Fråga:
Tvingas av klienten att ta bort säkerhetsfunktionen, nu skyller klienten mig för datastöld
Jack Jack
2020-03-18 13:02:45 UTC
view on stackexchange narkive permalink

Under de senaste månaderna begärde projektledaren (PM) från en klient många gånger att ta bort några säkerhetsfunktioner som vi satte på deras webbportal för att "underlätta vår dagliga funktion" (deras egna ord).

Till en början var dessa förfrågningar lugna och vi lyckades stoppa dem. Efter ett tag blev PM mer pressande, så jag (som teamledare för projektet) skrev ett detaljerat mejl med tydliga bevis på de faror som kan uppstå genom att uppfylla deras krav (jag kopierade min chef, mitt team, vår IT-säkerhetsavdelning , vår test / QA-division och deras chef). Efter några dagar svarade PM bara på mig (alla andra mottagare borttagen) på ett mycket oprofessionellt sätt (alla stora bokstäver, direkta och personliga förolämpningar, hot om rättegångar för inkompetens osv.) Och beordrade mig att tillämpa deras begäranden eller "att vara beredd att möta mycket allvarliga konsekvenser ”(återigen deras egna ord, stora bokstäver borttagna av mig). Jag diskuterade genast ämnet med min chef och hon föreslog att göra det som PM hade begärt och hon skulle ha skickat ett mejl (med alla tidigare mottagare kopierade) om att vi gjorde alla förfrågningar men betonade åter vår oro. Så jag tog bort säkerhetsfunktionerna och hon skrev e-postmeddelandet.

Från den dagen till igår, total tystnad. Igår morgon skrev PM till mig att deras säkerhetsteam fick reda på att någon angav olagligt i portalen och att vissa privata data från deras kunder hittades online. PM sa också att detta var "allt mitt fel" eftersom de inte kände till de möjliga konsekvenserna av "ditt val att inaktivera våra portalsäkerhetsfunktioner". När jag tittade på hur PM beskrev vad som hade hänt märkte jag att detta var (bokstavligen steg för steg) en av de scenarier som jag lyfte fram som ett potentiellt säkerhetshot. Jag gick till min chef igen, och hon bestämde att vi hade nog av PM. Så för nästa vecka kommer hon att ordna ett samtal för att diskutera situationen med mig, hon, vår divisionschef (två nivåer ovanför min chef, så 3 ovanför mig), en senior kollega från vår säkerhetsavdelning, PM och deras chef.

Även om jag tror att jag inte gjorde något fel och jag kan lita på min chef är jag också rädd att det kan få konsekvenser för mig. Hur kan jag vara helt förberedd för detta viktiga samtal och täcka ryggen? Hur ska jag bete mig under det?

Jag förstår inte var du får skulden för dataförlusten av din chef?Vem klandrar dig exakt?Verkar det som om det är din IT-kollega?Varför är du orolig för deras uttalande?Har de makten att sparka dig?
@Donald PM skyller mig på problemet.Jag litar på min chef och mitt företag.Jag är inte rädd för att få sparken.Jag vill bara vara 100% säker på att jag har gjort allt korrekt och jag vill veta om jag behöver vara beredd på ett speciellt sätt för samtalet
Jag vet inte om det skulle påverka något, men finns det någon standardverifieringsprocess för att ändra funktioner?Liksom är det någon chans att de kan hävda att du inte har följt rätt förfarande för att genomföra ändringen?(kanske är det dags att diskutera det med företaget också?) Ett scenario som jag föreställer mig är att någon annan får tillgång till e-postmeddelandet och begär att funktionen ska tas bort för onödiga syften.Jag känner åtminstone en situation där någon försökte göra detta med sin faktureringsadress;men klienten trodde att något var avstängt och ringde för att verifiera först.
Finns det tvivel eller tvist om att detta "mycket oprofessionella" e-postmeddelande är verkligt och legitimt (dvs skickat av PM)?E-postmeddelanden är lätta att förfalska.
@JMac när en ändring av funktioner i projektet kräver en kodändring krävs ett dokument för att kunna fortsätta med begäran.När en konfigurationsändring krävs krävs ett e-postmeddelande med rätt mottagare.Här var vi i det andra scenariot, så e-postmeddelandet var det rätta sättet att fråga, standardproceduren följdes
@fraxinus ingen tvist, e-post är äkta, inga tvivel
Vidarebefordrade du e-postmeddelandet till din chef före eller efter att du gjorde ändringarna?
@EJoshuaS-ReinstateMonica Jag vidarebefordrade e-postmeddelandet innan jag gjorde någon ändring och jag gjorde ändringarna först efter att ha diskuterat med min chef och först efter att hon skrev bekräftelsemeddelandet
@JackJack Bra, det var det smarta sättet att göra det, så det finns absolut ingen anledning att du borde vara i någon form av problem här.Det låter som om du gjorde allt rätt för mig.
Av nyfikenhet, hur gick det senare?
@frarugi87 För första gången i mitt liv ser jag en person avfyras på plats och skrikas på av deras chefer (som hävdade att de skulle ha stämt premiärministern för att avsiktligt skada deras företag och deras kunder).Därefter bad de om ursäkt många gånger för PM-beteendet och bad om att återaktivera alla säkerhetsfunktioner (det gjorde jag innan samtalet avslutades).Alla var nöjda och vi har inga andra problem med den här klienten
@JackJack Tack för uppdateringen :)
Fem svar:
Anish Sheela
2020-03-18 13:24:13 UTC
view on stackexchange narkive permalink

Du markerade säkerhetsproblemen. Alla var medvetna om vad som skulle hända. Du har ett pappersspår.

Och viktigast av allt kommer din chef att ha ryggen. Så slappna av och skriv ut dokumenten nu och markera dina varningar som nämnts av TheoreticalMinimum i kommentarerna. Ta med dem som bevis när du blir ombedd. Du är helt säker på detta.

+1 för "skriv ut dokumenten" - filer saknas från servrar
Skriv särskilt ut det hotande e-postmeddelandet som premiärministern bara skickade till OP.Det är rökpistolen för att det är premiärministerns beslut att ta bort funktionerna.
Skriv också ut alla rubriker på dessa e-postmeddelanden.
OP är säkert så länge hans företag vill "vinna" argumentet mer än att de vill behålla klienten som klient.OP bör börja förbereda sitt CV
Observera "alla rubriker" i @fraxinus's kommentar.Många e-postläsare visar endast en sammanfattning som standard.Du bör se en serie rader som säger "Mottagna från X av Y ...", där X och Y är servrar i en kedja från den sändande maskinen till din e-postserver.
Joe Strazzere
2020-03-18 16:31:22 UTC
view on stackexchange narkive permalink

Hur kan jag vara fullt förberedd för detta viktiga samtal och täcka ryggen? Hur ska jag bete mig under det?

Det låter som att din chef har täckt det.

Prata om det med din chef. Fråga henne om det finns något annat du ska göra som förberedelse. Följ sedan hennes ledning.

Ta med dina anteckningar till alla möten. Använd dem bara när din chef ber dig göra det.

Var inte defensiv. Uppför dig som om du har gjort allt du har bett trots dina professionella rekommendationer - för det är precis vad som hände. Ange att du fortsätter att vara glad att göra vad som helst.

Börja fundera på hur du kan implementera de säkerhetsfunktioner som du fick veta att du skulle ta bort. Förbered uppskattningar för att göra det.

Och var inte så orolig. Du har hanterat detta professionellt. Att lägga till alternativen och dina professionella rekommendationer var smart. Att sparka upp det till ledningen när dina varningar åsidosattes var helt lämpligt. Att göra vad den välinformerade premiärminister krävde var korrekt. Och klart, din chef har ryggen. Det här är allt bra.

@PatriciaShanahan Eftersom denna portal är mycket konfigurerbar är återställningen en enkel modifiering av konfigurationsfilen och en programstart
@JackJack det är som kanske men (a) kunden behöver inte veta det och (b) men bör fortfarande vara fakturerbart.
Jag skulle också tillägga att framtida sådana förfrågningar bör besvaras med en "vi behöver en formell begäran om ändring och avloggning" i motsats till bara e-post.Detta hjälper pappersspåret och alla som behöver blir medvetna.
Hilmar
2020-03-18 18:33:04 UTC
view on stackexchange narkive permalink

Redan bra svar men en sak att lägga till

Hur kan jag vara helt förberedd för det här viktiga samtalet

Du bör diskutera med din chef exakt hur det här mötet är tänkt att gå, speciellt om du inte har mycket erfarenhet av den här typen av saker

  1. Vad är målet och önskat resultat av mötet?
  2. Vad är agendan och vem ska köra?
  3. Vilka är dina roller, när ska du tala och när ska du hålla käften?
  4. Vilka är de stödjande dokumenten du borde ha . Vilken form ska de vara i och när & hur ska de presenteras. Granska dem i förväg
  5. Vilka är några nyckelfraser du bör använda? Skriv ner dem och memorera dem.
  6. Diskutera vilka möjliga reaktioner / argument den andra parten kan ha och hur du kommer att svara / reagera på dem

Om du går in i en potentiellt kontroversiellt och stressigt möte, är det bra att vara väl förberedd. Ju mer du kan förutse vad som exakt kommer att hända, desto bättre kan du reagera, desto mer lugn blir du och desto mer sannolikt är det att du får önskat resultat.

Ett av de potentiella mötena strategier är att hitta den svagaste personen på andra sidan bordet och börja hacka dem: försök att få dem svindlade, upprörda eller förvirrade så att de säger något fel eller olämpligt. Se till att det inte är du.

Kom ihåg: du mår bra. Du gjorde alla rätt saker och har dokumentation för att säkerhetskopiera det.

Jag tycker att det här är mycket bra råd.Var medveten om vem deltagarna i mötet är, vad resultatet blir, vad du ska säga (och hur man fraserar), och vad du * inte * ska säga och vilka fraser du ska undvika.OP nämnde att "privata" data läckte ut.Det är inte 100% klart vad det betyder, men om det inkluderar skyddade personligt identifierande uppgifter kan det mycket väl finnas juridisk skuld, till och med kriminell, att gå runt.OP gjorde ingenting fel, så bör undvika fraser som "jag är ledsen", som kan tolkas som att acceptera ansvar.
Seth R
2020-03-18 22:10:44 UTC
view on stackexchange narkive permalink

Redan massor av bra svar, men ytterligare en punkt som jag inte har sett väl täckt om ditt beteende under mötet. Förbli lugn.

Att döma efter tonen i e-postmeddelandena som du har fått från den här kunden, var beredd på att de skriker på dig, skyler på dig och bara är generellt obehagliga. Låt dem. Låt dem säga allt de känner att de behöver säga och inte avbryta. Låt dem slita ut sig och ta det inte personligen. Sedan när det är din tur att prata kan du lugnt presentera dina tryckta e-postmeddelanden där du redogjorde för alla risker och de ändå godkände ändringarna. De kommer att försöka dra dig in i en skrikmatch, men det är verkligen svårt att göra det med någon som inte kommer att engagera sig. Låt dem inte dra dig till deras nivå.

Du gjorde inget fel och hade dokumenten för att bevisa det. Det är troligt att den här kunden faktiskt vet att de har fel, men försöker fästa det på dig för att rädda sig själva. Om du låter dem komma under din hud och bli upparbetade är det deras sista chans att dra dig ner med dem. Det fungerar inte om du förblir lugn och professionell.

Dan
2020-03-19 00:43:13 UTC
view on stackexchange narkive permalink

Efter några dagar svarade PM bara mig (alla andra mottagare borttagna) på ett mycket oprofessionellt sätt (alla stora bokstäver, direkta och personliga förolämpningar, hot om rättegångar för inkompetens osv.) och beordrade mig att tillämpa deras begäranden eller "att vara beredda att möta mycket allvarliga konsekvenser"

Om du inte redan har gjort det, fortsätt och exportera dessa e-postmeddelanden till någon annanstans om du inte kan komma åt e-postmeddelanden för vad anledning.

Därefter berättade du för din chef och visade e-postmeddelandena som förklarade allt som kunde hända som hände. Nu är det ett väntande spel. Skulle de kasta dig under bussen kan du satsa på att dina e-postmeddelanden mystiskt kommer att försvinna och att du sparkar.

Alla e-postmeddelanden vidarebefordrades redan till min chef, hon redde dem.Hon skrev också det sista e-postmeddelandet själv.
@JackJack Av nyfikenhet vidarebefordrade du dem före eller efter att du gjorde ändringarna?


Denna fråga och svar översattes automatiskt från det engelska språket.Det ursprungliga innehållet finns tillgängligt på stackexchange, vilket vi tackar för cc by-sa 4.0-licensen som det distribueras under.
Loading...