¿Cómo denuncio a un empleado que está comprometiendo la seguridad de los empleados y clientes?

Trabajo como desarrollador de software en un equipo de 4 personas para una organización comunitaria. La seguridad de la red es deficiente, pero la alta gerencia lo sabe y estamos planeando cambiar a un mejor proveedor de servicios de TI.

Uno de los empleados, llamémoslo Bill, ha hecho repetidamente cosas relacionadas con la seguridad de la red para empleados y clientes y habla abiertamente al respecto con otros miembros del equipo. Antes de continuar, encontré esta pregunta , pero se trata de una fuga de datos, Bill no ha subido ningún dato a ningún lado, está accediendo a áreas de la red que no debería.

Ejemplo(s):

  • A cada uno de nosotros nos dieron una computadora portátil con todos los programas requeridos, y si necesitábamos instalar algo, teníamos que hablar con el gerente para que lo notificara a TI, pero Bill trajo su propia computadora portátil (lo cual está prohibido por la política de la compañía) y lo atraparon. les dijo que durante su descanso da clases en línea (lo cual es cierto), así que el gerente lo dejó pasar, pero como me siento justo detrás de él lo veo hacer muchas tonterías, conectó su computadora portátil a la red de la empresa, y accedió a las unidades de red de los empleados.
  • Usando un LiveCD con Ubuntu, logró habilitar la cuenta de administrador local (TI la creó para emergencias) en la computadora portátil de su empresa e instaló un software que no debería tener.
  • Permitimos que los estudiantes y las personas del vecindario que no tienen acceso a una fotocopiadora/impresora o fax usen la nuestra, a veces fotocopian la licencia de conducir u otros documentos personales, Bill pudo acceder de forma remota a la computadora de la recepcionista (la fotocopiadora/impresora es conectado a esta computadora) y ver ciertos documentos que han sido copiados o enviados por correo electrónico, algunos de los cuales deberían haber permanecido confidenciales. Tenemos recepcionistas rotativos, que a veces están ocupados, por lo que no borran el historial de la impresora ni eliminan los archivos que escaneamos, pero todo se borra cuando las computadoras se apagan por la noche y se reinician (cualquier archivo en el el escritorio o en las carpetas se eliminan). Esto deja una ventana de unas pocas horas que utiliza Bill.

El resto del equipo es consciente, pero simplemente se vuelve hacia el otro lado, uno de los miembros me dijo que esperan que Bill sea tratado en consecuencia sin la participación directa de los otros miembros del equipo, no quieren ser etiquetados como denunciantes.

Nuestro equipo es cercano, entonces, ¿cómo lo denuncio sin dañar la relación/confianza que tengo con mis otros compañeros de equipo?

Editar: cometí un error, Bill y Bob son la misma persona.

¿Has hablado con él sobre esto?
Sigue refiriéndose a Bill y Bob, ¿hay dos empleados que están comprometiendo la red de su empresa?
Interesante situación en la que te encuentras. Dices que Bill/Bob no ha cargado datos en ninguna parte, pero dadas las otras cosas que ha hecho, sería mejor decir que no ha cargado datos en ninguna parte que conozcas . ¿Ha trabajado allí más tiempo que BillBob o es relativamente nuevo en el puesto? ¿A quién lo reportarías? ¿Sientes que puedes confiar en esa persona para que se ocupe de lo que dices en confianza? (Si tus compañeros de equipo descubren que denunciaste a uno de tus compañeros, podría dañar la confianza que tienes con ellos)
¿Cómo sabes acerca de las cosas que hizo Bill? ¿Le dijo a alguien o no? ¿Estaba alardeando o afirmando que la seguridad de su red es mala y molestando a sus compañeros de equipo para presionar por una mejor seguridad? ¿Tiene alguna prueba de sus reclamos contra Bill?
¿Hay registros de auditoría que muestren objetivamente qué hizo Bill y cuándo?
Si hay daño real: reporte el daño, no la persona. Si no hay daño: ¿por qué te importa?
Tal vez no haya daño... ¿ todavía ?

Respuestas (4)

En teoría, cuando habla de estas cosas con su gerente, TI o RR. HH. o cualquier persona responsable en su empresa, es su obligación no mencionar su nombre a la persona sobre la que está informando. Si realmente se apegarán a eso... solo Dios lo sabe. Entonces, podría suceder que hagas todo según las reglas y que el gerente aún le diga a Bill que lo acusaste de algo.

El mejor enfoque regular sería ceñirse a las cosas que son totalmente ilegales y que no se pueden defender de manera plausible. Por ejemplo, tener una cuenta de administrador local en la computadora portátil que usa de todos modos e instalar cosas en ella, siempre que esas cosas sean realmente necesarias para su trabajo, rara vez es crítico, y muchas empresas lo ignorarán. Diablos, lo hago a veces, cuando sé que tomará un mes hacer algo que puedo hacer en un día. Pero eso es para el software que realmente se necesita o es útil para los proyectos de la empresa en los que trabajo.

(Por supuesto, si instala algo que no está relacionado con el trabajo, esa es una historia diferente)

Pero por otro lado, copiar los documentos personales de las personas, cosas de identificación como licencias de conducir y demás... es muy posiblemente ilegal. Eso es algo sobre lo que la gerencia debería hacer algo.

Una solución no estándar, pero que tal vez podría funcionar, sería que la empresa le ofreciera a Bill probar el nuevo proveedor de servicios de TI: intente piratear cosas y obtenga una recompensa monetaria por cada pirateo exitoso que informa a la empresa, que gana él acceso a archivos que no debería poder ver. De esa manera, pues... "si la vida te da limones, haz limonada". Úsalo para lo que es bueno. Puede jugar como quiere, la empresa mejora la seguridad (encontrando agujeros y luego pidiéndole al proveedor de TI que los repare), todos están contentos.

+1, jugar con su propia computadora portátil puede estar en contra de la política, pero no es algo por lo que deba narcizar: salir de su camino para mirar los documentos impresos/enviados por fax/copiados de las personas es una locura y es un problema grave que debe informarse a gestión.

Debe considerar hablar con su colega y alertar a su gerente o al gerente de riesgos cibernéticos de la organización. El riesgo cibernético es una preocupación seria para cualquier organización razonablemente informada.

Arriesgará sus relaciones con sus colegas si maneja la situación de manera poco profesional o poco delicada, no si solo informa su inquietud. Tenga en cuenta lo siguiente y puede esperar mantener el respeto y la confianza de sus colegas:

  • No discuta sus observaciones con nadie, excepto con un gerente confiable y su colega que haya observado creando problemas de seguridad. Este no es un tema para cotillear o bromear entre tus compañeros de equipo o en casa.
  • Tenga una conversación franca pero amistosa con su colega sobre sus preocupaciones. Asegúrese de que entiendan que está realmente preocupado por el bienestar de la empresa. Sea sincero acerca de haber alertado a un gerente.
  • Dale a tu colega el beneficio de la duda. Es razonable suponer que él/ella realmente no comprende el riesgo de sus acciones. Concéntrese en sus observaciones específicas, no haga juicios sobre la persona.
  • No hagas quisquillosos. Identificar y reportar grandes problemas. Está bien dejar pasar algunas cosas (por ejemplo, instalar Spotify en una computadora portátil de la empresa en contra de la política). Deje el monitoreo al equipo de TI.
  • Después de informar, déjalo ir. Si las personas apropiadas en la organización no intervienen para corregir los problemas, déjelo pasar. Has hecho tu parte.
  • Escuche los sentimientos y los comentarios de su colega y del resto del equipo. Como mínimo, su colega se avergonzará. No sermonees ni castigues. Escuche lo que su colega tiene que decir, discúlpese por cualquier sentimiento herido y hágale saber que disfruta tenerlo como colega y que desea seguir trabajando juntos.
Esto se lee como una respuesta genérica para mí. ¿Qué parte de la pregunta del OP te hace pensar que su empresa tiene un administrador de riesgos cibernéticos? ¿Qué parte del acto del colega de acceder a documentos confidenciales cree que está fuera de lugar y merece el beneficio de la duda?

Seamos honestos, puedes denunciar a Bill de forma anónima, pero trabajas para una organización pequeña. Esperaría que se corriera la voz. Yo documentaría sus preocupaciones y las llevaría a la cadena de mando. Bill no es un jugador de equipo.

Si sus compañeros de trabajo le piden que explique por qué denunció a Bill, no tiene obligación de hacerlo. Si elige explicar una respuesta simple como él, la seguridad de la red en peligro de forma seria y repetida debería ser suficiente.

Bill se está poniendo por encima de la organización. No debes protegerlo.

¡Bienvenido al lugar de trabajo! Esta es una buena respuesta. Existe una expectativa implícita de que los empleados no se comportarán en detrimento de los mejores intereses de la empresa y Bill está haciendo exactamente eso. Sugerir que el OP se retire de la influencia de Bill e informe a la gerencia es un excelente consejo.

Trabajo en ciberseguridad como analista/ingeniero de seguridad. Comenzaré ampliando uno de los puntos que Jay mencionó en su publicación:

Primero, no asuma que las acciones de Bill son maliciosas .

Según mi experiencia en la investigación y gestión de incidentes de seguridad en el equipo de operaciones de seguridad de mi empresa, la mayoría de los incidentes no ocurren porque un empleado tenga intenciones maliciosas, sino porque no se les brindan las herramientas adecuadas para que hagan su trabajo de manera eficiente o por desconocimiento. del trabajador en cuanto a cuál es el riesgo de sus acciones en términos de responsabilidad para la empresa.

Ir a la gerencia y asumir que Bill tiene intenciones maliciosas probablemente no terminará bien. Según su publicación, parece tener algún conocimiento de la seguridad de la red, lo cual es excelente. Por lo tanto, discutir sus inquietudes con Bill y explicar los riesgos de sus acciones a la empresa es un buen primer paso. Que se sepa que algunas consecuencias potenciales de sus acciones no son lo mejor para él. Por ejemplo,

  • Conectar su propia máquina a los puertos de red de la empresa puede propagar software malicioso a los recursos de TI de la empresa. Si la infraestructura de TI de la empresa falla, es posible que no pueda completar su trabajo o continuar tomando sus clases en línea por más tiempo.

Usted no pidió esto, pero compartiré con usted algunas de las mejores prácticas de ciberseguridad que, a medida que su empresa siga creciendo, deberían mitigar el efecto negativo del comportamiento de Bill.

Sugiera a su gerencia que se establezcan y documenten políticas y pautas en cuanto al uso aceptable de los recursos de TI de la empresa.

Actualmente no está claro si su empresa tiene políticas documentadas, como el uso aceptable de los recursos de TI de la empresa o la respuesta a incidentes de seguridad. El beneficio de tener políticas estandarizadas es que los empleados se sienten menos como el "chico malo" y molestando a un colega, sino simplemente adhiriéndose a la política de la empresa . En otras palabras, todo lo que se "informa" se convierte en un todo menos personal . Uno simplemente está haciendo su trabajo.

Otro beneficio es que las expectativas de comportamiento seguro se hacen universales y conocidas por todos los empleados. La seguridad ya no es un "juego de adivinanzas" y la aplicación de un comportamiento seguro se vuelve menos arbitraria. Los empleados saben lo que se espera de ellos, por lo que las respuestas como "No sabía cuál es la política" se vuelven menos creíbles. El tono de la seguridad debe ser universal en toda la empresa, o la ciberseguridad se convierte en una frase sin sentido.

Sugiera la implementación de un plan de respuesta a incidentes de seguridad y, de la mano, un plan de monitoreo de recursos de TI.

En este momento, parece que no hay un procedimiento definitivo y documentado sobre cómo responder a las acciones observadas de Bill. Esto parece estar impulsando su indecisión sobre si "informar" o no a Bill a la gerencia. En otras palabras, no parece estar seguro de cuáles pueden ser los efectos de denunciar a Bill.

Sé que su equipo es pequeño y parece que su empresa también lo es. Sin embargo, a medida que crece, el beneficio de tener una política de respuesta a incidentes de seguridad documentada es que existe un conjunto de procedimientos coherentes y transparentes sobre cómo se manejan los incidentes informados y qué se considera un incidente de seguridad.

Para ir de la mano con la política de respuesta a incidentes de seguridad, sugiera la implementación de una política de monitoreo de recursos. Usted dijo que Bill no filtró ningún dato de la empresa, pero ¿ cómo puede estar realmente seguro de que no lo hizo sin un proceso de monitoreo implementado, como a través de la tecnología DLP? Bill podría negar fácilmente sus acciones sin evidencia objetiva como los datos del registro de auditoría. Peor aún, si necesita despedir a Bill o emprender acciones legales contra él en los tribunales, la defensa seguramente cuestionará cómo sabía que Bill era la persona que filtró los datos. Sin pruebas, ¿qué vas a hacer o decir?

¿Cómo denuncio a un empleado que está comprometiendo la seguridad de los empleados y clientes?
RespuestasAquíPolítica de privacidad1y, 0v