La empresa no se tomó en serio la violación de datos

Hace unos meses, estaba trabajando con alguien en Nómina para resolver algunos errores de pago que ocurrieron cuando mi empleador cambió a un nuevo sistema de nómina. Resulta que cientos de empleados se vieron afectados por errores en los cheques de pago. El empleado de nómina me envió por correo electrónico una hoja de cálculo con información detallada sobre la nómina de toneladas de estos empleados afectados, incluidos los nombres, los números de identificación de los empleados, los montos y fechas de los cheques de pago, el monto del sobrepago/pago insuficiente al empleado y si la discrepancia se había resuelto o no.

Estoy seguro de que fue un error y el empleado de Nómina pretendía enviarme solo mi propia documentación de pago, pero dudo mucho que sea el único que recibió este archivo. Notifiqué a mi liderazgo (que no hizo nada) y, finalmente, a RR. saber que se envió la información de su cheque de pago. Con la información en la hoja de cálculo, uno podría restablecer fácilmente las contraseñas y acceder a las cuentas 401k de estos empleados. Me siento cómodo presentando un informe con una agencia federal o reguladora si es necesario, pero ni siquiera sé exactamente a quién informarlo, o si existen otros métodos, posiblemente mejores, para manejar esto. La empresa es una pérdida total: solo toman decisiones para protegerse a sí mismos, ellos mismos no harán lo correcto. ¿Estoy haciendo un gran problema con esto?

Hola, en qué estado se encuentra y en qué industria (ciertas industrias tienen reglas más estrictas, por ejemplo, atención médica, etc.)
Lo siento, este es mi primer mensaje y no tengo ni idea de lo que estoy haciendo. Estoy en Iowa, pero los empleados que figuran en la hoja de cálculo están en todo Estados Unidos. Industria de seguros de propiedad y daños a terceros.
No hay problema, este es uno de los casos en los que puede haber una legislación específica del estado o reguladores de organismos de la industria, no estoy seguro de si eso se aplicaría a su ubicación o a la ubicación de la "oficina central". No estoy familiarizado con quién podría contactar, pero estoy seguro de que otros lo estarán.
1. Lo que ha descrito NO es una violación de datos. 2. ¿Cómo podría alguien acceder al plan 401k de otra persona, etc.? ¿Estaban sus nombres de usuario, contraseñas, números de SS, etc. en la hoja de cálculo? Además, una violación es cuando una persona no autorizada accede a la red/sistemas y accede o roba información y datos. Este no es el caso aquí. Este fue un error cometido por una persona que estaba autorizada para acceder a los datos.
@joeqwerty algunas definiciones de "violación de datos" incluyen "a alguien se le permitió ver datos que no tiene autorización para ver", independientemente de cuáles sean esos datos o cómo llegaron ante sus ojos. En cuyo caso, esto se consideraría una infracción: presumiblemente, OP no tiene autorización para ver datos de recursos humanos sobre otros empleados.

Respuestas (4)

Tiene razón en preocuparse, sin embargo, a menos que pueda demostrar que no fue la única persona que envió el archivo, simplemente está haciendo una suposición, sin ninguna evidencia que lo respalde. Si esa suposición es correcta o no, no es un factor, debe poder probarlo.

Recursos Humanos tenía razón al decirte que lo eliminaras cuando les notificaste. Hiciste lo correcto al notificarles, sin embargo, tu gerente absolutamente debería haber actuado sobre tu notificación y haberles informado de la infracción. Que ellos no actúen es preocupante en sí mismo, pero no es el tema aquí.

No mencionas si todavía estás trabajando allí. Si es así, piense detenidamente en la denuncia de irregularidades. Puede haber leyes que lo protejan dependiendo de su ubicación, o puede que no las haya. De cualquier manera, es probable que no desee trabajar allí si decide hacer sonar el silbato e informar a los reguladores, ya que eso pondrá a la empresa bajo un escrutinio muy estricto y se harán preguntas sobre quién informó a los reguladores en el primer lugar.

La empresa es una pérdida total: solo toman decisiones para protegerse a sí mismos, no harán lo correcto por sí mismos. ¿Estoy haciendo un gran problema con esto?

No, no estás haciendo un gran problema. Este es un asunto muy serio y parece que su empresa ha intentado ignorar el problema.

Lo primero que haría sería empezar a buscar una nueva empresa para trabajar. A continuación, debe presentar una queja ante el fiscal general de su estado con respecto a este incidente. Según la ley de Iowa, como mínimo, la empresa debería haber notificado a los empleados afectados y desde su publicación indica que no han hecho nada.

Busque un nuevo trabajo y presente una queja ante el fiscal general.

A continuación se muestra la ley correspondiente:

Protección contra violaciones de la seguridad de la información personal de Iowa

Prefiero esto a mi propia respuesta (eliminada). No podría decir (por navegar en un teléfono y por no ser estadounidense) si esa legislación 715c se aplica solo a los consumidores o también a los empleados. De cualquier manera, el consejo de @ sf02 es completamente correcto, OP. Sugiero leerlo y actuar de inmediato.
@Justin 715C.1 (la primera sección del PDF) define "Consumidor" como residente del estado. Entonces, al menos los empleados que residen en ese estado están cubiertos por las leyes de ese estado.

tl;dr Tenga cuidado al pedirle a la policía que maneje una violación de datos internos.

Esto realmente apesta. Esa persona de la nómina cometió un grave error. Podría, como usted dice, conducir al robo de identidad.

Lo manejaron mal. No hay duda. Sería prudente conseguir otro trabajo.

Pero, el error está cometido. Todos los secretos finalmente se filtran. Ni siquiera los actores estatales con recursos ilimitados (te estoy mirando, la NSA de EE. UU.) pueden evitar que se filtren secretos. Una pregunta real es cómo limpiar después de las fugas.

En aras del argumento, digamos que un gerente ilustrado, inteligente y compasivo asumió el deber de lidiar con esta fuga. Digamos que eres ese gerente. ¿Qué harías al respecto?

  • ¿Llamar a la policía? ¿Qué acción les pedirías que tomaran? Recuerda: cuando la única herramienta que tienes son las esposas, el mundo entero parece un par de manos para esposar.
  • ¿Hacer un gran espectáculo de despedir al empleado? ¿Qué lograría eso?
  • ¿Enviar un correo electrónico masivo a todos los que recibieron los datos secretos pidiéndoles que los eliminen? Eso podría haber funcionado. ¿Pero también podría llamar la atención sobre los datos filtrados?
  • ¿Convocar una reunión de la empresa y hacer que el equipo ejecutivo asuma la responsabilidad y se disculpe? Ese podría ser un buen camino a seguir. Su empresa no lo hizo.
  • ¿Hablar individualmente con las personas que recibieron la filtración? Eso ES lo que sucedió en tu caso.
  • ¿Renumerar empleados, inutilizando parte de los secretos filtrados? Podría ser una buena idea.
  • ¿Solicitar/forzar cambios de contraseña en el portal de empleados 401K? Eso sería bueno.
  • ¿Comenzar a exigir capacitación obligatoria en seguridad de la información para todos? Sí. Eso puede dar sus frutos a lo grande.

Antes de denunciar a estos tipos, piense detenidamente qué quiere que hagan las autoridades con respecto a la situación. ¿Harán lo que tú quieres que hagan?

Si el archivo filtrado contenía diez mil números de tarjetas de crédito de clientes y la empresa no hizo nada al respecto, definitivamente denunciaría a un regulador bancario. En ese caso, desea que exijan a la empresa que notifique a esos clientes, etc.

No parece que tengan ninguna intención de investigar más a fondo o informar a los empleados que se envió la información de su cheque de pago.

Como alguien que trabaja en seguridad cibernética, no presumiría malas intenciones aquí. Es posible que deseen investigar la divulgación indebida, no necesariamente la violación de los datos de nómina, pero no saben cómo . Según mi experiencia laboral, no es apropiado que los empleados sepan o sospechen de un empleado en particular, a menos que exista evidencia que respalde la transacción a nombre de esa persona. La búsqueda de dicha evidencia generalmente involucra la interpretación de registros de auditoría, una actividad altamente técnica que requiere capacitación práctica . Dada la multitud de productos SIEM, en mi opinión, no es razonable esperar que un liderazgo sénior no técnico realice esta investigación.

Si hay otros métodos, posiblemente mejores, para manejar esto.

Sí hay. Si hay un departamento o función dedicada en su empresa responsable de la seguridad de TI o la gestión de riesgos, infórmeles que su trabajo es remediar los incidentes de seguridad. Como mencionó O Jones, despedir al empleado o informar externamente es imprudente, porque no afecta el aprendizaje del empleado. No parece que haya malicia aquí, solo ignorancia sobre el manejo adecuado de los datos personales.

Si su objetivo es disminuir la oportunidad de un incidente futuro , sus empleados internos son mucho mejores para manejar esto, ya que conocen los procesos/restricciones/cultura de su empresa mejor que una agencia externa.

La empresa no se tomó en serio la violación de datos
RespuestasAquíPolítica de privacidad1y, 0v