois-je prendre en compte pour me protéger tout en étant capable de rendre justice?

MODIFIER : à quel niveau (responsable, directeur ou service en particulier) «fouiner» serait-il légal ? Ou pouvez-vous prendre une décision légale pour effectuer une recherche?

MODIFIER 2 : Les réponses jusqu'à présent utilisent les explications juridiques et le simple "demandez à votre patron". J'ai fait une recherche sur Google et il semble que dans le cas où la loi est en vigueur, vous ne pouvez pas "demander à votre patron". Le seul moyen légal est de demander aux propriétaires de messagerie d'autoriser l'accès (mais je pense toujours qu'il y a une zone grise: qui donne la permission de consulter les e-mails d'anciens employés?). Alors qu'en l'absence de loi, il n'est pas clair qui a l'autorité éthique, c'est-à-dire de quel patron s'agit-il?

MODIFIER 3 : en raison de l’enthousiasme de la majorité pour la politique d’attention à mes affaires et de protection personnelle devant la loi (ce que je dois admettre que je trouve plutôt surprenant), je pense que les réponses ont considérablement dévié de mon thème principal prévu de «comment rendre justice» au «problème avec des preuves contraires à l'éthique».

Quoi qu'il en soit, je comprends que la réponse courte est que je ne peux pas faire n'importe quoi (au moins en vertu de la majorité des lois nationales). Merci pour les réponses. À certains des commentateurs / répondants, je regrette de ne pas être en mesure de fournir plus de détails concernant ma position dans l'entreprise et la nature de la faute dont je me plains, etc., ce qui rend cette question un peu une supposition dans la nature.

Ne vous inquiétez pas de vous faire virer; la NSA vous embauchera pour votre morale flexible et un mépris flagrant pour toute notion d'intimité. Je pense que vous avez peut-être un secteur de l'intelligence de carrière prometteur!
Discussion déplacée vers [chat] (http://chat.stackexchange.com/rooms/18316).
Il y a tellement de mal à cela qu'il ne sert à rien de faire une autre réponse. Je voudrais cependant quelques éclaircissements: vous avez jugé la responsable RH avec * "12 cas d'abus de confiance; 6 semant la discorde; et 3 demandant à d'autres de faire son travail." * Pourtant, les actions qu'elle a entreprises ne sont pas contraires à la loi. Pour autant que je sache, vous avez inventé un ensemble de règles, puis vous les lui avez appliquées, et vous nous demandez comment vous aider à la faire punir pour avoir enfreint vos règles inventées. Elle a le pouvoir de faire travailler d'autres personnes sur les documents salariaux. * Quelle est votre autorité? *
Mon problème avec ceci est "Une partie de mon travail informatique * que je prends sur moi * est de passer au crible sortant". Vous ne devriez même pas effacer des informations confidentielles. Je suis sûr que vous avez une politique informatique pour cela.
Ma règle personnelle est "Même si j'ai le pouvoir de savoir, je ne veux pas savoir, car alors je serais responsable de savoir." Certains ne comprennent pas que c'est en fait la bonne attitude, pas que je suis paresseux. De plus, vous ne pourrez peut-être rien y faire, même si vous pensez que vous devriez le faire. Telle est la situation dans laquelle vous vous trouvez. Vous ne pouvez rien faire.
"Une partie de mon travail informatique que je prends sur moi est de passer au crible les courriels des employés sortants pour supprimer les informations confidentielles et personnelles avant de remettre le compte à la personne qui succède." Qu'est-ce que tu es, Yogi Berra maintenant?
Vos modifications modifient complètement la question. Peut-être devriez-vous poser une autre question: "Qui dans une entreprise peut décider de lire les e-mails des employés?" et partir de là. (Mais vos réponses ici seront toujours correctes.)
Qui vous a demandé de supprimer ces informations, si vous n'êtes pas invité à le faire, vous avez votre réponse. Allez-y d'une autre manière, suggérez fortement qu'un adulte soit fait, faites une sauvegarde avant d'annoncer quoi que ce soit, puis puisque vous êtes chargé de le faire, créez le rapport. Ce n'est jamais juste une mauvaise pomme qui envoie des PPI
Vous devez également arrêter de fouiner jusqu'à ce que votre superviseur vous ait confié cette tâche.
* Si * le représentant RH en question est le même "assis" lors de votre évaluation des performances [** à partir de cette question **] (http://workplace.stackexchange.com/questions/23078/is-it-common- de vous asseoir pendant une évaluation de la performance), vous pouvez faire bien de cesser et d'annuler tranquillement et rapidement toutes les activités que vous avez décrites (ce qui serait honnêtement sage de faire * peu importe *). Je ne vois aucune chance d'un bon résultat si tel est le cas, et bien au contraire; cela pourrait devenir moche * rapidement *.
Sauf autorisation du simple fait que vous lisez le courrier électronique d'autres personnes, cela pourrait être une infraction de licenciement en soi. Votre travail est en jeu ici.
Votre EDIT2 n'est pas nécessairement / toujours vrai. Selon le pays et les lois applicables, une entreprise peut légalement déclarer (par exemple dans un contrat de travail) qu'elle a le droit de consulter les e-mails sur le serveur de messagerie de l'entreprise. Les responsables peuvent donc demander à un informaticien de le faire.
Veuillez en informer votre responsable.L'entreprise doit savoir que vous avez outrepassé votre autorité.Je crois que vous devez être licencié.Il ne s'agit plus de vous, mais de tous ceux qui ont besoin d'être protégés contre * vous *.
Six réponses:
Roger
2014-10-30 21:04:13 UTC
view on stackexchange narkive permalink

Si je comprends bien, il semble que vous fouilliez dans des boîtes aux lettres fermées sans aucune permission ou autorisation de votre direction. À mon avis, il s'agit d'une inconduite égale ou supérieure à n'importe laquelle des infractions présumées que vous mentionnez.

Je suppose que vous n'êtes pas au courant de toutes les conversations tenues par le responsable des ressources humaines. Peut-être que cette personne a l'autorisation de travailler avec une ou plusieurs personnes extérieures à des fins de formatage de documents et autres. Peut-être que les choses que vous considérez comme un «abus de confiance» sont parfaitement acceptables du point de vue de l'organisation. (Je n'entrerai même pas dans le commentaire "demander aux autres de faire son travail".) Ce que j'essaie de faire valoir, c'est que vous essayez de faire le travail de quelqu'un d'autre et que vous commettez les mêmes violations que vous essayez de prévenir (abus de confiance, par exemple) dans vos propres actions.

Ne confiez pas cela à la direction si vous appréciez votre travail et, par tous les moyens, arrêtez de fouiner dans les e-mails qui ne t vous appartiennent sauf si vous avez une autorisation écrite spécifique de votre superviseur l'autorisant. Vous pouvez avoir accès à des informations sensibles, mais ne vous y trompez pas, cela ne signifie pas automatiquement que vous pouvez les parcourir et agir sur tout ce que vous trouvez.

Vous avez mentionné le superviseur. À quel niveau d'un superviseur serait-il en mesure de prendre cette décision de recherche?
Cela dépend de l'organisation. Je suis un directeur informatique - l'équivalent de mon entreprise de CIO - et je n'autoriserais aucun membre de mon personnel à consulter les e-mails d'un utilisateur sans instructions expresses de la part des RH ou de la direction. Si je découvrais qu'un membre de mon personnel participait à ce genre d'expédition de pêche, un compte rendu serait la mesure minimale que je prendrais. J'ai travaillé pour des organisations moins éthiques qui espionnaient régulièrement des comptes de messagerie individuels, mais même dans ces organisations, l'action a été initiée par un cadre supérieur et non par un membre du personnel informatique.
@Jake Généralement, quelqu'un ayant autorité sur vous-même et sur le «suspect» en question.
@Roger Donc, si vous étiez à ma place, à qui demanderiez-vous la permission? Cela dépend-il aussi du rang du HR Manager?
Vous manquez ce que je dis. Vous NE POUVEZ PAS agir sur les choses que vous avez trouvées. Si vous pensez qu'il est important de le faire - à l'avenir -, vous devriez obtenir l'approbation - à l'avance - de votre superviseur avant de consulter d'autres comptes de messagerie.
Pensez-y comme ça. Vous êtes le détective de votre réseau. Quand quelqu'un avec autorité (essentiellement quelqu'un de plus haut dans la hiérarchie que la personne faisant l'objet de l'enquête) vous demande d'enquêter sur quelque chose, vous avez tous les accès et privilèges nécessaires pour le faire. C'est en fait un avantage plutôt cool. Malheureusement, votre recherche de problèmes de justicier est TRÈS ILLÉGALE dans la plupart des pays modernes. Ce que les RH ont fait peut être ou non un problème. Ils pourraient agir sur le conseil des hauts fonctionnaires. Même si c'est le pire des cas, ce que vous avez fait de loin pèse sur leurs actions. À moins qu'on vous le dise, ne creusez pas.
@Roger c'était mon point. Qui dois-je obtenir l'approbation -à l'avance-? Si ce forum ne traite pas des lois, qu'en est-il d'un point de vue éthique? Parce que vous êtes un directeur informatique, j'ai pensé que vous seriez en mesure de donner une analyse plus crédible pourquoi la personne choisie peut autoriser ou non.
@Jake, cela dépend de l'organisation, comme je l'ai dit. Le chef de votre service informatique devrait être en mesure de vous aider à prendre cette décision si votre supérieur immédiat ne peut pas vous aider.
@Jake: La question, "lisons-nous les e-mails des employés sans raison?" est une politique de très haut niveau, le PDG ou un autre rôle de niveau C responsable de la sécurité informatique devrait le faire. Cependant, cette décision étant prise, les personnes de niveau inférieur devraient en être conscientes. Votre supérieur immédiat doit en être conscient (ou peut le savoir auprès de son supérieur immédiat et ainsi de suite), de sorte que l'approbation préalable que vous recherchez doit être à ce niveau. Il ne s'agit pas de passer au-dessus de la tête de votre responsable, car votre supérieur doit savoir si cela fait partie de vos fonctions ou non. Suivez la chaîne de commandement.
... inversement, si une enquête particulière a été lancée par un cadre de niveau C, alors * ils * pourraient choisir de sauter la chaîne de commandement ne serait-ce que parce que votre supérieur immédiat pourrait être un suspect possible et qu'ils veulent donc que le moins de personnes possible. Mais c'est leur décision du haut de la hiérarchie: vous, au bas de la hiérarchie, ne devriez pas chercher cela.
@Jake: Je pense que vous avez encore manqué leur point. Vous ne devriez demander à ** personne ** d'approuver. Vous devriez vous occuper de vos propres affaires à moins d'être invité à rechercher ces choses.
@RualStorge Je ne suis pas sûr des autres pays du premier monde, mais ce n'est en fait pas illégal aux États-Unis. Cela peut certainement (et est très susceptible de) vous faire licencier, mais ce n'est pas illégal. La plupart des entreprises ici déclarent dans leurs politiques d'entreprise qu'il n'y a aucune attente de confidentialité dans les comptes de messagerie d'entreprise ou même sur l'équipement informatique de l'entreprise. C'est également le cas pour les employés du gouvernement américain.
@reirab Il est vrai que les employés n'ont généralement pas le droit à la vie privée sur les ordinateurs de l'entreprise, donc la surveillance n'est généralement pas illégale. Mais un employeur qui découvre qu'un membre du personnel informatique mène des enquêtes non autorisées pourrait vraisemblablement déposer des accusations criminelles contre ce membre du personnel informatique en vertu de la loi sur la fraude et les abus informatiques pour "dépassement intentionnel de l'accès autorisé".
@JoelEtherton Alors peut-être que je ne comprends pas vraiment votre point. Si personne ne demande l'approbation à personne, qui, sans raison, émettra une approbation (d'envahir)? Je pense qu'il doit y avoir quelqu'un qui devrait être * encouragé * à soulever des problèmes et à corriger les choses? Quoi qu'il en soit, j'ai marqué cette réponse comme acceptée.
@Jake: Dans votre propre commentaire se trouvent les informations qui répondent à votre propre question. «sans raison». Il doit y avoir une raison. Si vous soupçonnez que quelque chose ne va pas sans consulter les e-mails des gens, vous devez en informer votre superviseur immédiatement. Tout le reste, vous devez vous occuper de vos propres affaires.
Julia Hayward
2014-10-30 21:40:33 UTC
view on stackexchange narkive permalink

Une partie de mon travail informatique que je prends sur moi est de passer au crible les courriels des employés sortants pour supprimer les informations confidentielles et personnelles avant de remettre le compte à la personne qui succède.

[tl; réponse dr - pourquoi, oh pourquoi?]

Arrêtez-vous là. Laissant de côté la question de ne pas avoir de sanction officielle pour faire cela, et après avoir recueilli beaucoup d'informations confidentielles que vous n'avez pas le droit d'avoir, qu'entendez-vous par «remettre le compte à la personne qui succède»? Les employés n'ont-ils pas de comptes de courrier sortants individuels? Recyclez-vous des choses pour qu'un nouvel employé puisse raisonnablement tomber sur le travail de son prédécesseur? Cela semble être un problème majeur en soi.

  • En supposant que vous ne faisiez pas ce que vous faites, les utilisateurs pourraient-ils avoir un accès involontaire à des courriers potentiellement confidentiels envoyés par d'autres personnes?

  • Étant donné que vous "supprimez des informations confidentielles", comment savez-vous que vous n'avez pas accidentellement supprimé quelque chose d'important, par exemple. des preuves pour ou contre des actes répréhensibles qui pourraient ultérieurement être demandés par un tribunal?

  • Comment quelqu'un peut-il faire confiance aux e-mails pour la sécurité et l'honnêteté si le système vous permet, à vous et à vos collègues administrateurs système, de vous immerger et de changer des choses?

En gros, vous n'avez pas seulement lu des choses auxquelles vous n'aviez pas droit, vous (à la suite d'une configuration dysfonctionnelle) avez sapé toute l'intégrité du système de messagerie dans la société. La bonne chose à faire serait de modifier le système de messagerie afin que les messages personnels sortants ne soient jamais envoyés à partir de comptes génériques, ce qui rendrait votre désinfection inutile - mais en justifiant ce changement, la direction posera des questions qui pourraient vous coûter votre travail.

«Les employés n'ont-ils pas de comptes de courrier sortants individuels? Recyclez-vous des choses pour qu'un nouvel employé puisse raisonnablement tomber sur le travail de son prédécesseur? » J'ai supposé que c'était pour les adresses e-mail qui ne sont pas spécifiques à une personne donnée, par exemple human-resources@company.com.
@PaulD.Waite Généralement, les comptes génériques des entreprises modernes ne sont plus partagés, mais lorsque vous envoyez un e-mail à human-resources@company.com, il redirige cet e-mail vers SallyTheyHRManager@Company.com. Lorsque Sally quitte son courrier électronique est archivé au cas où cela serait nécessaire pour des raisons juridiques et l'adresse RH est ensuite transmise à celui qui prend le relais. L'adresse de l'individu est alors définie, alors envoyez un message «Je ne travaille plus ici» ou transmise à la personne de remplacement, ou à un responsable, ou à toute personne appropriée. (les pratiques des entreprises diffèrent, mais vous évitez les cases «fourre-tout» pour des raisons à la fois juridiques et pratiques)
@RualStorge: ah gotcha, intéressant à savoir.
Généralement, les entreprises archivent les e-mails d'un ancien employé et autorisent leur responsable à y accéder pendant un certain temps, car vous pourriez avoir des problèmes qui n'ont pas été résolus lorsqu'ils sont partis et / ou ont besoin de trouver de la correspondance passée. Cependant, je ne m'attendais généralement pas à ce qu'il soit transmis en entier à la personne suivante. Quoi qu'il en soit, je pense que vous ne devriez pas avoir d'attentes en matière de confidentialité dans les e-mails professionnels et que vous ne devriez pas utiliser les e-mails professionnels pour tout ce que vous pourriez être dérangé par quelqu'un d'autre.
@RualStorge: Je ne peux pas parler de ce qui est commun, mais c'est une configuration assez obsolète pour être honnête. Ce que je constate de plus en plus, c'est que des adresses comme support@company.com sont accessibles à tous les membres du groupe de support (même si ce n'est qu'une seule personne). En plus de cela, ils auraient leur boîte de réception privée et ils peuvent choisir de répondre à partir de l'un ou l'autre.
@DavidMulder C'est ce que nous faisons. boîtes aux lettres de groupe et boîtes aux lettres privées. La boîte aux lettres privée n'est jamais remise à personne d'autre. La personne partant normalement peut transférer ou exporter pour remise au successeur. Si quelqu'un est licencié sur-le-champ, son responsable peut obtenir une exportation effectuée par l'informatique, si HRM et la direction générale approuvent. Le filtrage est supervisé par une personne de HRM. Si quelqu'un meurt soudainement ou souffre d'une maladie grave (par exemple, accident vasculaire cérébral, lésion cérébrale) qui empêche le transfert, la même procédure est suivie, mais avec l'approbation supplémentaire du propriétaire d'origine (si possible) ou de sa famille requise.
@Tonny: Oui, je suis définitivement d'accord sur le 'qui peut accéder' à quels problèmes, j'abordais juste le "il redirige cet e-mail vers" ce que RualStorge a mentionné. Ce qui ferait en sorte que tous les e-mails se retrouvent dans une boîte aux lettres privée, avec la configuration que j'ai décrite, beaucoup d'e-mails resteront dans la «boîte aux lettres de groupe» et tout le monde dans le groupe pourra toujours y accéder. (Bien que certaines personnes aient la mauvaise habitude de rendre toutes les conversations `` privées '' ... eh bien, au moins l'inverse se produit rarement, voire jamais (conversations privées dans une boîte de réception de groupe))
@DavidMulder C'est aussi mon expérience.
@RualStorge:, nous avions l'habitude d'avoir une configuration comme celle que vous mentionnez avec le transfert d'e-mails, et c'était un cauchemar. Une employée prenait un congé de maternité et, du coup, il n'y avait plus d'accès immédiat aux données pertinentes d'il y a quelques mois. Un compte générique doit être précisément cela, et non une interface pour le compte personnel d'une personne.
Pavel
2014-10-31 17:44:52 UTC
view on stackexchange narkive permalink

Que dois-je considérer pour me protéger tout en étant capable de rendre justice?

Trouver un bon avocat.

Cette réponse n'est peut-être pas applicable dans toutes les juridictions, mais au moins en Europe centrale, ce que vous faites est probablement complètement ILLÉGAL *. Je suis sûr que c'est au moins en Allemagne et en République tchèque.

Les recherches ciblées, demandées par la direction et peut-être approuvées (ou demandées) par le tribunal sont le seul cadre légal (si discutable) dans lequel en tant qu'employé, peut lire un sous-ensemble limité de son courrier. Dans les pays mentionnés ci-dessus, l'employé doit savoir ou exprimer son consentement au fait que son courrier est examiné.

La lecture systématique des e-mails de vos collègues sans aucun consentement est inexcusable compte tenu de l'éthique uniquement.

Et la réponse est: votre entreprise devrait se protéger de vous, et non l'inverse.

(*) Je ne pourrais tout simplement pas insister sur le mot illégal assez.

Journeyman Geek
2014-10-31 19:07:16 UTC
view on stackexchange narkive permalink

En général, on ne fait pas de recherche dans quoi que ce soit sans l'autorisation d'une autorité légale. Au sein d'une entreprise, il s'agirait probablement du conseil d'administration et / ou du PDG secondé par votre AUP - C'est-à-dire que vos employés l'ont préalablement accepté.

In un sentiment très clair que vous avez violé votre devoir de confiance (ou comme j'aime le dire, la grande responsabilité qui accompagne le grand pouvoir d'être un gestionnaire et opérateur informatique . Vous avez abusé de votre pouvoir de position et des pouvoirs qui vous sont conférés pour faire votre travail.

Dans un sens très réel, c'est précisément pourquoi un professionnel de l'informatique formé en criminalistique doit travailler selon un ensemble de règles très strictes, car dans de nombreux cas, ce que vous avez trouvé est probablement juridiquement inutile.

En dehors des problèmes juridiques (et je trouve que cela varie considérablement), si les employés pensent que leurs e-mails professionnels peuvent être surveillés sans procédure appropriée, ils sont susceptibles de simplement passer à des comptes de messagerie privés de toute façon, et cela peut affecter le moral. Cela peut également avoir des implications politiques, mais c'est une toute autre histoire.

Quelle est la bonne façon de procéder?

  1. Indiquez clairement pour commencer que vous avez le droit de consulter les e-mails des employés en cas de certains soupçons d'actes répréhensibles. Précisez clairement les exigences pour le faire et demandez à au moins deux personnes de mener l'enquête après qu'elle a été autorisée par l'autorité compétente. Ayez ceci dans votre AUP

  2. Décidez très clairement qui est l'autorité compétente, à la fois pour demander une telle enquête et pour l'autoriser. Dans la mesure du possible, séparez ces rôles autant que possible. En bref, il est TRÈS difficile pour quelqu'un de simplement fouiller dans le courrier électronique de quelqu'un d'autre et assurez-vous qu'il existe une chaîne de commande claire pour l'autoriser. Il est toujours utile d'avoir quelqu'un d'assez neutre pour aider à décider quand cela est nécessaire.

  3. Ayez un journal de votre enquête, y compris ce qui a déclenché l'enquête, ce que vous avez trouvé et où. Conservez des sauvegardes des magasins de courrier pertinents (idéalement sur des supports en lecture seule) au début de l'enquête et assurez-vous qu'il existe une chaîne de contrôle claire.

Bien qu'il soit spécifique au Royaume-Uni (et je suis plus familier avec la façon dont les choses sont faites dans le Commonwealth), findlaw UK a une belle article à ce sujet. Aux États-Unis, il n'y a apparemment aucun droit à la vie privée (une meilleure citation est requise!), Ce n'est toujours pas la meilleure pratique, et pourrait conduire à d'autres problèmes.

En ce qui concerne les États-Unis, c'est à peu près la même chose que ce que vous avez décrit pour le Royaume-Uni. ordinateurs de l'entreprise ou systèmes de messagerie électronique. C'est la politique de la plupart des entreprises américaines ainsi que du gouvernement fédéral américain. Si de telles politiques ne sont pas en place, cependant, toute preuve obtenue serait inadmissible au tribunal. Les enquêteurs judiciaires suivent ici une chaîne de garde similaire à celle que vous avez décrite.
Eh bien, je suis formé en criminalistique / sécurité, donc ma réponse est fortement colorée par cela. Si votre preuve n'est pas assez bonne pour tenir devant le tribunal, c'est une poubelle.
D'accord. Je suis également formé en criminalistique et en sécurité. Je confirmais surtout que les procédures aux États-Unis sont presque identiques à ce que vous avez décrit pour le Royaume-Uni pour des raisons presque identiques.
Joe Strazzere
2014-10-31 17:58:06 UTC
view on stackexchange narkive permalink

Les réponses à ce jour utilisent les explications légales et le simple "demandez à votre patron". J'ai fait une recherche sur Google et il semble que dans le cas où la loi est en vigueur, vous ne pouvez pas "demander à votre patron". Le seul moyen légal est de demander aux propriétaires de messagerie d'autoriser l'accès (mais je pense toujours qu'il y a une zone grise: qui donne la permission de consulter les e-mails d'anciens employés?) Alors qu'en l'absence de loi, il n'est pas clair qui a l'autorité éthique, c'est-à-dire de quel patron s'agit-il?

Chaque fois que vous ne connaissez pas l'étendue de votre travail, vous devez parler à votre patron. Dans ce cas, votre patron immédiat - celui qui a la responsabilité de vous dire quel est votre travail et ce qu'il n'est pas.

Allez voir votre patron maintenant et demandez-lui ce que vous êtes censé faire sur la recherche d'e-mails. Et demandez ce que vous êtes censé faire si vous trouvez quelque chose de suspect.

Prendre sur vous-même de «passer au crible les courriels des employés sortants pour supprimer les informations confidentielles et personnelles» peut être ou non ce que votre patron / entreprise souhaite que vous fassiez. Le faire quand même, sans savoir si cela fait réellement partie de votre travail, vous met vous en danger.

DoubleDouble
2014-10-31 01:56:06 UTC
view on stackexchange narkive permalink

C'était une erreur de prendre de telles responsabilités sur vous-même. Si vous étiez Sécurité des informations , Protection des actifs , Audit ou un rôle similaire dans votre entreprise, vous auriez probablement déjà l'autorisation pour cela, ou connaître le processus d'obtention d'une autorisation ou savoir comment signaler quelque chose de suspect. Même ils ne pourraient pas simplement aller voir ce qu'ils veulent.

Vous ne pouvez pas signaler l'incident avec la façon dont vous avez accédé aux informations sans vous mettre en difficulté. Cependant, certaines options s'offrent à vous.

  1. Faites preuve d'intégrité et parlez à votre superviseur de toute la situation. Viens nettoyer. Vous devez vous attendre à une punition, ne pas trouver d'excuses ou la combattre. Vous semblez déjà savoir que ce que vous avez fait était mal.

  2. Suggérer des inquiétudes quant au fait que les gens envoient des informations sensibles. Cela sera géré de manière appropriée et vous serez peut-être découvert.

  3. Demandez à votre responsable (ou à tout autre superviseur qui aurait suffisamment de pouvoir) s'il souhaite que vous assumiez cette responsabilité. Si oui, attrapez-le la prochaine fois que cela se produira.

  4. Voyez si vous, ou suggérez à quelqu'un d'autre dans les RH, pouvez envoyer des rappels sur la politique de l'entreprise aux utilisateurs de messagerie en général. en vous encourageant à signaler tout problème.

  5. Parlez personnellement aux victimes et voyez si elles soulèvent quelque chose. Encouragez-les à le signaler s'ils le font.

  6. Ne rien faire.

Plus important encore, à l'exception avec un oui sur # 3 , arrêtez de nettoyer les e-mails. S'il y a un besoin dans l'entreprise pour le poste que vous essayez d'exercer, cela devrait devenir évident bientôt. Faire le n ° 2 y contribuera.

Même s'ils étaient infosec, audit, etc., il serait toujours erroné d'assumer ce rôle eux-mêmes, et sans l'autorisation des dirigeants de l'entreprise (ou ordonnance du tribunal).
@atk C'est vrai, je voulais dire que s'il avait l'un de ces rôles, il aurait probablement déjà l'autorisation, ou connaîtrait le processus pour obtenir l'autorisation. Je vais le reformuler un peu.
pas forcément! Cet accès est plus susceptible d'être limité aux personnes occupant de tels rôles, mais (a) personne dans ces rôles ne saura comment y accéder, en particulier dans les grandes organisations, et (b) de nombreuses personnes occupant ces rôles n'ont pas déjà un tel accès. . Néanmoins, vous êtes par ailleurs sur place, et je pensais que vous aviez déjà mon vote favorable :-)


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...