Question:
Mettre en œuvre quelque chose que votre patron a demandé, même si c'est potentiellement une mauvaise idée
Marriott81
2014-02-04 16:17:15 UTC
view on stackexchange narkive permalink

Pour mon entreprise, nous créons un portail privé afin que l'entreprise puisse se connecter et obtenir les informations sur son produit sur notre site Web. Mon patron veut que seules les personnes se connectant à partir de cette zone spécifique puissent accéder aux fichiers. C'EST À DIRE. ne pas rentrer à la maison et se connecter et montrer à leur femme d'amis, ou les renvoyer et montrer les documents à nos concurrents.

Pour cette raison, mon supérieur hiérarchique m'a dit que le patron voulait que je verrouille les adresses IP sur les comptes afin que vous ne puissiez pas y accéder à moins que vous ne vous trouviez à cet endroit particulier. Je pense que ce n'est pas une bonne idée pour plusieurs raisons techniques.

La question majeure est que le boss est un peu générique. Il n'est pas le plus averti en technologie et fait ce qu'il veut, je peux le dire à mon supérieur hiérarchique, mais il me dira simplement de le faire parce que le patron l'a dit. Ce que je peux respecter, juste un petit hic 22, Dois-je faire quelque chose que je sais être potentiellement une mauvaise idée?

Vous avez deux questions ici. Celui concernant une meilleure implémentation est hors sujet ici et appartient plutôt aux programmeurs. Je vous suggère de diviser votre question en deux parties, laissez-en une ici et posez l'autre sur les programmeurs.
@Marriott81 J'ai pris la liberté d'éditer votre question et de supprimer les aspects techniques pour que votre question soit plus sur le sujet. Vous voudrez peut-être demander si ce que votre patron propose est une bonne idée ou non sur les sites de stackexchange plus axés sur la technologie. Cela peut être sur le sujet sur http://security.stackexchange.com ou http://programmers.stackexchange.com
@Philipp applaudissements, j'étais sur le point de le faire mais je répondais à une autre question. le récupérera de l'édition et le poster ailleurs.
Si c'est amusant, vous devriez le faire. Si vous pensez vraiment que cela ne devrait pas être fait, ne le faites pas, puis voyez ce qui se passe. Garanti de passer un après-midi amusant!
C'est ton boulot. Fais le. Si vous constatez des problèmes potentiels, il est dans votre intérêt et celui de l'entreprise de les faire connaître, ainsi que des solutions ou solutions de contournement possibles. :-)
En quoi le verrouillage d'adresse IP est-il une mauvaise idée? Votre entreprise a probablement une adresse publique, et si vous faites fonctionner votre application uniquement à partir de celle-ci, c'est une défense relativement décente. Cela mis à part, que diriez-vous, au lieu de nager en amont si vous voulez, suggérer une meilleure alternative qui atteint le ou les objectifs du gestionnaire ainsi que le vôtre.
En ce qui concerne le commentaire d'@superM sur les programmeurs, cela pourrait être une meilleure question pour serverfault, car nous parlons en fait de bloquer l'accès extérieur à un portail, c'est vraiment une question triviale mais qui correspond davantage à l'administration système professionnelle.
Jésus, 4700 vues et compte toujours.
Je suis également vraiment curieux de savoir pourquoi le verrouillage IP est une mauvaise idée. Nous faisons la même chose dans notre entreprise pour des raisons de sécurité. D'après ce que je sais, nous n'avons eu aucun problème avec cela depuis environ 9 ans.
Le concept est connu sous le nom de «pare-feu» et est utilisé dans la plupart des entreprises.
voir aussi: [Comment corriger l'incompréhension d'un PDG sur un projet?] (http://workplace.stackexchange.com/questions/15436/how-to-correct-a-ceos-misunderstanding-of-a-project)
D'un point de vue technique, simplifiez simplement l'ajustement des règles de propriété intellectuelle.J'ai implémenté des variantes de cela plusieurs fois et je n'ai jamais eu de problème sérieux avec cela.
@SnakeDoc Je suis d'accord avec vous.Cependant, je ne comprends pas pourquoi il aurait besoin de le lier aux comptes.J'aurais simplement créé une liste blanche pour les adresses IP de l'application.S'ils ont besoin d'accéder à l'application de l'extérieur, ils peuvent simplement utiliser un VPN au lieu de mettre sur liste blanche l'adresse IP de l'utilisateur spécifique.Toute la partie des comptes est ce qui me donne l'impression que c'est une perte de temps et d'efforts.Tout système d'autorisation doit en être séparé de toute façon.
Sept réponses:
Philipp
2014-02-04 16:33:44 UTC
view on stackexchange narkive permalink

Votre patron est payé pour prendre des décisions et être blâmé lorsque ses décisions s'avèrent erronées. En tant qu'employé responsable, il est de votre devoir de sensibiliser votre patron aux problèmes que vous voyez dans ses décisions. Mais quand ils décident de prendre le risque, vous êtes payé pour faire ce qu'ils disent.

Mais vous devez vous assurer que vous lui avez écrit un e-mail expliquant vos préoccupations. Si les choses tournent mal et que les gens commencent à chercher des boucs émissaires, vous pouvez retirer cet e-mail et dire "Ce n'est pas ma faute, je vous l'ai dit".

Et si vous pouvez, dans cet e-mail, suggérez une approche alternative qui fonctionnera.
Excellente réponse. Malheureusement, d'après mon expérience amère, les mauvais gestionnaires semblent séparer les décisions du blâme, il est donc toujours prudent d'avoir une piste de courriels / discussions auxquels vous pouvez vous référer. Bien que tout manager qui se fasse piéger par l'utilisation de ce matériel comme preuve contre lui / pour vous sauver, sera pour vous à partir de ce moment.
@Mike * "Tout manager qui se fait piéger par l'utilisation de ce matériel comme preuve contre lui / pour se sauver vous-même, sera pour vous à partir de ce moment" * Eh bien, oui, mais si les patrons du manager les ont gardés dans le même rôle après un déménagement si malhonnête (blâmer le personnel technique qu'ils ont annulé afin qu'ils doivent être pris au dépourvu), alors vous devriez réfléchir à deux fois avant de faire confiance à la culture de gestion. Peaufinez votre journal, mettez-le dans la rue et trouvez un autre travail.
@dmckee: en supposant que le manager est malhonnête, ils vont probablement (a) affirmer qu'ils n'ont jamais reçu l'e-mail et (b) se faire un point d'honneur de ne jamais répondre aux e-mails contenant des avertissements comme celui-ci ;-) Par conséquent, ce n'est peut-être pas si facile pour le patron du gérant pour voir qu'ils sont malhonnêtes, que vous en faites une question de démission pour vous-même. Je ne dis pas que vous devriez accepter d'être le bouc émissaire, bien sûr, mais simplement que ce serait une erreur de recrue pour le manager d'essayer de blâmer spécifiquement de cette manière.
Btw, je dis cela pas parce que j'ai vu la malveillance managériale à cette échelle. Je n'ai pas. Mais j'ai vu beaucoup de gens prétendre ne pas savoir quelque chose qu'on leur avait dit par email: parfois honnêtement et je soupçonne plutôt parfois malhonnêtement. À tout le moins, l'e-mail doit être sur rien d'autre que ce point, afin qu'ils ne survolent pas simplement la partie qu'ils n'aiment pas dans votre e-mail "plan de projet". Idéalement, vous avez besoin d'une réponse qui dit: «Je comprends les conséquences». En supposant que vous le demandiez poliment, la volonté de dire que c'est un indicateur fort d'une non-belette.
@dmckee - excellent point. Bien sûr, cela suppose que le manager de votre manager n'est pas aussi incompétent qu'eux :-)
Une sauvegarde serait de CC d'autres parties intéressées / responsables dans la chaîne du courrier. Il semble par exemple que dans ce cas, le responsable qui fait la demande n'est pas le supérieur hiérarchique des OP, ce dernier devrait être inclus. Comme il a besoin d'être lié aux données du réseau, le service informatique de l'entreprise devrait s'impliquer pour s'assurer que ces adresses IP sont disponibles et statiques, etc. etc. Et une telle chose est rarement un travail d'un seul homme, il y a donc probablement une équipe de gestion de projet également. devrait être dans la boucle.
C'est une excellente réponse. Par expérience personnelle, j'ai été _crédité_ dans une évaluation des performances pour m'être limité à un rôle de conseil uniquement même lorsque le ** grand patron ** prend manifestement un mauvais virage. Je lui ai dit le problème, je n'ai pas discuté quand la décision a été prise. Si cette décision vous gêne, vous et votre département, à long terme, il est temps de vous libérer et d'obtenir un autre emploi, j'ai peur!
Même si les décisions sont censées appartenir aux patrons, elles ne le sont généralement pas. Les patrons rejettent le blâme sur les subordonnés. Ceci est bien étudié dans les études longitudinales citées dans Moral Mazes. En général, je pense qu'il vaut mieux exercer le jugement technique pour lequel vous avez été embauché. Affirmez avec confiance quelle pourrait être une meilleure approche. Si vous n'êtes pas content de quitter le poste, alors vous n'avez qu'à vous demander quel compromis vous voulez faire ... dans la limite d'un patron insistant mais faux, préférez-vous trouver un nouvel emploi après avoir défendu votre idée , ou risquer de prendre le blâme pour la mauvaise idée du patron?
Ricketyship
2014-02-04 18:31:09 UTC
view on stackexchange narkive permalink

Points à prendre en considération:

  • C'est vous qui implémentez les choses. Vous devriez être en mesure de dire à votre patron ce qui fonctionnera et ce qui ne fonctionnera pas.
  • C'est votre patron qui est responsable des décisions prises en fonction de vos commentaires. Votre travail consiste à vous assurer que votre patron est tenu au courant des préoccupations / limitations.
  • Peu importe si votre patron n'est pas averti en technologie. Ce n'est peut-être pas sa responsabilité. Il est de votre entière responsabilité de fournir la vision technique de la solution. Le travail de votre gestionnaire est de fournir l'angle commercial à la solution. À son tour, votre responsable peut obtenir ces scénarios de la part de votre utilisateur final.
  • Dressez la liste de toutes les solutions et des failles dues à ces solutions. Si votre responsable souhaite aller de l'avant avec le échappatoires, ne vous inquiétez pas. La responsabilité incombe au gestionnaire.
  • Capturez chaque préoccupation / limitation dans un e-mail. Si vous pensez que quelque chose que le client attend n'est peut-être pas la bonne chose à faire, faites-le savoir à votre responsable. Il peut revenir vers le client et lui faire part de la même chose (les clients n'ont pas toujours raison).
  • Enfin, si votre responsable est sûr de l'approche à adopter (soit en raison des exigences de l'entreprise, soit en raison des exigences du client), vous devez aller de l'avant et le mettre en œuvre. Parfois, ce qui semble technologiquement parfait peut ne pas servir l’utilisateur final.
bethlakshmi
2014-02-04 22:55:48 UTC
view on stackexchange narkive permalink

Permettez-moi de séparer cela en deux questions:

1 - Devez-vous faire ce que votre patron vous dit?

Oui.

En fin de compte, ils vous paient pour faire du travail. Prenez l'argent et faites le travail, ou ne prenez pas l'argent et ne faites pas le travail. Ce qu'il demande n'est ni contraire à l'éthique ni immoral, c'est juste imprudent.

La plupart des gens ne quitteront pas pour un ordre stupide, mais si vous n'avez vraiment aucune confiance dans la structure de commandement et sa capacité à faire des choses intelligentes , puis déterminez à quel point cela compte pour vous en termes de satisfaction professionnelle générale et si vous pouvez ou non prendre des mesures pour la changer.

2 - Dans un poste de travail axé sur les connaissances, est-il acceptable de question de la direction?

Oui - absolument.

Différents emplois fonctionnent différemment ici - par exemple, si vous étiez dans un secteur centré sur la réponse rapide (par exemple, le militaire, ou dans une salle d'urgence), puis interroger le chef dans des conditions de temps critique peut être une interdiction absolue.

Mais dans le travail des connaissances, on suppose généralement que les contributeurs individuels ont des compétences et une formation avancées et qu'ils faire des choix indépendants. Lorsqu'une directive de la direction va à l'encontre du bon sens de vos connaissances plus détaillées, il est juste de remettre en question la directive et de soulever des contre-points.

La clé ici est généralement que vous n'irez pas loin avec une négation pure et simple au lieu de cela, examinez des stratégies alternatives et suggérez une voie qui permet d'atteindre l'objectif, mais d'une meilleure manière. Et rassemblez des munitions qui sont formulées dans des concepts liés aux affaires, et non techniques. Dans cet exemple, en particulier, je suis d'accord avec vous - j'ai vu le verrouillage IP implémenté et cela a induit beaucoup de douleur et de souffrance. Mais le point que le patron a de l'absence d'accès à distance est juste du point de vue de la sécurité / des risques commerciaux.

Je commencerais donc par ce processus:

Obtenir les détails

Votre patron ou le grand patron comprend-il que vous pouvez accomplir très peu avec le verrouillage IP? Par exemple:

  • les gens rapportent-ils leur ordinateur portable à la maison? Les fichiers peuvent-ils être téléchargés au travail sur l'ordinateur portable, puis ramenés à la maison?
  • Le portail lui-même a-t-il des limitations afin que les données affichées sur le portail ne puissent être copiées sur un ordinateur portable / bureau?

Plutôt que l'angle technique, exprimez vos préoccupations d'une manière centrée sur la personne - par exemple, si j'étais était l'utilisateur et que je voulais travailler sur un rapport tard dans la nuit, je copiais les données du portail sur mon ordinateur portable, puis je travaillais de chez moi sur mon ordinateur portable une fois que les enfants se sont couchés ... est-ce possible ici?

Est-ce couvert par d'autres parties de l'entreprise? Dans quelle mesure le big boss veut-il prendre ces mesures de sécurité? Il est probable que vraiment contrôler cela coûtera plus cher qu'il ne le souhaite vraiment ...

Clarifier les ramifications en termes que les non-techniciens peuvent comprendre

Je soupçonne que la raison pour laquelle vous n'aimez pas cette solution est:

  • difficile à administrer -> signifie que les utilisateurs auront plus de difficultés à se connecter la première fois, et tout changement dans le système au travail pourrait provoquer une panne lorsque les utilisateurs ne peuvent soudainement pas se connecter - en termes d'entreprise, cela pourrait entraîner de gros retards dans la satisfaction des besoins des clients.

  • cher (parfois ) - y a-t-il un coût en termes de licence d'équipement ou d'autres fonctionnalités? L'argent est quelque chose que les utilisateurs professionnels comprennent. Prenez également en compte le temps nécessaire pour administrer - payez pour votre temps pendant que vous faites la maintenance plutôt que pour d'autres choses.

Offrez quelque chose de mieux

Trouvez une meilleure option qui donne au patron ce dont il a vraiment besoin à un prix inférieur à cette option. Il est difficile de discuter lorsque vous obtenez ce que vous voulez. Ne niez pas qu'il existe un problème ou un risque pour l'entreprise - c'est probablement là que le patron sait le mieux. Mais trouvez une meilleure stratégie, puis trouvez un moyen d'expliquer de manière non technologique pourquoi c'est mieux.

* Offrez quelque chose de mieux * .. c'est le ticket. Dire à votre patron qu'il y a un problème avec son idée est beaucoup plus acceptable si vous présentez également une solution.
Anthony
2017-04-05 05:01:45 UTC
view on stackexchange narkive permalink

En tant que professionnel travaillant dans la profession d'InfoSec, je suis entièrement d'accord avec l'esprit de la demande de votre patron, mais pas nécessairement avec l'approche recommandée.

Votre patron essaie de limiter le nombre de personnes qui peuvent accéder les données produit de votre entreprise, en limitant l'accès aux seuls locaux de l'entreprise. Il s'agit d'une bonne pratique de sécurité, conforme au Principe du moindre privilège. Autoriser l'accès public sur Internet augmente inutilement l'exposition de l'entreprise au risque de divulgation non autorisée de données.

Outre la divulgation potentiellement non autorisée de données, il existe d'autres risques qui sont augmentés par autoriser l'accès public à Internet, tel que le risque de compromission du réseau interne par des menaces telles que les logiciels malveillants sur le périphérique informatique de l'utilisateur final. Vous n'avez pas indiqué explicitement la classification de sécurité des données, mais si les données sont sensibles, alors le patron a tout à fait raison de vouloir protéger les données dans la mesure du possible. Cependant, vous vous interrogez si la méthode proposée est la plus efficace est tout à fait appropriée et ** quelque chose que vous devriez faire.

Une connexion client sur l'Internet public est par défaut non approuvée et peut contenir toutes sortes des méchancetés que l'entreprise peut ne pas être en mesure de se permettre d'attaquer. À moins que la connexion que vous utilisez ne soit correctement cryptée, par exemple via un tunnel VPN correctement configuré utilisant un protocole de cryptage accepté par l'industrie (ex: SSH, IpSec, etc.), tout trafic circulant sur le lien peut être facilement reniflé sur le fil via l'homme dans l'attaque du milieu. De plus, à moins que vous n'ayez un certificat client, l'entreprise ne peut pas être certaine que votre machine est ce qu'elle prétend être.

Pour résumer, vous devez absolument suivre l'esprit de ce que veut votre responsable, mais pas nécessairement la façon dont il propose de le faire.

user8365
2014-02-04 22:23:48 UTC
view on stackexchange narkive permalink

Il semble que le véritable objectif soit de sécuriser ce site en limitant les endroits où il est accessible. Ce sont les informations de l'entreprise, donc ils peuvent en faire ce qu'ils veulent.

Votre patron n'est pas techniquement averti, alors pourquoi ne vous assurez-vous pas de comprendre ce qu'il veut accomplir et demandez-vous si vous le pouvez essayer une autre solution? Sinon, je ne vois pas quel est le problème si vous implémentez la mauvaise solution technique et montrez ensuite que cela ne fonctionne pas. Si vous prévoyez beaucoup de problèmes pour annuler cette solution et mettre en œuvre autre chose, vous devez vous assurer que le patron comprend cela dès le départ.

Comme la plupart des gens l'ont indiqué: vous faites des suggestions, le patron prend des décisions et non l'un est parfait.

Gunnar Forsgren - Mobimation
2014-02-05 01:50:37 UTC
view on stackexchange narkive permalink

Je suggérerais de voir la restriction d'accès demandée et les détails techniques sur la façon de l'implémenter comme deux choses distinctes. Les gestionnaires demandent que l'accès au matériel ne soit possible qu'à partir d'une certaine adresse IP physique. Cela signifie souvent «à partir d'un emplacement physique spécifique». Je ne trouve pas du tout cela offensant. Si c'est ce que veut la direction, je suggère que c'est quelque chose à prendre comme une exigence concrète.L'étape suivante consiste à évaluer si leur suggestion technique de se verrouiller sur l'adresse IP est la meilleure. Si vous ne le pensez pas, donnez quelques arguments pour expliquer pourquoi ET le plus important; suggérer une solution qui à la fois remplit les conditions requises et est réalisable à accomplir.

Je suggère que si vous ne pouvez pas imaginer une solution alternative, continuez avec l'adresse IP. Si c'est le cas, assurez-vous de informez les responsables de tout problème de sécurité que vous pourriez avoir et demandez-leur de confirmer que c'est ce qu'ils veulent.

ce post est assez difficile à lire (mur de texte). Pourriez-vous le [modifier] dans une meilleure forme?
Xavier J
2014-02-04 22:14:18 UTC
view on stackexchange narkive permalink

C'est pénible, mais parfois vous devez mettre en œuvre votre solution pour tenir compte des lacunes de vos patrons. Vous pouvez voir des choses qu'il ne peut pas. C'est bon. Plutôt que de faire le travail deux fois, installez une solution configurable. Dans la configuration "a", cela fonctionne comme le demande votre patron. Dans la configuration "b", cela fonctionne comme ils en auront besoin pour fonctionner quand ils comprendront qu'ils se sont accrochés. Basculez entre eux en utilisant un fichier de configuration quelque part. Voila.

Vous êtes le héros dans les deux cas - tant que vous êtes humble dans ce domaine.

Hé codenoire, la question dans ce cas est plus de savoir comment gérer une situation où un patron demande une chose mais vous n'êtes pas sûr que ce soit la bonne chose à faire. Votre message est utile, mais il se concentre un peu trop sur les logiciels. Je ne le supprime pas pour le moment, mais je recommande de le modifier pour savoir quoi faire s'il n'y a pas de solution alternative. Par exemple, supposons que le patron dise "Ne le rendez pas configurable". J'espère que cela t'aides.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...