Ho scoperto che un dipendente che non è più con noi ha caricato un gigantesco file Excel contenente informazioni sulle risorse umane in Slack. Il file è disponibile per chiunque nel nostro Slack e contiene i nomi di tutti i dipendenti attuali ed ex, i loro dettagli di contatto, i nomi completi, i titolari di stock option, i diritti alle ferie annuali, la cronologia delle risorse umane e varie note su di loro, ma non i dettagli della compensazione. Il file è in qualche modo lì e può essere trovato nella ricerca, ma non è allegato a nessun messaggio o pubblicato in alcun canale (non sono sicuro di come funzioni).
Devo parlarne al nostro CTO?
Sì, dovresti informare il tuo CISO o CTO per iscritto.
Nei verticali in cui ho lavorato, le stock option rientrano nella remunerazione dei dirigenti e la remunerazione dei dirigenti è classificata come dati di alto valore .
La classificazione di valore elevato include fusioni e acquisizioni, contenziosi in corso, compensi dei dirigenti, rapporti sulle prestazioni aziendali come documenti SEC non pubblicati, ecc.
I dati dei dipendenti sono generalmente classificati come valore medio o basso dati. I dati includono nome, indirizzo, numero di telefono, numero di previdenza sociale, ecc.
E per aggiungere una svolta, Slack potrebbe crittografare i dati in modo tale che solo la tua azienda possa decrittografarli, quindi potrebbe non esserci un perdita a tutti. (Non conosco Slack e non ho eseguito una valutazione di sicurezza su di esso, quindi non posso dire cosa sta facendo).
Le aziende si preoccupano molto se i dati di alto valore vengono persi o trapelati a causa di potenziale danno finanziario e reputazionale per l'azienda, soprattutto in ambienti regolamentati come US Financial. Negli Stati Uniti, le aziende non si preoccupano tanto se i numeri di previdenza sociale oi numeri di conti bancari vengono trapelati poiché c'è poco rischio associato alla perdita. Anche la perdita di dati sanitari è uno scherzo perché HIPPA pone limiti artificialmente piccoli alle azioni normative.
Non so cosa succede in Asia, nell'UE o in altri paesi e regioni.
E tieni presente che negli Stati Uniti il rischio viene democratizzato trasferendo le perdite agli azionisti e la ricompensa viene privatizzata attraverso i bonus dei dirigenti. La maggior parte della perdita di dati non influisce materialmente sull'azienda o sui dirigenti. Hanno spinto il rischio su azionisti, abbonati e consumatori i cui dati sono andati persi.
Non ho una spiegazione plausibile di come ho trovato questo file (sì, stavo cercando il nostro Slack in un fine settimana per vedere cosa posso trovare)
Non ha molta importanza. Tu [si spera] l'hai trovato prima di un cattivo attore. Dubito che qualcuno ti biasimerà per questo.
Inoltre, siamo un'azienda abbastanza piccola (meno di 200 persone), quindi non abbiamo alcuna politica ufficiale pubblicata riguardo a tutto ciò.
Sì, è abbastanza tipico per le piccole imprese e le imprese.
È una lacuna nelle politiche e nelle procedure della tua azienda, e i dirigenti devono affrontalo. Fino a quando i dirigenti non decidono di affrontarlo, il meglio che puoi fare è segnalare l'incidente al CISO, CTO o altro management.
Se interessato, in US Financial, ho lavorato come architetto della sicurezza a rischio. Ero responsabile della valutazione dei sistemi interni e dei sistemi dei fornitori (e delle proposte dei fornitori).
Abbiamo fatto tre o quattro cose:
- Classificare i dati secondo le politiche e le procedure dell'azienda
- Eseguire una valutazione della sicurezza sul sistema, assicurandosi che il sistema possa gestire i dati secondo le politiche e le procedure dell'azienda
- Fornire le modifiche suggerite per garantire che i dati siano stati gestiti secondo le politiche e le procedure dell'azienda
A volte un fornitore rifiuta di portare un sistema conforme alle politiche e alle procedure dell'azienda. In questo caso, il dirigente che sponsorizza l'iniziativa potrebbe dire "Non mi interessa, lo voglio comunque" . Se il dirigente lo ha detto, il sistema e la sua valutazione della sicurezza sono stati inviati a un Comitato dei rischi per eseguire un'analisi dettagliata dei costi / benefici e determinare se l'impresa dovesse ignorare la mia decisione. Il Comitato Rischi ha avuto l'ultima parola sulla questione.
I progetti che mi hanno dato il tempo più difficile sono state le app "Board Pad" come le ho chiamate. Ogni dirigente voleva rinunciare alla carta e mettere gli affari dell'azienda sui propri iPad per le riunioni del consiglio. E naturalmente, poiché erano dirigenti, volevano portare avanti fusioni e acquisizioni, contenziosi pendenti, compensi dei dirigenti, rapporti sulle prestazioni dell'azienda. Tutto protetto con un codice PIN a 4 cifre perché l'autenticazione di Apple era abbastanza adeguata dallo sviluppatore. Sigh ...