¿Qué debo hacer después de encontrar información salarial en el servidor de archivos de la empresa?

Tenemos un servidor de archivos local en las instalaciones. Parece que un administrador sincronizó su cuenta de almacenamiento en la nube con una carpeta en este servidor (en una ubicación que no es muy difícil de encontrar). Esta carpeta ahora es accesible para cualquier persona de la empresa y contiene un archivo de Excel llamado 'Salarios', en el que se enumeran los salarios de los empleados de un determinado departamento. Esta no es la primera vez que este gerente hace esto: en el mismo servidor encontré un archivo que contiene comentarios y evaluaciones de los empleados.

¿Qué pasos podría o debería tomar? ¿No hacer nada y estar a salvo? ¿Notificar a Recursos Humanos o Infosec (tenemos personas dedicadas a esto con GDPR próximamente)? ¿Debo hacer esto de forma anónima? ¿O tal vez debería informar directamente al gerente mismo?

Si lo informa, prepárese para las preguntas sobre por qué está husmeando en las carpetas de archivos en ubicaciones que "no son muy difíciles de encontrar".
¿Tiene su empleador una política escrita sobre qué hacer cuando ve un problema como este?
@AffableAmbler Las preguntas con componentes éticos pueden ser un tema aquí si hacen preguntas prácticas. Por lo general, hay una superposición significativa entre lo ético y lo profesional en los contextos laborales. Más sobre eso aquí . Tenga en cuenta que, independientemente de que la pregunta esté relacionada con el tema o no, se considera de mala educación responderla (parcialmente) en los comentarios.
Haz lo mismo que harías si accidentalmente vieras a tus padres en un abrazo íntimo; Finge que no lo viste y no vuelvas a hablar de ello.

Respuestas (4)

Ten cuidado

Estás en territorio peligroso aquí. Viste un archivo llamado "Salarios" y decidiste que deberías abrirlo y ver qué hay dentro. Si informa esto a INFOSEC, su decisión de abrir el archivo probablemente será un motivo de preocupación tan grande como cualquier administrador descuidado que almacene archivos en la carpeta incorrecta.

En el futuro, si descubre archivos que cree que pueden contener información confidencial, no los abra para profundizar. Ha reconocido correctamente que tiene la obligación de ayudar a salvaguardar la confidencialidad de ese documento, pero comprometió esa confidencialidad cuando abrió el archivo.

La próxima vez que esto suceda, en lugar de abrir el archivo para ver los salarios, examine las propiedades de seguridad del archivo y notifique al "propietario del archivo" . Si no está familiarizado con cómo hacer esto, será más sencillo informar el problema a su departamento de TI o a la mesa de ayuda y dejar que ellos se encarguen de las cosas desde allí.

En este caso, me comunicaría con el Gerente que guardó el archivo y le informaría que vio el nombre del archivo y que estaba preocupado por una posible exposición. Deja que se ocupe de eso desde allí.

Si ve un patrón de comportamiento descuidado que avanza, informar el problema a INFOSEC es su deber, pero también debe mantener su propia nariz limpia.

Definitivamente hay que ser cauteloso aquí. Ver esa información podría hacer que uno sea despedido.
+1 Los días de "Si no rompes o tomas, está bien" terminaron hace mucho tiempo. Excelente, bien pensado consejo.

Podría ser una trampa

Tenga en cuenta que aquí existe la posibilidad de que ya haya sido atrapado en el Honeypot , y si no informa esto, es posible que aún tenga que responder preguntas difíciles como por qué abrió el archivo.

A Infosec le encanta hacer cosas como esta, ya sea dejar un CD en un área abierta con "Salarios" escrito en él o, en este caso, dejar un documento en un lugar fácil de encontrar. La idea en torno al honeypot es que ves algo deseable y luego haces algo que no debes (Abriendo este archivo). Esta es una gran debilidad para las empresas, porque fácilmente pueden ser manipulados socialmente para revelar su contraseña y hacer que su empresa sea atacada.

En tu caso específico, puede que esto no sea una trampa ya que viste información real sobre salarios, pero debes estar advertido de que no todo es lo que parece.

¿Por qué el voto negativo? ¡La mejor respuesta aquí!
porque no es una trampa, dado que la información sobre salarios estaba allí.
Y sabes que esta información es precisa y válida... ¿cómo? @bharal
bueno, preguntó al respecto. También probablemente pueda comprobarlo con su propio salario.

Informe a quien administre los permisos en las carpetas de ese servidor que cualquiera puede leer esta carpeta y probablemente no debería ser así. No elabores. Deje que tomen esto de allí y retírese de este asunto.
A menos que su empresa emplee políticas y procesos dedicados con respecto a posibles fugas de información interna (según su descripción, no es muy probable), la persona de tecnología podría arreglar los permisos en silencio y terminar, especialmente si fue su culpa (incluso indirectamente).

A juzgar por su descripción, es muy poco probable que puedan ver que abrió el archivo. Como profesional de TI, puedo atestiguar que las instalaciones de seguimiento de acceso a archivos son un PINA para trabajar y consumen recursos del sistema como nadie. Por lo tanto, no están habilitados salvo en entornos de alta seguridad donde es absolutamente necesario. Si su entorno fuera ese, ese administrador no podría haber creado esa carpeta y configurar la sincronización en la nube sin que Infosec lo hubiera examinado y autorizado en primer lugar (y usted tampoco sabría nada de eso).

Del mismo modo, por la misma razón, es prácticamente imposible que sea una especie de cebo o un juego mental de un Columbo local. Especialmente a la luz de los incidentes similares anteriores que involucran a la misma persona que, a todos los efectos, parecen legítimos.

En una vida anterior escribí/apoyé un programa que se usaba para calcular salarios y bonificaciones para los empleados. Para esto, necesitaba obtener información de Recursos Humanos durante la temporada de revisión de salarios. Se suponía que el archivo tenía campos enmascarados/cifrados que se desempaquetaron en mi programa y solo podían verlos un conjunto de usuarios y su nivel de acceso.

Un año, el programa explotó al importar. Resulta que el empleado de recursos humanos que extrajo los datos ese año no usó el programa escrito (que encriptaba los datos), sino que ejecutó Peoplesoft SQR que puso los datos en texto ASCII legible. Cuando abrí el archivo para investigar pude ver el salario actual de todos.

Inmediatamente notifiqué a mi supervisor. INFOSEC y HR fueron notificados. Mi gerente notificó a la alta gerencia. Luego, mi gerente colocó el CD en el que se escribieron los datos en un sistema de eliminación seguro. Esto tuvo algunas ramificaciones importantes, pero como nosotros (mi jefe y yo) cubrimos nuestros peros, fueron otros (la persona de recursos humanos) los que disciplinaron.

No puedes estar demasiado seguro aquí. Avisa a tu jefe.

Una diferencia clave, aquí: estabas AUTORIZADO para ver esos datos. El OP no lo era.
En realidad no lo estaba. Esa es la razón por la que estaba enmascarado.
Los entiendo a ambos, y por eso me siento obligado a construir un puente a través de la brecha de entendimiento. Perdóneme por molestarme, pero lo que @WesleyLong estaba tratando de decir es que estaba autorizado para abrir el archivo. Su descubrimiento de los datos no cifrados no se produjo como resultado de su comportamiento inapropiado. En el caso de OP, su elección de abrir el archivo probablemente se reflejará mal en él, mientras que se esperaba su elección de abrir el archivo.
@Lumberjack: tienes razón. Probablemente debería haber dicho que bednarjm estaba autorizado para acceder al archivo proporcionado, mientras que el OP no estaba autorizado para acceder al archivo que descubrió.
solo parece ser una anécdota?
¿Qué debo hacer después de encontrar información salarial en el servidor de archivos de la empresa?
RespuestasAquíPolítica de privacidad1y, 0v