Descubrí que un empleado que ya no está con nosotros cargó en Slack un archivo gigante de Excel que contenía información de recursos humanos. El archivo está disponible para cualquier persona en nuestro Slack y contiene los nombres de todos los empleados actuales y anteriores, sus datos de contacto, nombres completos, quién tiene opciones sobre acciones, derechos de vacaciones anuales, historial de recursos humanos y varias notas sobre ellos, pero no los detalles de compensación. El archivo está allí de alguna manera y se puede encontrar en la búsqueda, pero no se adjunta a ningún mensaje ni se publica en ningún canal (no estoy seguro de cómo funciona).
¿Debería decirle a nuestro CTO sobre esto? En realidad, nadie debería poder encontrar esta información, e incluso tenemos algunos proveedores, pasantes y trabajadores a tiempo parcial en nuestro Slack que probablemente puedan encontrarla.
Por otro lado, no tengo una explicación plausible de cómo encontré este archivo (sí, estuve hurgando en nuestro Slack un fin de semana para ver qué podía encontrar). También creo que cualquier cosa que diga en el futuro, la gente lo escuchará con el pensamiento "oh, este tipo tenía acceso a nuestros registros de empleo" en la parte posterior de su cabeza.
En otras palabras, no pierdo nada si no lo informo y podría perder algo si lo hago. Parece que no tenemos un método para informar cosas de forma anónima.
Además, somos una empresa bastante pequeña (menos de 200 personas), por lo que no tenemos ninguna política oficial publicada con respecto a nada de esto.
No escondas tu identidad, no tiene sentido. Si su empresa le pregunta a Slack, Slack probablemente pueda decirles quién accedió a ese archivo. Todo está en los registros de todos modos. Es solo cuestión de que alguien los lea. Personalmente, ni siquiera entiendo tu necesidad de ocultar tu identidad. No hiciste nada mal.
En cualquier caso, mejor que seas tú el que accedió al expediente y denunció la infracción que el que accedió al expediente pero no denunció nada.
Dependiendo de dónde esté ubicada su empresa, existen algunas reglas y leyes de privacidad que pueden obligar a proteger los datos personales.
Aparte de eso, la información como la que enumera podría ayudar a un competidor potencial a diseñar ofertas económicas para atraer a los empleados a dejar la empresa.
Creo que deberías reportar la filtración, y si te preocupa mantener tu nombre fuera de esta historia, hay formas de hacerlo (una cuenta de correo electrónico ficticia, un correo en papel sin firmar, etc.).
Desafortunadamente, no indica cuál es su jurisdicción, por lo que responderé según mi jurisdicción.
En mi jurisdicción, cualquier empresa por encima de cierto tamaño debe tener un Delegado de Protección de Datos designado. (Si más de 10 empleados procesan PII electrónicamente de manera rutinaria). Este DPO debe poder informar directamente al CEO y su independencia debe estar garantizada. Por ejemplo, no pueden ser despedidos o amonestados por informar a las autoridades sobre violaciones de datos en la empresa.
Debe informar esto inmediatamente a su DPO. Puede hacerlo de forma anónima (nuevamente, el DPO está protegido de cualquier reprimenda por no revelar su fuente).
Su empresa, a su vez, está obligada por ley a informar de ello en un plazo de 72 horas a su DPO respectivo, normalmente un funcionario del gobierno o encargado de hacer cumplir la ley de algún tipo, de lo contrario corren el riesgo de sufrir fuertes multas.
Esto es solo sobre los datos PII de los que habló. Con respecto a los datos financieros que se filtraron, puede haber otras leyes y reglas que también se violen.
No pierdo nada si no lo informo, y podría perder algo si lo hago
… pero luego alguien más lo hace. Si hay una auditoría después del informe, su nombre puede aparecer en una lista de personas que han descargado el archivo. Como resultado, puede haber preguntas sobre qué hizo con el archivo cuando lo descargó y por qué no lo informó.
Por supuesto, no es tan grave a menos que haya pruebas de que usó datos de ese archivo, y si solo tocó el archivo una vez, puede inventar algo como "Hice clic accidentalmente en el archivo equivocado y lo eliminé sin leer cuando me di cuenta mi error".
Pero, ¿por qué inventar una mentira cuando puedes hacer algo que se espera de ti, es decir, denunciarlo de inmediato?
Piensa en ello de esta manera.
Si fueran SUS datos, ¿qué le gustaría que sucediera si alguien supiera que SUS datos se han filtrado?
Descubrí que un empleado que ya no está con nosotros cargó en Slack un archivo gigante de Excel que contenía información de recursos humanos. El archivo está disponible para cualquier persona en nuestro Slack y contiene los nombres de todos los empleados actuales y anteriores, sus datos de contacto, nombres completos, quién tiene opciones sobre acciones, derechos de vacaciones anuales, historial de recursos humanos y varias notas sobre ellos, pero no los detalles de compensación. El archivo está allí de alguna manera y se puede encontrar en la búsqueda, pero no se adjunta a ningún mensaje ni se publica en ningún canal (no estoy seguro de cómo funciona).
¿Debería decirle a nuestro CTO sobre esto?
En las verticales en las que he trabajado, las opciones sobre acciones se incluyen en la compensación ejecutiva, y la compensación ejecutiva se clasifica como datos de alto valor.
La clasificación de alto valor incluye fusiones y adquisiciones, litigios pendientes, compensación de ejecutivos, informes de rendimiento de la empresa, como presentaciones inéditas ante la SEC, etc.
Los datos de los empleados generalmente se clasifican como datos de valor medio o bajo. Los datos incluyen nombre, dirección, número de teléfono, número de seguro social, etc.
Y para agregar un giro, Slack puede cifrar los datos de manera que solo su empresa pueda descifrarlos, por lo que es posible que no haya una fuga externa en absoluto. (No conozco Slack y no he realizado una evaluación de seguridad, así que no puedo decir qué está haciendo).
Las empresas se preocupan mucho si se pierden o se filtran datos de gran valor debido al posible daño financiero y de reputación de la empresa, especialmente en entornos regulados como US Financial. En los EE. UU., a las empresas no les importa tanto si se filtran los números de la seguridad social o de las cuentas bancarias, ya que existe poco riesgo asociado con perderlos. Incluso la pérdida de datos de atención médica es una broma porque HIPPA impone límites artificialmente pequeños a las acciones regulatorias.
No sé qué sucede en Asia, la UE u otros países y regiones.
Y tenga en cuenta que en EE. UU. el riesgo se democratiza pasando las pérdidas a los accionistas, y la recompensa se privatiza a través de bonificaciones ejecutivas. La mayoría de las pérdidas de datos no afectan materialmente a la empresa ni a los ejecutivos. Impulsaron el riesgo a los accionistas, suscriptores y consumidores cuyos datos se pierden.
No tengo una explicación plausible de cómo encontré este archivo (sí, estuve hurgando en nuestro Slack un fin de semana para ver qué podía encontrar)
Realmente no importa. [Con suerte] lo encontraste antes que un mal actor. Dudo que alguien te culpe por ello.
Además, somos una empresa bastante pequeña (menos de 200 personas), por lo que no tenemos ninguna política oficial publicada con respecto a nada de esto.
Sí, eso es bastante típico para las pequeñas empresas y firmas.
Es una brecha en las políticas y procedimientos de su empresa, y los ejecutivos deben abordarla. Hasta que los ejecutivos decidan abordarlo, lo mejor que puede hacer es informar el incidente al CISO, CTO u otra gerencia.
Si estaba interesado, en US Financial, trabajé como arquitecto de seguridad en riesgo. Fui responsable de evaluar los sistemas internos y los sistemas de los proveedores (y las propuestas de los proveedores).
Hicimos tres o cuatro cosas:
A veces, un proveedor se negaría a traer un sistema de conformidad con las políticas y procedimientos de la empresa. En este caso, el ejecutivo que patrocina la iniciativa podría decir "No me importa, lo quiero de todos modos" . Si el ejecutivo decía eso, entonces el sistema y su evaluación de seguridad se enviaban a un Comité de Riesgos para realizar un Análisis Costo/Beneficio detallado y determinar si la empresa debía anular mi decisión. El Comité de Riesgos tuvo la última palabra al respecto.
Los proyectos que me dieron más dificultades fueron las aplicaciones "Board Pad" , como las llamé. Todos los ejecutivos querían dejar de usar papel y poner los negocios de la empresa en sus iPads para las reuniones de la junta. Y, por supuesto, como eran ejecutivos, querían realizar fusiones y adquisiciones, litigios pendientes, compensación de ejecutivos, informes de desempeño de la empresa. Todo protegido con un código PIN de 4 dígitos porque el desarrollador pensó que la autenticación de Apple era lo suficientemente adecuada. Suspiro...
¿Debería decirle a nuestro CTO sobre esto?
Debe decírselo a alguien de la gerencia, ya sea el CTO, su gerente directo u otra persona.
Por otro lado, no tengo una explicación plausible de cómo encontré este archivo (sí, estuve hurgando en nuestro Slack un fin de semana para ver qué podía encontrar). También creo que cualquier cosa que diga en el futuro, la gente lo escuchará con el pensamiento "oh, este tipo tenía acceso a nuestros registros de empleo" en la parte posterior de su cabeza.
Realmente no importa cómo lo encontraste y no veo ningún sentido en revelar el hecho de que lo encontraste mientras "hurgabas". Si esto estaba en Slack de su empresa, entonces no estaba lo suficientemente seguro o monitoreado. Si hay otras cosas en Slack de su empresa de esta naturaleza, y si "tropezó" con ellas en Slack, entonces la deficiencia está en la implementación, no en haberlas encontrado. No entiendo por qué crees que revelar esto tendría repercusiones negativas para ti.
En otras palabras, no pierdo nada si no lo informo y podría perder algo si lo hago. Parece que no tenemos un método para informar cosas de forma anónima.
Una vez más, no entiendo por qué tendría miedo de revelar esto. No has hecho nada malo. Descubriste información que se supone que no debe ser revelada. Eso no es tu culpa. A menos que no nos cuentes toda la historia. Si es el caso de que realmente "hackeó" el Slack de su empresa (un canal seguro destinado a recursos humanos o algo así), entonces debería temer algunas repercusiones.
Además, somos una empresa bastante pequeña (menos de 200 personas), por lo que no tenemos ninguna política oficial publicada con respecto a nada de esto.
No importa cuán grande o pequeña sea su empresa ni si tiene o no políticas específicas con respecto a este tipo de información. Si esta información cae dentro del ámbito de las leyes de privacidad, entonces esto puede ser una violación de esas leyes.
En otras palabras, no pierdo nada si no lo informo y podría perder algo si lo hago.
Definitivamente debería considerar informar a las personas interesadas (CTO, HR) y hacerlo de forma anónima. En Slack, es posible eliminar un mensaje. Si esta información llega a las personas adecuadas, es posible que le pidan al cartel que la elimine. (No estoy seguro si el administrador de Slack también tiene privilegios para eliminar/enmascarar mensajes).
Parece que no tenemos un método para informar cosas de forma anónima.
En esta época de dependencia de los dispositivos y servicios digitales, nos olvidamos por completo de la simplicidad de los viejos tiempos. Simplemente escriba correos postales anónimos a las personas interesadas :) No lo escriba a mano, escríbalo e imprímalo para enmascarar cualquier intento de reconocimiento de escritura a mano. Incluso tiene la ventaja de que un mensaje digital puede perderse en el ruido, pero un correo postal es una forma segura de llamar la atención, ya que cada vez es más raro recibir uno.
On the other hand, I don't have a plausible explanation for how I found this file (yeah, I was poking around our Slack on a weekend to see what I can find). I also think that whatever I say in the future, people will hear it with the thought "oh, this guy had access to our employment records" at the back of their head.
Solo para frenar el miedo que tiene OP. Tal vez tenga que ver con la cultura de la empresa según la percepción de OP.A la luz de esta información, a nadie le importará un carajo que estés hurgando en Slack; si los administradores de sistemas han estado haciendo su trabajo, entonces no sería motivo de preocupación que usted estuviera hurgando en esto, ya que se le debería haber negado el acceso a todo lo que no estaba en su dominio, por así decirlo.
En todo caso, se verá peor para usted si no lo informa, ya que aumenta la posibilidad de que haya estado intentando explotar la información para su propio beneficio. Como mínimo, generará preguntas sobre por qué estaba accediendo a este archivo sin generar alarmas. En otras palabras, ya no parecerá un espectador inocente.
Otro punto a considerar, lo haré con una historia sobre una situación muy similar en la que me encontré en un empleador anterior.
Estaba hurgando en nuestra red buscando algo (que no tenía nada que ver con lo que encontré) buscando en la línea de comando con una expresión regular. Ni siquiera recuerdo lo que estaba buscando, pero encontré un archivo que de alguna manera coincidía con la expresión regular, que era una hoja de cálculo que contenía todas las tarifas de pago de la empresa, así como su tasa de cargo (lo que la empresa cobraba a los clientes por nuestro tiempo) y otros datos que no es probable que se divulguen.
Eran datos muy interesantes, pero me sentí culpable por haber encontrado y examinado el archivo. El problema era que simplemente no había tanta gente en la empresa que pudiera haber encontrado el archivo (buscando), pero no era como si estuviera protegido por ACL o cualquier otra cosa, simplemente estaba en una red compartida. unidad sin ninguna protección particular (ni siquiera de sólo lectura o protegida por contraseña).
Dudé un rato sobre si decírselo a mi supervisor porque no quería que pensaran que estaba husmeando, pero al final se lo conté. La expresión de su rostro cuando le mostré el archivo fue impresionante, claramente no tenía idea de que esa información estaba disponible gratuitamente para cualquier persona con acceso a ese recurso compartido (todos en la empresa). Me sentí mejor al decírselo (aunque él me despidió varios meses después junto con otras personas, pero no creo que sean parientes). Me ofrecí a ayudar a nuestro departamento de TI a cerrar la brecha que había encontrado, pero nunca supe nada de ellos.
Entonces, pasan otro mes o dos, y me doy cuenta de que el archivo que encontré no era único en lo más mínimo (sabía cuál era el nombre del archivo, así que cuando vi un archivo similar más tarde, reconocí lo que era). era). Incluían exactamente el mismo archivo en cada directorio de trabajo, había literalmente miles de copias de ese mismo archivo. Mi agonía había sido una completa pérdida de tiempo, no solo los archivos estaban completamente desprotegidos, sino que estaban en todas partes, a veces varias copias en el mismo directorio de trabajo.
El punto es que esa hoja de cálculo gigante que se cargó puede tener muchos, muchos, muchos hermanos que no conoce, y puede que no valga la pena informarlo.
No estoy sugiriendo que lo ignores, pero considera que puede haber más en la historia de lo que sabes.
Hay muchas respuestas excelentes que ya le dicen que informe esta divulgación de datos incorrecta, y estoy de acuerdo de todo corazón . Parece estar preocupado por la seguridad adecuada de los datos, lo cual es excelente, ya que todos en una empresa tienen un papel que desempeñar en la seguridad de los activos de la empresa. No estoy seguro de su rol en la empresa o su cultura, pero si su gerencia (es decir, CISO, CTO, etc.) está interesada en recibir comentarios, mi respuesta a esta pregunta debería ser útil.
Sugiera que su empresa documente, apruebe y comunique a todos los usuarios finales que tendrán acceso a los datos de la empresa , la política de cómo proteger dichos datos. Para mitigar escenarios futuros como en el que se encuentra ahora, debe haber métodos en los que se debe esperar que los empleados informen incidentes de seguridad, y la divulgación indebida sin duda sería un incidente.
Además, no parece que el acceso esté siendo monitoreado adecuadamente. Entiendo que su empresa es pequeña, pero la gestión de acceso será más importante a medida que su empresa crezca. Una práctica excelente para adoptar sería el principio de acceso con privilegios mínimos , de modo que los empleados/proveedores/pasantes que necesitan acceso para hacer su trabajo tengan acceso.
200 empleados es lo suficientemente grande como para estar bastante sorprendido de que no exista una política. Mi último empleador era una asociación profesional sin fines de lucro de unos 50 y me enfrenté a una situación similar. Sin políticas, sin mejores prácticas, nada documentado, cero consistencia. Cualquiera que quisiera atacarnos probablemente podría haberlo hecho sin resistencia.
Me hice cargo y comencé a redactar políticas para compartir con mi jefe, quien era el vicepresidente de TI. Técnicamente, me contrataron para concentrarme en administrar el sitio web de la empresa, pero terminé haciendo casi todo en el departamento de TI. La gente estaba muy sorprendida por lo vulnerables que eran nuestros sistemas y nunca habían considerado muchos de los riesgos. Nadie cuestionó nunca por qué sabía tanto sobre el tema, pero mi jefe siempre quería escuchar las respuestas. Nuestro administrador de sistemas implementó herramientas de monitoreo en nuestro servidor de correo electrónico para detectar y bloquear la transmisión de PII y nos salvó de al menos un incidente en el que un empleado intentó enviarse por correo electrónico todos los datos de pago para poder procesar la nómina mientras trabajaba en casa.
Esta es una oportunidad para que usted se haga cargo y sea un líder, si así lo desea. Comprendo su aprensión; He estado en empresas impulsadas por desviar la responsabilidad y culpar a los demás, a pesar de nuestros procesos "ágiles". Elegí con mucho cuidado a quién reportaba y terminé por encima de mi supervisor inmediato porque en realidad solo se preocupaba por los problemas que no volvían a él de ninguna manera y tenía que pasar horas explicándole las cosas en detalle para que pudiera tratar de microgestionarse a sí mismo para seguridad. Si se encuentra en el tipo de entorno en el que teme ser castigado por hacer lo correcto y mejorar la empresa, no se encuentra en un lugar de trabajo saludable y debería considerar irse pronto.
Revisaría su manual del empleado para cualquier cosa relevante, prepararía una declaración por escrito y discretamente plantearía el problema a un supervisor en quien confíe.
MlleMei
Agente_L
PCARRR
AdzzzUK
AJ Faraday