Lo segnalerei.

Non nascondere la tua identità, non ha senso. Se la tua azienda chiede a Slack, Slack può probabilmente dire loro chi ha avuto accesso a quel file. È comunque tutto nei registri. È solo questione di qualcuno che li legga. Personalmente, non capisco nemmeno il tuo bisogno di nascondere la tua identità. Non hai fatto niente di sbagliato.

In ogni caso, è meglio che tu sia quello che ha avuto accesso al file e che ha segnalato la violazione rispetto a quello che ha avuto accesso al file ma che non ha segnalato nulla.

A seconda di dove si trova la tua azienda, esistono alcune regole e leggi sulla privacy che potrebbero imporre la protezione dei dati personali.

A parte questo, le informazioni come quelle che elenchi potrebbero aiutare un potenziale concorrente a personalizzare le offerte economiche per attirare i dipendenti a lasciare l'azienda.

Penso che dovresti segnalare la fuga di notizie e, se sei preoccupato di tenere il tuo nome fuori da questa storia, ci sono modi per farlo (un account di posta elettronica fittizio, un posta cartacea firmata, ecc.).

Dovresti immediatamente segnalarlo a chiunque nella tua organizzazione sia responsabile della protezione dei dati.

Sfortunatamente, non dichiari quale sia la tua giurisdizione, quindi risponderò in base nella mia giurisdizione.

Nella mia giurisdizione, qualsiasi azienda al di sopra di una certa dimensione deve avere un responsabile della protezione dei dati designato. (Se più di 10 dipendenti elaborano regolarmente PII elettronicamente.) Questo DPO deve essere in grado di riferire direttamente al CEO e la loro indipendenza deve essere garantita. Per esempio. non possono essere licenziati o rimproverati per aver informato le autorità sulle violazioni dei dati nell'azienda.

Dovresti immediatamente segnalarlo al tuo DPO. Puoi farlo in modo anonimo (ancora una volta, il DPO è protetto da qualsiasi rimprovero per non aver rivelato la loro fonte).

La tua azienda, a sua volta, è tenuta per legge a segnalarlo entro 72 ore al rispettivo DPO, di solito un funzionario governativo o delle forze dell'ordine di qualche tipo, altrimenti rischiano pesanti multe.

Si tratta solo dei dati PII di cui hai parlato. Per quanto riguarda i dati finanziari che sono stati divulgati, potrebbero esserci altre leggi e regole che sono state violate.

Non perdo nulla se non lo segnalo e potrei perdere qualcosa se lo faccio

Potresti avere qualcosa da perdere se non lo segnali ...

... ma in seguito lo fa qualcun altro. Se è presente un controllo dopo il rapporto, il tuo nome potrebbe apparire in un elenco di persone che hanno scaricato il file. Di conseguenza, potrebbero sorgere domande su cosa hai fatto con il file quando lo hai scaricato e perché non l'hai segnalato.

Ovviamente, non è così serio a meno che non ci sia la prova che hai ha utilizzato i dati di quel file e, se l'hai toccato solo una volta, puoi inventare qualcosa come "Ho accidentalmente cliccato sul file sbagliato e l'ho rimosso senza leggere quando ho realizzato il mio errore".

Ma perché inventare una bugia quando puoi fare qualcosa che ci si aspetta da te, cioè segnalarlo subito?

Personalmente, lo segnalerei.

Pensaci in questo modo.

Se fossero i TUOI dati, cosa vorresti che accadesse se qualcuno sapeva che i TUOI dati erano trapelati.

Ho scoperto che un dipendente che non è più con noi ha caricato un gigantesco file Excel contenente informazioni sulle risorse umane in Slack. Il file è disponibile per chiunque nel nostro Slack e contiene i nomi di tutti i dipendenti attuali ed ex, i loro dettagli di contatto, i nomi completi, i titolari di stock option, i diritti alle ferie annuali, la cronologia delle risorse umane e varie note su di loro, ma non i dettagli della compensazione. Il file è in qualche modo lì e può essere trovato nella ricerca, ma non è allegato a nessun messaggio o pubblicato in alcun canale (non sono sicuro di come funzioni).

Devo parlarne al nostro CTO?

Sì, dovresti informare il tuo CISO o CTO per iscritto.

Nei verticali in cui ho lavorato, le stock option rientrano nella remunerazione dei dirigenti e la remunerazione dei dirigenti è classificata come dati di alto valore .

La classificazione di valore elevato include fusioni e acquisizioni, contenziosi in corso, compensi dei dirigenti, rapporti sulle prestazioni aziendali come documenti SEC non pubblicati, ecc.

I dati dei dipendenti sono generalmente classificati come valore medio o basso dati. I dati includono nome, indirizzo, numero di telefono, numero di previdenza sociale, ecc.

E per aggiungere una svolta, Slack potrebbe crittografare i dati in modo tale che solo la tua azienda possa decrittografarli, quindi potrebbe non esserci un perdita a tutti. (Non conosco Slack e non ho eseguito una valutazione di sicurezza su di esso, quindi non posso dire cosa sta facendo).

Le aziende si preoccupano molto se i dati di alto valore vengono persi o trapelati a causa di potenziale danno finanziario e reputazionale per l'azienda, soprattutto in ambienti regolamentati come US Financial. Negli Stati Uniti, le aziende non si preoccupano tanto se i numeri di previdenza sociale oi numeri di conti bancari vengono trapelati poiché c'è poco rischio associato alla perdita. Anche la perdita di dati sanitari è uno scherzo perché HIPPA pone limiti artificialmente piccoli alle azioni normative.

Non so cosa succede in Asia, nell'UE o in altri paesi e regioni.

E tieni presente che negli Stati Uniti il ​​rischio viene democratizzato trasferendo le perdite agli azionisti e la ricompensa viene privatizzata attraverso i bonus dei dirigenti. La maggior parte della perdita di dati non influisce materialmente sull'azienda o sui dirigenti. Hanno spinto il rischio su azionisti, abbonati e consumatori i cui dati sono andati persi.

Non ho una spiegazione plausibile di come ho trovato questo file (sì, stavo cercando il nostro Slack in un fine settimana per vedere cosa posso trovare)

Non ha molta importanza. Tu [si spera] l'hai trovato prima di un cattivo attore. Dubito che qualcuno ti biasimerà per questo.

Inoltre, siamo un'azienda abbastanza piccola (meno di 200 persone), quindi non abbiamo alcuna politica ufficiale pubblicata riguardo a tutto ciò.

Sì, è abbastanza tipico per le piccole imprese e le imprese.

È una lacuna nelle politiche e nelle procedure della tua azienda, e i dirigenti devono affrontalo. Fino a quando i dirigenti non decidono di affrontarlo, il meglio che puoi fare è segnalare l'incidente al CISO, CTO o altro management.

Se interessato, in US Financial, ho lavorato come architetto della sicurezza a rischio. Ero responsabile della valutazione dei sistemi interni e dei sistemi dei fornitori (e delle proposte dei fornitori).

Abbiamo fatto tre o quattro cose:

1. Classificare i dati secondo le politiche e le procedure dell'azienda
2. Eseguire una valutazione della sicurezza sul sistema, assicurandosi che il sistema possa gestire i dati secondo le politiche e le procedure dell'azienda
3. Fornire le modifiche suggerite per garantire che i dati siano stati gestiti secondo le politiche e le procedure dell'azienda

A volte un fornitore rifiuta di portare un sistema conforme alle politiche e alle procedure dell'azienda. In questo caso, il dirigente che sponsorizza l'iniziativa potrebbe dire "Non mi interessa, lo voglio comunque" . Se il dirigente lo ha detto, il sistema e la sua valutazione della sicurezza sono stati inviati a un Comitato dei rischi per eseguire un'analisi dettagliata dei costi / benefici e determinare se l'impresa dovesse ignorare la mia decisione. Il Comitato Rischi ha avuto l'ultima parola sulla questione.

I progetti che mi hanno dato il tempo più difficile sono state le app "Board Pad" come le ho chiamate. Ogni dirigente voleva rinunciare alla carta e mettere gli affari dell'azienda sui propri iPad per le riunioni del consiglio. E naturalmente, poiché erano dirigenti, volevano portare avanti fusioni e acquisizioni, contenziosi pendenti, compensi dei dirigenti, rapporti sulle prestazioni dell'azienda. Tutto protetto con un codice PIN a 4 cifre perché l'autenticazione di Apple era abbastanza adeguata dallo sviluppatore. Sigh ...

Sì, e per favore fallo in modo anonimo.

In altre parole, non perdo nulla se non lo segnalo e potrei perdere qualcosa se lo faccio.

Dovresti assolutamente considerare di riferire alle persone interessate (CTO, Risorse umane) e farlo in modo anonimo. Su Slack è possibile eliminare un messaggio. Se queste informazioni arrivano alle persone giuste, potrebbero chiedere al poster di eliminarle. (Non sono sicuro che l'amministratore di Slack abbia anche il privilegio di eliminare / mascherare i messaggi).

Non abbiamo un metodo per segnalare le cose in modo anonimo.

In questo giorno ed età di dipendenza da dispositivi e servizi digitali, dimentichiamo totalmente la semplicità dei tempi passati. Scrivi semplicemente messaggi di posta elettronica anonimi alle persone interessate :) Non scriverlo a mano, digitalo e fallo stampare per mascherare qualsiasi tentativo di riconoscimento della grafia. Ha anche il vantaggio che un messaggio digitale può perdersi nel rumore, ma una posta ordinaria è un modo sicuro per attirare l'attenzione poiché è sempre più raro riceverne uno.

Devo parlarne al nostro CTO?

Dovresti dirlo a qualcuno nella direzione, che sia il CTO, il tuo manager diretto o qualcun altro.

D'altra parte, non ho una spiegazione plausibile per come ho trovato questo file (sì, stavo frugando nel nostro Slack durante un fine settimana per vedere cosa posso trovare). Penso anche che qualunque cosa dica in futuro, la gente la ascolterà con il pensiero "oh, questo ragazzo ha avuto accesso ai nostri documenti di lavoro" nella parte posteriore della testa.

Veramente non importa come l'hai trovato e non vedo alcun motivo nel rivelare il fatto che l'hai trovato mentre stavi "frugando" in giro. Se questo era nella tua azienda Slack, allora non era sufficientemente protetto o monitorato. Se ci sono altre cose nella tua azienda di Slack di questa natura, e se ti sei "imbattuto" in esse in Slack, allora la carenza è nell'implementazione, non nell'averle trovate. Non capisco perché pensi che rivelarlo avrebbe ripercussioni negative per te.

In altre parole, non perdo nulla se non lo segnalo e potrei perdere qualcosa se lo faccio . Non sembra che abbiamo un metodo per segnalare le cose in modo anonimo.

Di nuovo, non capisco perché avresti paura di rivelarlo. Non hai fatto niente di sbagliato. Hai scoperto informazioni che non dovrebbero essere divulgate. Non è colpa tua. A meno che tu non ci stia raccontando l'intera storia. Se è il caso in cui hai effettivamente "violato" la tua azienda Slack (un canale protetto pensato per le risorse umane o qualcosa del genere), dovresti temere alcune ripercussioni.

Inoltre, siamo un'azienda abbastanza piccola (meno di 200 persone), quindi non abbiamo alcuna politica ufficiale pubblicata in merito a tutto ciò.

Non importa quanto grande o piccola sia la tua azienda né se disponi o meno di politiche specifiche riguardo a questo tipo di informazioni. Se queste informazioni rientrano nell'ambito di competenza delle leggi sulla privacy, potrebbe trattarsi di una violazione di tali leggi.

Segnalalo.

Alla luce di queste informazioni, a nessuno fregherà del tuo curiosare in Slack; se gli amministratori di sistema hanno svolto il loro lavoro, curiosare su questo non sarebbe motivo di preoccupazione in quanto ti sarebbe dovuto essere negato l'accesso a tutto ciò che non era nel tuo dominio per così dire.

Semmai, ti sembrerà peggio se non lo segnali, poiché solleva la possibilità che tu abbia tentato di sfruttare le informazioni per il tuo guadagno. Per lo meno solleverà domande sul motivo per cui stavi accedendo a questo file senza dare l'allarme. In altre parole non sembrerai più uno spettatore innocente.

Un altro punto da considerare, che illustrerò con una storia riguardante una situazione molto simile in cui mi sono trovato in un precedente datore di lavoro.

Stavo frugando nella nostra rete alla ricerca di qualcosa (che non aveva nulla a che fare con quello che ho trovato) cercando dalla riga di comando con un'espressione regolare. Non ricordo nemmeno cosa stavo cercando, ma ho trovato un file che in qualche modo corrispondeva alla regex che era un foglio di calcolo contenente tutti i tassi di pagamento dell'azienda, nonché il loro tasso di addebito (ciò che l'azienda ha addebitato ai clienti per il nostro tempo) e altri dati che non è probabile che vengano divulgati.

Questi erano dati molto interessanti, ma mi sentivo in colpa per aver trovato e letto il file. Il problema era che semplicemente non c'erano molte persone in azienda che avrebbero potuto trovare il file (guardando), ma non era come se fosse protetto da ACL o altro, era solo là fuori su una rete condivisa guidare senza alcuna protezione particolare (nemmeno di sola lettura o protetta da password).

Mi sono tormentato per un po 'se dirlo al mio supervisore perché non volevo che pensassero che stessi curiosando, ma alla fine glielo ho detto. L'espressione sul suo viso quando gli ho mostrato il file è stata impressionante, chiaramente non aveva idea che tali informazioni fossero liberamente disponibili per chiunque avesse accesso a quella condivisione (tutti in azienda). Mi sentivo meglio a dirglielo (anche se mi avrebbe licenziato diversi mesi dopo insieme a un gruppo di altre persone, ma non credo siano imparentati). Mi sono offerto di aiutare il nostro reparto IT a colmare il vuoto che avevo trovato, ma non ho mai ricevuto risposta da loro.

Quindi, un altro mese o due passano e mi rendo conto che il file che avevo trovato non era minimamente unico (sapevo qual era il nome del file, quindi quando ho visto un file simile in seguito, ho riconosciuto quello che era). Includevano lo stesso identico file in ogni directory di lavoro, c'erano letteralmente migliaia di copie dello stesso file. La mia agonia era stata una completa perdita di tempo, non solo i file non erano completamente protetti, ma erano ovunque, a volte più copie nella stessa directory di lavoro.

Il punto è che quel foglio di calcolo gigante che è stato caricato potrebbe avere molti-molti-molti fratelli che non conosci e che potrebbe non valere la pena di segnalarlo.

Non sto sostenendo che lo ignori, ma considera che potrebbero essercene altri alla storia di quanto tu sappia.

Ci sono molte ottime risposte che già ti dicono di segnalare questa divulgazione impropria dei dati e sono d'accordo di tutto cuore . Sembra che tu sia preoccupato per un'adeguata sicurezza dei dati, il che è eccezionale, poiché tutti in un'azienda hanno un ruolo da svolgere nella sicurezza delle risorse aziendali. Non sono sicuro del tuo ruolo nell'azienda o della sua cultura , ma se la tua direzione (ad esempio: CISO, CTO ecc.) è interessata al feedback, la mia risposta a questa domanda dovrebbe essere utile.

Suggerisci il documento della tua azienda, approva e comunica a tutti gli utenti finali che avranno accesso ai dati aziendali , la politica su come proteggere tali dati. Per mitigare gli scenari futuri come quello in cui ti trovi ora, dovrebbero esserci metodi con cui i dipendenti dovrebbero essere tenuti a segnalare gli incidenti di sicurezza e una divulgazione impropria sarebbe certamente un incidente.

Inoltre, non sembra l'accesso viene adeguatamente monitorato. Capisco che la tua azienda sia piccola, ma la gestione degli accessi diventerà più importante con la crescita della tua azienda. Un'ottima pratica da adottare sarebbe il principio dell ' accesso minimo privilegiato , in modo che i dipendenti / fornitori / stagisti che hanno un bisogno di accesso per svolgere il proprio lavoro abbiano accesso.

200 dipendenti sono abbastanza grandi che sono piuttosto scioccato dal fatto che non esista alcuna politica. Il mio ultimo datore di lavoro era un'associazione professionale senza scopo di lucro di circa 50 persone e ho dovuto affrontare una situazione simile. Nessuna policy, nessuna best practice, niente di documentato, zero coerenza. Chiunque volesse attaccarci probabilmente avrebbe potuto farlo senza alcuna resistenza.

Ne ho preso il controllo e ho iniziato a redigere delle policy da condividere con il mio capo, che era il vicepresidente IT. Tecnicamente sono stato assunto per concentrarmi sulla gestione del sito web dell'azienda, ma ho finito per fare quasi tutto nel reparto IT. Le persone erano molto scioccate dalla vulnerabilità dei nostri sistemi e non avevano mai considerato molti dei rischi. Nessuno si è mai chiesto perché sapessi così tanto sull'argomento, ma il mio capo voleva sempre sentire le risposte. Il nostro amministratore di sistema ha implementato strumenti di monitoraggio sul nostro server di posta elettronica per rilevare e bloccare la trasmissione di PII e ci ha risparmiato almeno un incidente in cui un dipendente ha tentato di inviare via e-mail a se stessa tutti i dati relativi alle retribuzioni in modo da poter elaborare le buste paga mentre lavorava da casa.

Questa è un'opportunità per te di assumerti la responsabilità e di essere un leader, se lo desideri. Capisco la tua apprensione; Sono stato in aziende che sono state guidate deviando la responsabilità e incolpando gli altri, nonostante i nostri processi "Agile". Ho scelto a chi riferire con molta attenzione e ho finito per andare al di sopra del mio supervisore immediato perché a lui importava solo che i problemi non gli tornassero in alcun modo e avrei dovuto passare ore a spiegare le cose in dettaglio in modo che potesse provare a gestirsi da solo. sicurezza. Se ti trovi nel tipo di ambiente in cui temi di essere punito per aver fatto la cosa giusta e migliorato l'azienda, non ti trovi in ​​un luogo di lavoro sano e dovresti considerare di andartene presto.

Vorrei rivedere il tuo manuale del dipendente per qualsiasi cosa pertinente, prepara una dichiarazione scritta e solleva discretamente la questione con un supervisore di cui ti fidi.