Tenemos un servidor de archivos local en las instalaciones. Parece que un administrador sincronizó su cuenta de almacenamiento en la nube con una carpeta en este servidor (en una ubicación que no es muy difícil de encontrar). Esta carpeta ahora es accesible para cualquier persona de la empresa y contiene un archivo de Excel llamado 'Salarios', en el que se enumeran los salarios de los empleados de un determinado departamento. Esta no es la primera vez que este gerente hace esto: en el mismo servidor encontré un archivo que contiene comentarios y evaluaciones de los empleados.
¿Qué pasos podría o debería tomar? ¿No hacer nada y estar a salvo? ¿Notificar a Recursos Humanos o Infosec (tenemos personas dedicadas a esto con GDPR próximamente)? ¿Debo hacer esto de forma anónima? ¿O tal vez debería informar directamente al gerente mismo?
Estás en territorio peligroso aquí. Viste un archivo llamado "Salarios" y decidiste que deberías abrirlo y ver qué hay dentro. Si informa esto a INFOSEC, su decisión de abrir el archivo probablemente será un motivo de preocupación tan grande como cualquier administrador descuidado que almacene archivos en la carpeta incorrecta.
En el futuro, si descubre archivos que cree que pueden contener información confidencial, no los abra para profundizar. Ha reconocido correctamente que tiene la obligación de ayudar a salvaguardar la confidencialidad de ese documento, pero comprometió esa confidencialidad cuando abrió el archivo.
La próxima vez que esto suceda, en lugar de abrir el archivo para ver los salarios, examine las propiedades de seguridad del archivo y notifique al "propietario del archivo" . Si no está familiarizado con cómo hacer esto, será más sencillo informar el problema a su departamento de TI o a la mesa de ayuda y dejar que ellos se encarguen de las cosas desde allí.
En este caso, me comunicaría con el Gerente que guardó el archivo y le informaría que vio el nombre del archivo y que estaba preocupado por una posible exposición. Deja que se ocupe de eso desde allí.
Si ve un patrón de comportamiento descuidado que avanza, informar el problema a INFOSEC es su deber, pero también debe mantener su propia nariz limpia.
Podría ser una trampa
Tenga en cuenta que aquí existe la posibilidad de que ya haya sido atrapado en el Honeypot , y si no informa esto, es posible que aún tenga que responder preguntas difíciles como por qué abrió el archivo.
A Infosec le encanta hacer cosas como esta, ya sea dejar un CD en un área abierta con "Salarios" escrito en él o, en este caso, dejar un documento en un lugar fácil de encontrar. La idea en torno al honeypot es que ves algo deseable y luego haces algo que no debes (Abriendo este archivo). Esta es una gran debilidad para las empresas, porque fácilmente pueden ser manipulados socialmente para revelar su contraseña y hacer que su empresa sea atacada.
En tu caso específico, puede que esto no sea una trampa ya que viste información real sobre salarios, pero debes estar advertido de que no todo es lo que parece.
Informe a quien administre los permisos en las carpetas de ese servidor que cualquiera puede leer esta carpeta y probablemente no debería ser así. No elabores. Deje que tomen esto de allí y retírese de este asunto.
A menos que su empresa emplee políticas y procesos dedicados con respecto a posibles fugas de información interna (según su descripción, no es muy probable), la persona de tecnología podría arreglar los permisos en silencio y terminar, especialmente si fue su culpa (incluso indirectamente).
A juzgar por su descripción, es muy poco probable que puedan ver que abrió el archivo. Como profesional de TI, puedo atestiguar que las instalaciones de seguimiento de acceso a archivos son un PINA para trabajar y consumen recursos del sistema como nadie. Por lo tanto, no están habilitados salvo en entornos de alta seguridad donde es absolutamente necesario. Si su entorno fuera ese, ese administrador no podría haber creado esa carpeta y configurar la sincronización en la nube sin que Infosec lo hubiera examinado y autorizado en primer lugar (y usted tampoco sabría nada de eso).
Del mismo modo, por la misma razón, es prácticamente imposible que sea una especie de cebo o un juego mental de un Columbo local. Especialmente a la luz de los incidentes similares anteriores que involucran a la misma persona que, a todos los efectos, parecen legítimos.
En una vida anterior escribí/apoyé un programa que se usaba para calcular salarios y bonificaciones para los empleados. Para esto, necesitaba obtener información de Recursos Humanos durante la temporada de revisión de salarios. Se suponía que el archivo tenía campos enmascarados/cifrados que se desempaquetaron en mi programa y solo podían verlos un conjunto de usuarios y su nivel de acceso.
Un año, el programa explotó al importar. Resulta que el empleado de recursos humanos que extrajo los datos ese año no usó el programa escrito (que encriptaba los datos), sino que ejecutó Peoplesoft SQR que puso los datos en texto ASCII legible. Cuando abrí el archivo para investigar pude ver el salario actual de todos.
Inmediatamente notifiqué a mi supervisor. INFOSEC y HR fueron notificados. Mi gerente notificó a la alta gerencia. Luego, mi gerente colocó el CD en el que se escribieron los datos en un sistema de eliminación seguro. Esto tuvo algunas ramificaciones importantes, pero como nosotros (mi jefe y yo) cubrimos nuestros peros, fueron otros (la persona de recursos humanos) los que disciplinaron.
No puedes estar demasiado seguro aquí. Avisa a tu jefe.
Leñador
dwizum
Lilienthal
Jonathan Cowley-Thom