¿Debo denunciar una fuga de información confidencial de recursos humanos?

Descubrí que un empleado que ya no está con nosotros cargó en Slack un archivo gigante de Excel que contenía información de recursos humanos. El archivo está disponible para cualquier persona en nuestro Slack y contiene los nombres de todos los empleados actuales y anteriores, sus datos de contacto, nombres completos, quién tiene opciones sobre acciones, derechos de vacaciones anuales, historial de recursos humanos y varias notas sobre ellos, pero no los detalles de compensación. El archivo está allí de alguna manera y se puede encontrar en la búsqueda, pero no se adjunta a ningún mensaje ni se publica en ningún canal (no estoy seguro de cómo funciona).

¿Debería decirle a nuestro CTO sobre esto? En realidad, nadie debería poder encontrar esta información, e incluso tenemos algunos proveedores, pasantes y trabajadores a tiempo parcial en nuestro Slack que probablemente puedan encontrarla.

Por otro lado, no tengo una explicación plausible de cómo encontré este archivo (sí, estuve hurgando en nuestro Slack un fin de semana para ver qué podía encontrar). También creo que cualquier cosa que diga en el futuro, la gente lo escuchará con el pensamiento "oh, este tipo tenía acceso a nuestros registros de empleo" en la parte posterior de su cabeza.

En otras palabras, no pierdo nada si no lo informo y podría perder algo si lo hago. Parece que no tenemos un método para informar cosas de forma anónima.

Además, somos una empresa bastante pequeña (menos de 200 personas), por lo que no tenemos ninguna política oficial publicada con respecto a nada de esto.

¿Por qué crees que te saldrán mal las cosas si lo denuncias abiertamente? El hecho de que haya encontrado este archivo no es sospechoso (es un archivo público, fácilmente podría decir que estaba buscando otra información cuando se topó con él). ¿Y por qué crees que todos sabrían que lo reportaste? ¿Tiene su empresa un historial de manejar mal este tipo de cosas? Personalmente, estaría muy agradecido de obtener esta información lo antes posible. Probablemente no seas el primero en ver esa información, pero serías el primero en reportarla, y eso significaría algo para los superiores.
¿Qué tienes que perder? Has usado Slack de la forma en que se debe usar. Siempre que no haya utilizado credenciales robadas o roto las contraseñas de otras personas.
Puede haber un historial de acceso a archivos para considerar aquí.
Su ubicación es importante aquí, como si estuviera dentro de la UE, entonces esto probablemente sería una violación de GDPR. ¿Puede confirmar su ubicación (aproximada): país, estado o simplemente algo para darnos una indicación básica?
Para acuñar una frase, repórtala.

Respuestas (12)

yo lo denunciaria.

No escondas tu identidad, no tiene sentido. Si su empresa le pregunta a Slack, Slack probablemente pueda decirles quién accedió a ese archivo. Todo está en los registros de todos modos. Es solo cuestión de que alguien los lea. Personalmente, ni siquiera entiendo tu necesidad de ocultar tu identidad. No hiciste nada mal.

En cualquier caso, mejor que seas tú el que accedió al expediente y denunció la infracción que el que accedió al expediente pero no denunció nada.

Este. Además, en algunas jurisdicciones tiene la obligación de informar las infracciones de datos que encuentre, tan pronto como las encuentre, y si el OP aparece en los registros como si hubiera visto el archivo, pero no lo había informado, es posible que se extraigan inferencias negativas. .
Me pregunto seriamente por qué OP querría hacerlo de forma anónima.
@jzenting, entonces te sugiero que leas OP nuevamente. Aunque no parece estar al tanto del posible registro de acceso a archivos.
"Personalmente, ni siquiera entiendo tu necesidad de ocultar tu identidad". - Me parece que el OP explicó por qué siente esta necesidad con "No tengo una explicación plausible de cómo encontré este archivo" y "También creo que, diga lo que diga en el futuro, la gente escuchará..." . Si cree que esas son preocupaciones inválidas, entonces tal vez podría abordarlas en la respuesta.
Buena explicación: usó cualquier herramienta de búsqueda combinada de escritorio e Internet, esperando que encontrara ese archivo (o alguna información que TAMBIÉN está contenida en ese archivo y que DEBE usar para hacer SU trabajo) en la intranet de su empresa, en lugar de encontrarlo inesperadamente en el Internet abierto...
FWIW, un archivo que está "disponible para cualquier persona" que "se puede encontrar en la búsqueda" pero "no está adjunto a ningún mensaje ni publicado en ningún canal" suena como un problema de control de acceso por parte de Slack.
Además, ahora eres un empleado de recursos humanos. Una vez que haya visto esa información, no podrá dejar de verla. Nadie fuera de Recursos Humanos puede verlo, ergo, ahora eres un empleado de Recursos Humanos. Así reclutan. Nadie quiere trabajar para recursos humanos, por lo que dejan cosas como esta para encontrar nuevos empleados.
@DenisdeBernardy hay una lista de archivos cargados que puede revisar; está destinado a auditar "¿qué está utilizando todo nuestro almacenamiento?"
@Riking: lo cual es genial si eres administrador; no tanto si la lista permite que empleados aleatorios accedan a archivos que se compartieron en conversaciones o canales privados.

Dependiendo de dónde esté ubicada su empresa, existen algunas reglas y leyes de privacidad que pueden obligar a proteger los datos personales.

Aparte de eso, la información como la que enumera podría ayudar a un competidor potencial a diseñar ofertas económicas para atraer a los empleados a dejar la empresa.

Creo que deberías reportar la filtración, y si te preocupa mantener tu nombre fuera de esta historia, hay formas de hacerlo (una cuenta de correo electrónico ficticia, un correo en papel sin firmar, etc.).

Debe informar de inmediato a la persona responsable de la protección de datos de su organización.

Desafortunadamente, no indica cuál es su jurisdicción, por lo que responderé según mi jurisdicción.

En mi jurisdicción, cualquier empresa por encima de cierto tamaño debe tener un Delegado de Protección de Datos designado. (Si más de 10 empleados procesan PII electrónicamente de manera rutinaria). Este DPO debe poder informar directamente al CEO y su independencia debe estar garantizada. Por ejemplo, no pueden ser despedidos o amonestados por informar a las autoridades sobre violaciones de datos en la empresa.

Debe informar esto inmediatamente a su DPO. Puede hacerlo de forma anónima (nuevamente, el DPO está protegido de cualquier reprimenda por no revelar su fuente).

Su empresa, a su vez, está obligada por ley a informar de ello en un plazo de 72 horas a su DPO respectivo, normalmente un funcionario del gobierno o encargado de hacer cumplir la ley de algún tipo, de lo contrario corren el riesgo de sufrir fuertes multas.

Esto es solo sobre los datos PII de los que habló. Con respecto a los datos financieros que se filtraron, puede haber otras leyes y reglas que también se violen.

que usen Slack en sí mismo ya es una seria señal de alerta para la seguridad de los datos, ya que Slack es una parte externa sin ninguna garantía sobre la seguridad de los datos de lo que publica allí. Esa es una de las principales razones por las que la empresa para la que trabajo no permite el uso de Slack y, en su lugar, ha configurado un sistema similar interno al que solo se puede acceder desde la red corporativa y alojado en nuestros propios centros de datos.
@jwenting La NASA usa Slack, así que imagínense. No creo que ganen nada como empresa si no pueden proporcionar un canal adecuado para los profesionales.
@lucasgcb ¿Lo usan para transferir información segura? Hay una diferencia entre usar Slack para la comunicación informal y usarlo para transferir contenido confidencial.
@lucasgcb La NASA es una agencia estadounidense. A nuestros clientes aquí en Europa les preocupa que los datos se almacenen y transmitan a través de servidores que se encuentran fuera de la UE debido a las diferencias en las leyes de protección de datos y privacidad que regulan esos servidores. De ahí la restricción de muchos servicios.
@jwenting Tengo mis dudas sobre considerar a los ciudadanos europeos como más conscientes de los datos que los profesionales de una de las organizaciones de investigación espacial más grandes del mundo, pero estoy divagando.
@lucasgcb las leyes en la UE son bastante claras y hacen que sea ilegal almacenar bastantes cosas fuera de la UE, especialmente donde las cosas están cubiertas por GDPR. Agregue el riesgo siempre presente de espionaje corporativo (o espionaje por parte de los gobiernos) y muchas empresas y agencias gubernamentales tienen políticas estrictas que restringen el uso de cualquier servicio desde fuera de la UE. Obviamente, la NASA, al estar sujeta a las leyes de EE. UU., no tiene los mismos problemas, ya que está sujeta a las mismas leyes de protección de datos que el proveedor de alojamiento en la nube de Slack.
@lucasgcb Solo en los últimos días se informó que los piratas informáticos violaron una red JPL de la NASA y copiaron datos relacionados con las misiones a Marte; el ataque pasó desapercibido durante un año. La OIG de la NASA culpó a las fallas en segmentar la red interna en segmentos más pequeños, mantener actualizada la base de datos de seguridad de TI y resolver las vulnerabilidades de seguridad de manera oportuna. En diciembre de 2018, se informó que los piratas informáticos obtuvieron PII de empleados y ex empleados de la NASA en octubre de 2018. La NASA sufrió ataques similares en 2011 y 2016 (en 2013, un pirata informático descubrió que las credenciales de administrador se habían dejado por defecto).
@Lag Realmente es así, ¿eh? Los científicos tienden a querer que se hagan las cosas, supongo.

No pierdo nada si no lo informo, y podría perder algo si lo hago

Puede que tenga algo que perder si no lo denuncia...

… pero luego alguien más lo hace. Si hay una auditoría después del informe, su nombre puede aparecer en una lista de personas que han descargado el archivo. Como resultado, puede haber preguntas sobre qué hizo con el archivo cuando lo descargó y por qué no lo informó.

Por supuesto, no es tan grave a menos que haya pruebas de que usó datos de ese archivo, y si solo tocó el archivo una vez, puede inventar algo como "Hice clic accidentalmente en el archivo equivocado y lo eliminé sin leer cuando me di cuenta mi error".

Pero, ¿por qué inventar una mentira cuando puedes hacer algo que se espera de ti, es decir, denunciarlo de inmediato?

Personalmente, lo denunciaría.

Piensa en ello de esta manera.

Si fueran SUS datos, ¿qué le gustaría que sucediera si alguien supiera que SUS datos se han filtrado?

No estoy seguro de que podamos generalizar y decir que siempre que haya algo que le gustaría que otra persona hiciera, debería hacer lo mismo usted mismo en esa situación. Es más importante considerar cosas como si es correcto, legal, posible, etc. hacer eso. Por ejemplo, me gustaría que mi jefe me duplique el salario. Eso no significa que si se invierten los roles debo duplicar el salario de mi empleado.

Descubrí que un empleado que ya no está con nosotros cargó en Slack un archivo gigante de Excel que contenía información de recursos humanos. El archivo está disponible para cualquier persona en nuestro Slack y contiene los nombres de todos los empleados actuales y anteriores, sus datos de contacto, nombres completos, quién tiene opciones sobre acciones, derechos de vacaciones anuales, historial de recursos humanos y varias notas sobre ellos, pero no los detalles de compensación. El archivo está allí de alguna manera y se puede encontrar en la búsqueda, pero no se adjunta a ningún mensaje ni se publica en ningún canal (no estoy seguro de cómo funciona).

¿Debería decirle a nuestro CTO sobre esto?

Sí, debe informar a su CISO o CTO por escrito.

En las verticales en las que he trabajado, las opciones sobre acciones se incluyen en la compensación ejecutiva, y la compensación ejecutiva se clasifica como datos de alto valor.

La clasificación de alto valor incluye fusiones y adquisiciones, litigios pendientes, compensación de ejecutivos, informes de rendimiento de la empresa, como presentaciones inéditas ante la SEC, etc.

Los datos de los empleados generalmente se clasifican como datos de valor medio o bajo. Los datos incluyen nombre, dirección, número de teléfono, número de seguro social, etc.

Y para agregar un giro, Slack puede cifrar los datos de manera que solo su empresa pueda descifrarlos, por lo que es posible que no haya una fuga externa en absoluto. (No conozco Slack y no he realizado una evaluación de seguridad, así que no puedo decir qué está haciendo).

Las empresas se preocupan mucho si se pierden o se filtran datos de gran valor debido al posible daño financiero y de reputación de la empresa, especialmente en entornos regulados como US Financial. En los EE. UU., a las empresas no les importa tanto si se filtran los números de la seguridad social o de las cuentas bancarias, ya que existe poco riesgo asociado con perderlos. Incluso la pérdida de datos de atención médica es una broma porque HIPPA impone límites artificialmente pequeños a las acciones regulatorias.

No sé qué sucede en Asia, la UE u otros países y regiones.

Y tenga en cuenta que en EE. UU. el riesgo se democratiza pasando las pérdidas a los accionistas, y la recompensa se privatiza a través de bonificaciones ejecutivas. La mayoría de las pérdidas de datos no afectan materialmente a la empresa ni a los ejecutivos. Impulsaron el riesgo a los accionistas, suscriptores y consumidores cuyos datos se pierden.

No tengo una explicación plausible de cómo encontré este archivo (sí, estuve hurgando en nuestro Slack un fin de semana para ver qué podía encontrar)

Realmente no importa. [Con suerte] lo encontraste antes que un mal actor. Dudo que alguien te culpe por ello.

Además, somos una empresa bastante pequeña (menos de 200 personas), por lo que no tenemos ninguna política oficial publicada con respecto a nada de esto.

Sí, eso es bastante típico para las pequeñas empresas y firmas.

Es una brecha en las políticas y procedimientos de su empresa, y los ejecutivos deben abordarla. Hasta que los ejecutivos decidan abordarlo, lo mejor que puede hacer es informar el incidente al CISO, CTO u otra gerencia.

Si estaba interesado, en US Financial, trabajé como arquitecto de seguridad en riesgo. Fui responsable de evaluar los sistemas internos y los sistemas de los proveedores (y las propuestas de los proveedores).

Hicimos tres o cuatro cosas:

  1. Clasificar los datos de acuerdo con las políticas y procedimientos de la empresa.
  2. Realice una evaluación de seguridad en el sistema, asegurándose de que el sistema pueda manejar los datos de acuerdo con las políticas y procedimientos de la empresa.
  3. Proporcione cambios sugeridos para garantizar que los datos se manejaron de acuerdo con las políticas y procedimientos de la empresa.

A veces, un proveedor se negaría a traer un sistema de conformidad con las políticas y procedimientos de la empresa. En este caso, el ejecutivo que patrocina la iniciativa podría decir "No me importa, lo quiero de todos modos" . Si el ejecutivo decía eso, entonces el sistema y su evaluación de seguridad se enviaban a un Comité de Riesgos para realizar un Análisis Costo/Beneficio detallado y determinar si la empresa debía anular mi decisión. El Comité de Riesgos tuvo la última palabra al respecto.

Los proyectos que me dieron más dificultades fueron las aplicaciones "Board Pad" , como las llamé. Todos los ejecutivos querían dejar de usar papel y poner los negocios de la empresa en sus iPads para las reuniones de la junta. Y, por supuesto, como eran ejecutivos, querían realizar fusiones y adquisiciones, litigios pendientes, compensación de ejecutivos, informes de desempeño de la empresa. Todo protegido con un código PIN de 4 dígitos porque el desarrollador pensó que la autenticación de Apple era lo suficientemente adecuada. Suspiro...

De un compañero ingeniero de seguridad, excelente respuesta en general. Sin embargo, no estoy de acuerdo con esta afirmación "si se filtran números de seguridad social o números de cuentas bancarias, ya que hay poco riesgo asociado con perderlos". Los números de cuentas bancarias y el SSN se consideran información PII y creo que la ley bancaria GLBA los protege como datos confidenciales del cliente. Hay multas bastante fuertes si estos no están protegidos adecuadamente.
Si puedes aclararlo, votaré esto. Además, ¿cuál ha sido su experiencia cuando la gestión empresarial interna se niega a remediar el incumplimiento? Situación bastante común que enfrenté...
Compensación de ejecutivos de alto valor, domicilios de los empleados de bajo valor. Lo dice todo de verdad.
No estoy seguro de seguir tu respuesta. Estoy en los Estados Unidos. ¿Por qué pensaste que estaba en Europa? Por cierto, GLBA es la Ley Gramm - Leach Billey
@Anthony - Lo siento. Crucé mis cables y pensé que estabas hablando de la iniciativa de la UE. GLBA es una broma. Es una licencia para dar su información, al igual que HIPPA. Casi todo lo que proporciona son requisitos de divulgación. Y hasta donde yo sé, no hay una agencia de supervisión. Consulte el Subtítulo A: Divulgación de información personal no pública , sec. 501 - 510. (Es principalmente lo que uno esperaría de una legislación escrita por cabilderos).

¿Debería decirle a nuestro CTO sobre esto?

Debe decírselo a alguien de la gerencia, ya sea el CTO, su gerente directo u otra persona.

Por otro lado, no tengo una explicación plausible de cómo encontré este archivo (sí, estuve hurgando en nuestro Slack un fin de semana para ver qué podía encontrar). También creo que cualquier cosa que diga en el futuro, la gente lo escuchará con el pensamiento "oh, este tipo tenía acceso a nuestros registros de empleo" en la parte posterior de su cabeza.

Realmente no importa cómo lo encontraste y no veo ningún sentido en revelar el hecho de que lo encontraste mientras "hurgabas". Si esto estaba en Slack de su empresa, entonces no estaba lo suficientemente seguro o monitoreado. Si hay otras cosas en Slack de su empresa de esta naturaleza, y si "tropezó" con ellas en Slack, entonces la deficiencia está en la implementación, no en haberlas encontrado. No entiendo por qué crees que revelar esto tendría repercusiones negativas para ti.

En otras palabras, no pierdo nada si no lo informo y podría perder algo si lo hago. Parece que no tenemos un método para informar cosas de forma anónima.

Una vez más, no entiendo por qué tendría miedo de revelar esto. No has hecho nada malo. Descubriste información que se supone que no debe ser revelada. Eso no es tu culpa. A menos que no nos cuentes toda la historia. Si es el caso de que realmente "hackeó" el Slack de su empresa (un canal seguro destinado a recursos humanos o algo así), entonces debería temer algunas repercusiones.

Además, somos una empresa bastante pequeña (menos de 200 personas), por lo que no tenemos ninguna política oficial publicada con respecto a nada de esto.

No importa cuán grande o pequeña sea su empresa ni si tiene o no políticas específicas con respecto a este tipo de información. Si esta información cae dentro del ámbito de las leyes de privacidad, entonces esto puede ser una violación de esas leyes.

Sí, y por favor hazlo de forma anónima.

En otras palabras, no pierdo nada si no lo informo y podría perder algo si lo hago.

Definitivamente debería considerar informar a las personas interesadas (CTO, HR) y hacerlo de forma anónima. En Slack, es posible eliminar un mensaje. Si esta información llega a las personas adecuadas, es posible que le pidan al cartel que la elimine. (No estoy seguro si el administrador de Slack también tiene privilegios para eliminar/enmascarar mensajes).

Parece que no tenemos un método para informar cosas de forma anónima.

En esta época de dependencia de los dispositivos y servicios digitales, nos olvidamos por completo de la simplicidad de los viejos tiempos. Simplemente escriba correos postales anónimos a las personas interesadas :) No lo escriba a mano, escríbalo e imprímalo para enmascarar cualquier intento de reconocimiento de escritura a mano. Incluso tiene la ventaja de que un mensaje digital puede perderse en el ruido, pero un correo postal es una forma segura de llamar la atención, ya que cada vez es más raro recibir uno.

¿Por qué tienen que informar esto de forma anónima? OP no ha hecho nada malo. Mientras lo informen, nunca hablen sobre el contenido con nadie, no debería haber repercusiones negativas. Realmente tengo bastante curiosidad, ya que llegas a recomendar el correo postal e imprimir una carta. Por cierto OP, sería más fácil usar una dirección de correo electrónico temporal (como yopmail) si realmente desea informar esto de forma anónima.
@MlleMei On the other hand, I don't have a plausible explanation for how I found this file (yeah, I was poking around our Slack on a weekend to see what I can find). I also think that whatever I say in the future, people will hear it with the thought "oh, this guy had access to our employment records" at the back of their head.Solo para frenar el miedo que tiene OP. Tal vez tenga que ver con la cultura de la empresa según la percepción de OP.
Mi pregunta sigue en pie, estás alentando a OP a informarlo de forma anónima y me pregunto por qué. No veo nada malo en la situación en sí que justifique esto (no lo pensaría dos veces en decirle a mi gerente que las personas tienen acceso a información confidencial). Tal vez la compañía ha manejado mal esas cosas en el pasado, o OP se preocupa demasiado y está haciendo una montaña de un grano de arena. Mi pregunta es, ¿qué te hace pensar que OP tiene razón en tomar tales precauciones?
@MlleMei Entiendo totalmente tu punto. En un entorno ideal, tu comentario es mucho mejor que la respuesta. Sin embargo, OP parece reacio a correr riesgos. Espero que, en función de cómo la empresa maneje esta situación, OP pueda ganar confianza para informar más abiertamente sobre tales ocurrencias. Pero también puede ocurrir lo contrario. Mejor ir a lo seguro. Además, le preocupa no solo cómo se manejará la gerencia, sino que existe la posibilidad de que otros empleados se enteren y de lo que terminen hablando. Me gustaría que OP también analice esta discusión en los comentarios junto con la respuesta para manejarla mejor.
@NimeshNeema se está arriesgando a que si lo informa de forma anónima, se solicitará el registro de acceso al archivo y se verá que ha visto el archivo. Sin el beneficio de haberlo denunciado.
¡Las cartas impresas no son anónimas! Ver en.wikipedia.org/wiki/Machine_Identification_Code
La razón para mantener el anonimato es, según los informes (insertar alerta de palabra comadreja aquí), porque algunas organizaciones han respondido a los informes de seguridad disparando al mensajero.
@MlleMei más vale prevenir que lamentar, y es posible que no desee que se conozca su nombre en caso de represalias por parte del ex empleado
@Neuromancer Una buena (o incluso promedio) empresa no le diría a Willy Nilly quién informó este tipo de información. A menos que la empresa haya manejado mal problemas como esos en el pasado, no me preocuparía por eso. Es más probable que su gerente y sus superiores recuerden positivamente los informes de OP, le traerán más cosas buenas que malas. Y como ya dijeron otros, OP podría tener problemas legales si se sabe que accedió al archivo y no lo informó.
@Navin: Tengo curiosidad: ¿ha trabajado en muchas empresas que tienen el conocimiento técnico y el deseo de utilizar este conocimiento para identificar cartas anónimas? Me resulta difícil creer que una empresa quiera llegar a esos extremos para rastrear a alguien que envía un correo anónimo. También me sorprendería si aquellos que tienen la capacidad técnica para hacerlo... Así que, personalmente, creo que es justo decir que las cartas impresas son anónimas, ya que, a menos que usted esté involucrado en alguna investigación criminal de alto nivel, nadie lo hará. ir a los esfuerzos necesarios para averiguar quién envió una carta...
@Chris Requiere muy pocos conocimientos técnicos; simplemente ejecute un decodificador de puntos de seguimiento como github.com/dfd-tud/deda . De todos modos, OP mencionó Slack, que es comúnmente utilizado por las compañías de software. El 90% de los empleados allí podían descargar y ejecutar un script de Python si querían quitarle el anonimato.
@Navin: Tal como lo entiendo al leer esa página, aunque no le dice quién es la persona que lo imprime, solo algunos detalles sobre su impresora. Así que tiene un número de modelo y de serie (¿tiene algo más?) - ¿Cómo pasa de eso a saber cuál de sus empleados posee esa impresora sin exigir que todos envíen una copia impresa de muestra de sus impresoras domésticas? También sigo pensando que a nadie le va a importar lo suficiente como para pasar por todo ese esfuerzo tampoco...
Sin embargo, supongo que no está de más que el OP tenga este conocimiento y pueden juzgar por sí mismos si consideran que una impresión sin firmar es lo suficientemente anónima o no.
@MlleMei, eso es ingenuo si lo denuncia, tendría que asistir y proporcionar información sobre cualquier medida disciplinaria; es justicia natural para el empleado acusado; es posible que deba enfrentarse a un abogado externo agresivo que intentaría desacreditarlo.
Pon tu carta anónima en PDF en una memoria USB e imprímela en una tienda sin cámaras de seguridad.
Cuando la impresora de mi hermana se negó a imprimir en blanco y negro porque el cartucho amarillo estaba vacío, puse un trozo de cinta adhesiva sobre el sensor óptico que informaba que estaba vacío.

Reportalo.

A la luz de esta información, a nadie le importará un carajo que estés hurgando en Slack; si los administradores de sistemas han estado haciendo su trabajo, entonces no sería motivo de preocupación que usted estuviera hurgando en esto, ya que se le debería haber negado el acceso a todo lo que no estaba en su dominio, por así decirlo.

En todo caso, se verá peor para usted si no lo informa, ya que aumenta la posibilidad de que haya estado intentando explotar la información para su propio beneficio. Como mínimo, generará preguntas sobre por qué estaba accediendo a este archivo sin generar alarmas. En otras palabras, ya no parecerá un espectador inocente.

sin una explicación, esta respuesta puede volverse inútil en caso de que alguien más publique una opinión opuesta. Por ejemplo, si alguien publica un reclamo como "No lo denuncies. A la luz de esta información, todos te van a maldecir por hurgar en Slack. En todo caso, se verá peor para ti si lo haces", ¿cómo se vería esto ? respuesta ayudar al lector a elegir entre dos opiniones opuestas? Considere editarlo en una mejor forma, para cumplir con las pautas de Cómo responder
El OP de esta respuesta ya explicó que " se verá peor en ti si no lo haces ".
@gnat agregó 'por qué' a mis declaraciones

Otro punto a considerar, lo haré con una historia sobre una situación muy similar en la que me encontré en un empleador anterior.

Estaba hurgando en nuestra red buscando algo (que no tenía nada que ver con lo que encontré) buscando en la línea de comando con una expresión regular. Ni siquiera recuerdo lo que estaba buscando, pero encontré un archivo que de alguna manera coincidía con la expresión regular, que era una hoja de cálculo que contenía todas las tarifas de pago de la empresa, así como su tasa de cargo (lo que la empresa cobraba a los clientes por nuestro tiempo) y otros datos que no es probable que se divulguen.

Eran datos muy interesantes, pero me sentí culpable por haber encontrado y examinado el archivo. El problema era que simplemente no había tanta gente en la empresa que pudiera haber encontrado el archivo (buscando), pero no era como si estuviera protegido por ACL o cualquier otra cosa, simplemente estaba en una red compartida. unidad sin ninguna protección particular (ni siquiera de sólo lectura o protegida por contraseña).

Dudé un rato sobre si decírselo a mi supervisor porque no quería que pensaran que estaba husmeando, pero al final se lo conté. La expresión de su rostro cuando le mostré el archivo fue impresionante, claramente no tenía idea de que esa información estaba disponible gratuitamente para cualquier persona con acceso a ese recurso compartido (todos en la empresa). Me sentí mejor al decírselo (aunque él me despidió varios meses después junto con otras personas, pero no creo que sean parientes). Me ofrecí a ayudar a nuestro departamento de TI a cerrar la brecha que había encontrado, pero nunca supe nada de ellos.

Entonces, pasan otro mes o dos, y me doy cuenta de que el archivo que encontré no era único en lo más mínimo (sabía cuál era el nombre del archivo, así que cuando vi un archivo similar más tarde, reconocí lo que era). era). Incluían exactamente el mismo archivo en cada directorio de trabajo, había literalmente miles de copias de ese mismo archivo. Mi agonía había sido una completa pérdida de tiempo, no solo los archivos estaban completamente desprotegidos, sino que estaban en todas partes, a veces varias copias en el mismo directorio de trabajo.

El punto es que esa hoja de cálculo gigante que se cargó puede tener muchos, muchos, muchos hermanos que no conoce, y puede que no valga la pena informarlo.

No estoy sugiriendo que lo ignores, pero considera que puede haber más en la historia de lo que sabes.

Le habría dicho a mi supervisor esa segunda vez. Si fuera tan importante para él, lo habría seguido esa segunda vez. No solo eso, sino que generalmente puede saber quién copió el archivo allí, por lo que le habría dicho a su supervisor quién necesitaba capacitación sobre temas de seguridad (o qué departamento necesitaba capacitación sobre temas de seguridad).
En realidad, creo que lo hice, pero no estoy seguro. Esto fue hace más de una década y mi memoria es borrosa después. Solo recuerdo estar asombrado (nuevamente), de que el archivo existiera en todas partes.

Hay muchas respuestas excelentes que ya le dicen que informe esta divulgación de datos incorrecta, y estoy de acuerdo de todo corazón . Parece estar preocupado por la seguridad adecuada de los datos, lo cual es excelente, ya que todos en una empresa tienen un papel que desempeñar en la seguridad de los activos de la empresa. No estoy seguro de su rol en la empresa o su cultura, pero si su gerencia (es decir, CISO, CTO, etc.) está interesada en recibir comentarios, mi respuesta a esta pregunta debería ser útil.

Sugiera que su empresa documente, apruebe y comunique a todos los usuarios finales que tendrán acceso a los datos de la empresa , la política de cómo proteger dichos datos. Para mitigar escenarios futuros como en el que se encuentra ahora, debe haber métodos en los que se debe esperar que los empleados informen incidentes de seguridad, y la divulgación indebida sin duda sería un incidente.

Además, no parece que el acceso esté siendo monitoreado adecuadamente. Entiendo que su empresa es pequeña, pero la gestión de acceso será más importante a medida que su empresa crezca. Una práctica excelente para adoptar sería el principio de acceso con privilegios mínimos , de modo que los empleados/proveedores/pasantes que necesitan acceso para hacer su trabajo tengan acceso.

Nuestra política de seguridad exige que los empleados informen dichos incidentes si se enteran. Es parte del manual de trabajo y debería estar en todas partes.

200 empleados es lo suficientemente grande como para estar bastante sorprendido de que no exista una política. Mi último empleador era una asociación profesional sin fines de lucro de unos 50 y me enfrenté a una situación similar. Sin políticas, sin mejores prácticas, nada documentado, cero consistencia. Cualquiera que quisiera atacarnos probablemente podría haberlo hecho sin resistencia.

Me hice cargo y comencé a redactar políticas para compartir con mi jefe, quien era el vicepresidente de TI. Técnicamente, me contrataron para concentrarme en administrar el sitio web de la empresa, pero terminé haciendo casi todo en el departamento de TI. La gente estaba muy sorprendida por lo vulnerables que eran nuestros sistemas y nunca habían considerado muchos de los riesgos. Nadie cuestionó nunca por qué sabía tanto sobre el tema, pero mi jefe siempre quería escuchar las respuestas. Nuestro administrador de sistemas implementó herramientas de monitoreo en nuestro servidor de correo electrónico para detectar y bloquear la transmisión de PII y nos salvó de al menos un incidente en el que un empleado intentó enviarse por correo electrónico todos los datos de pago para poder procesar la nómina mientras trabajaba en casa.

Esta es una oportunidad para que usted se haga cargo y sea un líder, si así lo desea. Comprendo su aprensión; He estado en empresas impulsadas por desviar la responsabilidad y culpar a los demás, a pesar de nuestros procesos "ágiles". Elegí con mucho cuidado a quién reportaba y terminé por encima de mi supervisor inmediato porque en realidad solo se preocupaba por los problemas que no volvían a él de ninguna manera y tenía que pasar horas explicándole las cosas en detalle para que pudiera tratar de microgestionarse a sí mismo para seguridad. Si se encuentra en el tipo de entorno en el que teme ser castigado por hacer lo correcto y mejorar la empresa, no se encuentra en un lugar de trabajo saludable y debería considerar irse pronto.

Revisaría su manual del empleado para cualquier cosa relevante, prepararía una declaración por escrito y discretamente plantearía el problema a un supervisor en quien confíe.

¿Debo denunciar una fuga de información confidencial de recursos humanos?
RespuestasAquíPolítica de privacidad1y, 0v