Hace unos meses, estaba trabajando con alguien en Nómina para resolver algunos errores de pago que ocurrieron cuando mi empleador cambió a un nuevo sistema de nómina. Resulta que cientos de empleados se vieron afectados por errores en los cheques de pago. El empleado de nómina me envió por correo electrónico una hoja de cálculo con información detallada sobre la nómina de toneladas de estos empleados afectados, incluidos los nombres, los números de identificación de los empleados, los montos y fechas de los cheques de pago, el monto del sobrepago/pago insuficiente al empleado y si la discrepancia se había resuelto o no.
Estoy seguro de que fue un error y el empleado de Nómina pretendía enviarme solo mi propia documentación de pago, pero dudo mucho que sea el único que recibió este archivo. Notifiqué a mi liderazgo (que no hizo nada) y, finalmente, a RR. saber que se envió la información de su cheque de pago. Con la información en la hoja de cálculo, uno podría restablecer fácilmente las contraseñas y acceder a las cuentas 401k de estos empleados. Me siento cómodo presentando un informe con una agencia federal o reguladora si es necesario, pero ni siquiera sé exactamente a quién informarlo, o si existen otros métodos, posiblemente mejores, para manejar esto. La empresa es una pérdida total: solo toman decisiones para protegerse a sí mismos, ellos mismos no harán lo correcto. ¿Estoy haciendo un gran problema con esto?
Tiene razón en preocuparse, sin embargo, a menos que pueda demostrar que no fue la única persona que envió el archivo, simplemente está haciendo una suposición, sin ninguna evidencia que lo respalde. Si esa suposición es correcta o no, no es un factor, debe poder probarlo.
Recursos Humanos tenía razón al decirte que lo eliminaras cuando les notificaste. Hiciste lo correcto al notificarles, sin embargo, tu gerente absolutamente debería haber actuado sobre tu notificación y haberles informado de la infracción. Que ellos no actúen es preocupante en sí mismo, pero no es el tema aquí.
No mencionas si todavía estás trabajando allí. Si es así, piense detenidamente en la denuncia de irregularidades. Puede haber leyes que lo protejan dependiendo de su ubicación, o puede que no las haya. De cualquier manera, es probable que no desee trabajar allí si decide hacer sonar el silbato e informar a los reguladores, ya que eso pondrá a la empresa bajo un escrutinio muy estricto y se harán preguntas sobre quién informó a los reguladores en el primer lugar.
La empresa es una pérdida total: solo toman decisiones para protegerse a sí mismos, no harán lo correcto por sí mismos. ¿Estoy haciendo un gran problema con esto?
No, no estás haciendo un gran problema. Este es un asunto muy serio y parece que su empresa ha intentado ignorar el problema.
Lo primero que haría sería empezar a buscar una nueva empresa para trabajar. A continuación, debe presentar una queja ante el fiscal general de su estado con respecto a este incidente. Según la ley de Iowa, como mínimo, la empresa debería haber notificado a los empleados afectados y desde su publicación indica que no han hecho nada.
Busque un nuevo trabajo y presente una queja ante el fiscal general.
A continuación se muestra la ley correspondiente:
Protección contra violaciones de la seguridad de la información personal de Iowa
tl;dr Tenga cuidado al pedirle a la policía que maneje una violación de datos internos.
Esto realmente apesta. Esa persona de la nómina cometió un grave error. Podría, como usted dice, conducir al robo de identidad.
Lo manejaron mal. No hay duda. Sería prudente conseguir otro trabajo.
Pero, el error está cometido. Todos los secretos finalmente se filtran. Ni siquiera los actores estatales con recursos ilimitados (te estoy mirando, la NSA de EE. UU.) pueden evitar que se filtren secretos. Una pregunta real es cómo limpiar después de las fugas.
En aras del argumento, digamos que un gerente ilustrado, inteligente y compasivo asumió el deber de lidiar con esta fuga. Digamos que eres ese gerente. ¿Qué harías al respecto?
Antes de denunciar a estos tipos, piense detenidamente qué quiere que hagan las autoridades con respecto a la situación. ¿Harán lo que tú quieres que hagan?
Si el archivo filtrado contenía diez mil números de tarjetas de crédito de clientes y la empresa no hizo nada al respecto, definitivamente denunciaría a un regulador bancario. En ese caso, desea que exijan a la empresa que notifique a esos clientes, etc.
No parece que tengan ninguna intención de investigar más a fondo o informar a los empleados que se envió la información de su cheque de pago.
Como alguien que trabaja en seguridad cibernética, no presumiría malas intenciones aquí. Es posible que deseen investigar la divulgación indebida, no necesariamente la violación de los datos de nómina, pero no saben cómo . Según mi experiencia laboral, no es apropiado que los empleados sepan o sospechen de un empleado en particular, a menos que exista evidencia que respalde la transacción a nombre de esa persona. La búsqueda de dicha evidencia generalmente involucra la interpretación de registros de auditoría, una actividad altamente técnica que requiere capacitación práctica . Dada la multitud de productos SIEM, en mi opinión, no es razonable esperar que un liderazgo sénior no técnico realice esta investigación.
Si hay otros métodos, posiblemente mejores, para manejar esto.
Sí hay. Si hay un departamento o función dedicada en su empresa responsable de la seguridad de TI o la gestión de riesgos, infórmeles que su trabajo es remediar los incidentes de seguridad. Como mencionó O Jones, despedir al empleado o informar externamente es imprudente, porque no afecta el aprendizaje del empleado. No parece que haya malicia aquí, solo ignorancia sobre el manejo adecuado de los datos personales.
Si su objetivo es disminuir la oportunidad de un incidente futuro , sus empleados internos son mucho mejores para manejar esto, ya que conocen los procesos/restricciones/cultura de su empresa mejor que una agencia externa.
AdzzzUK
WonderWoo222
AdzzzUK
joeqwerty
alroc