Этика в работе системного администратора

Обсуждали мы с @pfsenses нехорошее поведение человека из вот этого поста и вспомнилось мне, что давно хотела написать пост об этике в работе системного администратора. В том числе – поднять вопросы, на которые у меня нет четкого ответа. Обсуждение приветствуется.


Итак, проблема номер 1 – доступность данных, систем и манипуляций с ними. Будем честны, если вы админ небольшой фирмы или глава админов (в смысле, не менеджер, а всё ещё админ) фирмы среднего размера, то вы можете сделать с системой всё. Исключение составляют большие фирмы с реальным разделением труда или задроченные на ИБ (большие банки, например, или там ФСБ), где половинкой пароля владеет админ, а половинкой безопасник, или сети между собой не связаны или еще какие крутые заморочки. Мы про реальную жизнь, а она подсказывает, что админ средней компании может сделать всё. Конечно, грохнуть всю систему – это уголовно наказуемо. И если не совсем идиоты её проектировали, то и восстановлению она более-менее поддаётся. Но серьёзно поднасрать и устроить длительный перерыв работы компании – вообще не требует усилий. Я считаю, что мы этого не делаем потому что

а) ещё раз – это уголовно наказуемо,

б) Это «волчий билет» в профессии

в) А нафига? Профита нет, я это любовно строил, а теперь ломать?

Фактически, работа строится на вере работодателя в то, что мы осознаем ответственность, психически адекватны и не захотим вредить. Собственно, сюда же я отнесу и отношение к найденным внутренним уязвимостям. Нашел – сообщи руководству или безопасникам, закрой по возможности.


Вопрос номер 2 – доступность информации работодателя и личной информации сотрудников. С базами работодателя понятно, все мы (надеюсь) подписывали бумажку о неразглашении и нераспространении. Слить базу - опять же, уголовно наказуемо, «волчий билет» и всё такое. Однако, идиоты, сливающие базы, находятся и их успешно ловят. ИМХО – оно того не стоит.

По второй части - кому из нас не приносили личный/корпоративный ноут на «починить», диск на «восстановить», мобильник на «настроить». У кого пользователи совсем не хранят на рабочих ПК фоточки с отпуска и т.д.? Волей-неволей мы знаем кучу маленьких грязных секретиков других сотрудников. Я считаю неэтичным распространение личной информации людей без их разрешения. Но люди! Вы думайте головой, когда относите свою технику или даёте свои личные данные кому-то! О, ещё классная штука – оставить свой телефон, пароли, кредитку и сказать «ну ты там мне настрой appstore». В общем, что у людей в голове – мне не ясно, но пользоваться доверием этих наивных человеков мне не позволяет совесть. Еще и рассказать им пытаюсь о том, что они не правы, так разбрасываясь данными.


Вопрос номер 3, самый для меня неоднозначный, слежка за сотрудниками. У нас всё цивильно, в договоре это прописано, у старых сотрудников - отдельным приказом с ознакомлением. Однако, слежка за тем, с кем приятельские отношения, слежка за админами филиалов – доставляет некоторый моральный дискомфорт. Особенно, когда они попадаются на горячем. В целом, хорошо, что я плохо схожусь с людьми. Для себя я определила, что есть мой отдел (за которым мне не поручат следить) и есть остальные. Всех предупреждали. Ясно, что инфа, скажем, по посещенным сайтам, предоставляется только по заказу руководства. Но вот слив информации (как в истории с Почтой России, например) – повод для сообщения безопасникам. А как эту дилемму решаете вы?


Вопрос номер 4 частично связан с предыдущим. Это разделение личного и рабочего. С этим мне помог научный руководитель в своё время. Какими бы вы приятелями не были, сколько бы пива не выпили, но личные отношения остаются личными. А по работе у вас есть рабочие обязанности, приказы должны исполняться, отчеты делаться и права урезаться. Да, в среде ИТ обычно неформальные отношения, но это не должно мешать работе или создавать дыры в безопасности.


Вопрос номер 5 – взаимоисключающие требования руководства. Хорошо, если это решается письмом непосредственному руководителю. Но вот, например, дилемма: равные по иерархии начальники просят доступ к шаре служб друг друга (например, финансисты и кадровая служба). И оба же категорически запрещают доступ других служб к своей шаре. Оба они мне не начальники, мои предложения по созданию им папки обмена слушают не всегда. Мой руководитель также не может выдать решение, так как решить в любую сторону – нарушить указания обоих. Обычно таки решается созданием папки обмена (иным компромиссным решением при схожих ситуациях). Как вы разрешаете такие вопросы?


Вопросы номер 6 и 7 на самом деле связаны – это обучение сотрудников и документирование. Под обучением я имею в виду именно передачу знаний среди своих же сотрудников от старших/знающих к младшим/не знающим. Собственно, два аспекта: вы не обучаете и думаете, что незаменимы; или вы обучаете, получаете квалифицированных сотрудников и учитесь сами чему-то новому. Короче, я за обучение. Под документированием я имею в виду составление схем сетей, сводок информации, документирование всех нетипичных действий с системами. То есть, если я уеду в отпуск в горы без связи, кто-то из коллег, пользуясь документацией, сможет сделать то, что делала обычно только я. И да, меня можно уволить, а документация останется. Я считаю это правильным. А вы?


Вопрос номер 8 – отношение к пользователям. Ладно, это не про сисадмина, а про эникейщика. Но он может работать у вас в отделе, или вы можете его иногда подменять на время отпуска. Честно, я ругаю за стёб над пользователями и издевательские шутки. У себя внутри отдела можно обсудить их умственные способности в каких угодно выражениях, но с пользователями будь вежлив и считай, что у них нет чувства юмора.


Вопрос 9 - взаимоотношение с внешними системами. Сюда включу 2 аспекта. Первый – настройка систем, влияющих на внешнюю сеть. Это ваша внешняя зона DNS, настройка внешних IP-адресов, почтовик, возможно, у кого-то BGP. Я не беру телеком, я про обычные конторы. Принцип: не знаешь – не настраивай наобум. От этого зависит работа не только вашей конторы, но и корректная работа Интернет в целом. Второй аспект – взаимодействие с сообществом. Принцип: знаешь, как решить – поделись решением.


Пишите, кто как относится к перечисленным вопросам. У кого какие ещё этические проблемы или моральные дилеммы возникают в связи с профессиональной деятельностью?

Лига Сисадминов

1.5K поста17.5K подписчиков

Добавить пост

Правила сообщества

Мы здесь рады любым постам связанным с рабочей деятельностью специалистов нашей сферы деятельности.
Вы смотрите срез комментариев. Показать все
1
Автор поста оценил этот комментарий

Самое правильное - разделять отделы ИТ и Инфобезопасности. ИБ разрабатывает стандарты и мониторит их выполнение (в том числе и мониторинг юзеров), ИТ занимается их воплощением.


И да, ИБ должен быть выведен из-под ИТ и являться самостоятельной единицей.

раскрыть ветку (6)
Автор поста оценил этот комментарий

ИБ должен быть выведен из-под ИТ и являться самостоятельной единицей.

Согласен. Но что мешает обсудить этику, например?
раскрыть ветку (2)
Автор поста оценил этот комментарий
Так а при таком разделении вопрос этики как бы отпадает. Имея возможность, но находясь под контролем, редкий дятел полезет в персональные данные и прочие разглашения.

Если же говорить за конторы с небольшим числом ИТ персонала, то я уже давно не работал в таких. Могу только сказать, что все предыдущие отношения строились на обоюдном доверии между мной и работодателем, которым никто из нас не злоупотреблял. Эдакое джентельменское соглашение.

Касаемо разглашения из-за которого начался этот сыр-бор. По персонажу турма плачет, да.

раскрыть ветку (1)
Автор поста оценил этот комментарий

В посте есть ссылка на такого дятла.  А обсудить этику можно и безотносительно конкретно его.

Автор поста оценил этот комментарий

Пока ИБ - это я. Недоросли ещею не столько по штату, сколько сознание руководителей...

раскрыть ветку (2)
1
Автор поста оценил этот комментарий
это да, многие рук-воды и владельцы бизнесов рассматривают ИТ и особенно ИБ только как статью расходов.
раскрыть ветку (1)
1
Автор поста оценил этот комментарий

Это Вы мягенько так... У нас Собственник считает что ПИ-ПИ, а нет - СИ-СИ, или ТИ-ТИ... ну, вобщем «это ваше», вообще не нужно и зло. Бормочут что-то себе странные люди, надо все починить хорошо и все.

Это при том, что у нас и корпоративный портал и удаленная работа филиалов и... вобщем зависимость от информационного сопровождения бизнес процессов очень велика!

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку