Je le signalerais.

Ne cachez pas votre identité, cela ne sert à rien. Si votre entreprise demande à Slack, Slack peut probablement lui dire qui a accédé à ce fichier. Tout est dans les journaux de toute façon. C'est juste une question de lecture par quelqu'un. Personnellement, je ne comprends même pas votre besoin de cacher votre identité. Vous n'avez rien fait de mal.

Dans tous les cas, mieux vaut être celui qui a accédé au fichier et qui a signalé la violation que celui qui a accédé au fichier mais qui n'a rien signalé.

En fonction de l'emplacement de votre entreprise, il existe des règles et lois en matière de confidentialité qui peuvent exiger la protection des données personnelles.

À part cela, des informations telles que celles que vous indiquez peuvent aider un concurrent potentiel à adapter ses offres économiques à inciter les employés à quitter l'entreprise.

Je pense que vous devriez signaler la fuite, et si vous souhaitez garder votre nom en dehors de cette histoire, il existe des moyens de le faire (un compte de messagerie factice, un non courrier papier signé, etc.).

Vous devez immédiatement le signaler à quiconque dans votre organisation est responsable de la protection des données.

Malheureusement, vous n'indiquez pas quelle est votre juridiction, donc je répondrai en fonction sur ma juridiction.

Dans ma juridiction, toute entreprise dépassant une certaine taille doit avoir un délégué à la protection des données désigné. (Si plus de 10 employés traitent régulièrement les informations personnelles par voie électronique.) Ce DPD doit être en mesure de faire rapport directement au PDG et son indépendance doit être garantie. Par exemple. ils ne peuvent pas être licenciés ou réprimandés pour avoir informé les autorités de violations de données dans l'entreprise.

Vous devez immédiatement le signaler à votre DPD. Vous pouvez le faire de manière anonyme (encore une fois, le DPD est protégé de toute réprimande pour ne pas avoir révélé sa source).

Votre entreprise, à son tour, est tenue par la loi de le signaler dans les 72 heures à leur DPD respectif, généralement un représentant du gouvernement ou des forces de l'ordre, sinon ils risquent de lourdes amendes.

Il ne s'agit que des données PII dont vous avez parlé. En ce qui concerne les données financières qui ont été divulguées, d'autres lois et règles peuvent également être enfreintes.

Je ne perds rien si je ne le signale pas, et je pourrais perdre quelque chose si je le fais

Vous pourriez avoir quelque chose à perdre si vous ne le signalez pas…

… mais plus tard, quelqu'un d'autre le fera. S'il y a un audit après le rapport, votre nom peut apparaître dans une liste de personnes qui ont téléchargé le fichier. En conséquence, il peut y avoir des questions sur ce que vous avez fait avec le fichier lorsque vous l'avez téléchargé, et pourquoi vous ne l'avez pas signalé.

Bien sûr, ce n'est pas si grave à moins d'avoir la preuve que vous avez utilisé des données de ce fichier, et si vous n'avez touché le fichier qu'une seule fois, vous pouvez créer quelque chose comme "J'ai accidentellement cliqué sur le mauvais fichier et l'ai supprimé sans le lire quand j'ai réalisé mon erreur".

Mais pourquoi inventer un mensonge quand vous pouvez faire quelque chose que vous attendez de vous, c'est-à-dire le signaler tout de suite?

Personnellement, je le signalerais.

Pensez-y de cette façon.

S'il s'agissait de VOS données, que voudriez-vous qu'il se passe si quelqu'un savait que VOS données avaient été divulguées.

J'ai découvert qu'un employé qui n'est plus avec nous a téléchargé un fichier Excel géant contenant des informations RH dans Slack. Le fichier est accessible à tous les employés de notre Slack et contient les noms de tous les employés actuels et anciens, leurs coordonnées, leurs noms complets, les détenteurs d'options sur actions, les droits aux congés annuels, l'historique des ressources humaines et diverses notes à leur sujet, mais pas les détails de la rémunération. Le fichier est en quelque sorte là et peut être trouvé dans la recherche, mais il n'est joint à aucun message ou publié sur un canal (je ne sais pas comment cela fonctionne).

Dois-je en informer notre CTO?

Oui, vous devez informer votre RSSI ou CTO par écrit.

Dans les secteurs verticaux sur lesquels j'ai travaillé, les options sur actions relèvent de la rémunération des dirigeants et la rémunération des dirigeants est classée comme des données de grande valeur .

La classification de haute valeur comprend les fusions et acquisitions, les litiges en cours, la rémunération des dirigeants, les rapports sur les performances de l'entreprise comme les dépôts non publiés auprès de la SEC, etc.

Les données sur les employés sont généralement classées comme étant de valeur moyenne ou faible Les données. Les données incluent le nom, l'adresse, le numéro de téléphone, le numéro de sécurité sociale, etc.

Et pour ajouter une touche, Slack peut chiffrer les données de telle sorte que seule votre entreprise puisse les déchiffrer, il se peut donc qu'il n'y ait pas de fichier externe fuite du tout. (Je ne connais pas Slack et je n'ai pas effectué d'évaluation de sécurité, donc je ne peux pas dire ce qu'il fait).

Les entreprises se soucient beaucoup si des données de grande valeur sont perdues ou divulguées à cause de un préjudice financier et de réputation potentiel pour l'entreprise, en particulier dans des environnements réglementés comme la finance américaine Aux États-Unis, les entreprises ne se soucient pas autant des fuites de numéros de sécurité sociale ou de comptes bancaires, car il y a peu de risque de les perdre. Même la perte de données de santé est une blague parce que l'HIPPA impose artificiellement de petites limites aux mesures réglementaires.

Je ne sais pas ce qui se passe en Asie, dans l'UE ou dans d'autres pays et régions.

Et gardez à l'esprit qu'aux États-Unis, le risque est démocratisé en répercutant les pertes sur les actionnaires, et la récompense est privatisée par le biais de primes exécutives. La plupart des pertes de données n'affectent pas matériellement l'entreprise ou les dirigeants. Ils ont poussé le risque sur les actionnaires, les abonnés et les consommateurs dont les données sont perdues.

Je n'ai pas d'explication plausible sur la façon dont j'ai trouvé ce fichier (oui, je fouinais notre Slack un week-end pour voir ce que je peux trouver)

Cela n'a pas vraiment d'importance. Vous [espérons] l'avoir trouvé avant un mauvais acteur. Je doute que quiconque vous blâme pour cela.

De plus, nous sommes une entreprise assez petite (moins de 200 personnes), nous n'avons donc pas de politique officielle publiée concernant tout cela.

Oui, c'est assez typique pour les petites entreprises et les entreprises.

C'est une lacune dans les politiques et procédures de votre entreprise, et les dirigeants doivent y remédier. Jusqu'à ce que les dirigeants décident d'y remédier, le mieux que vous puissiez faire est de signaler l'incident au RSSI, au CTO ou à une autre direction.

Si vous êtes intéressé, par US Financial, j'ai travaillé comme architecte de sécurité en danger. J'étais responsable de l'évaluation des systèmes internes et des systèmes des fournisseurs (et des propositions des fournisseurs).

Nous avons fait trois ou quatre choses:

1. Classer les données selon les politiques et procédures de l'entreprise
2. Effectuer une évaluation de sécurité sur le système, en s'assurant que le système peut traiter les données conformément aux politiques et procédures de l'entreprise
3. Fournir des suggestions de modifications pour s'assurer que les données ont été traitées conformément aux politiques et procédures de l'entreprise

Parfois, un fournisseur refusait de mettre un système en conformité avec les politiques et procédures de l'entreprise. Dans ce cas, l'exécutif parrainant l'initiative pourrait dire "Je m'en fiche, je le veux quand même" . Si l'exécutif a dit cela, alors le système et son évaluation de la sécurité ont été envoyés à un comité des risques pour effectuer une analyse détaillée des coûts / avantages et déterminer si l'entreprise devait annuler ma décision. Le comité des risques a eu le dernier mot sur la question.

Les projets qui m'ont donné le plus de mal étaient les applications "Board Pad" comme je les appelais. Tous les dirigeants voulaient se passer de papier et placer les affaires de l'entreprise sur leur iPad pour les réunions du conseil. Et bien sûr, comme ils étaient cadres, ils voulaient effectuer des fusions et acquisitions, des litiges en cours, des rémunérations des dirigeants, des rapports de performance de l'entreprise. Le tout protégé par un code PIN à 4 chiffres, car le développeur, si l'authentification d'Apple était suffisante. Soupir ...

Oui, et faites-le de manière anonyme.

En d'autres termes, je ne perds rien si je ne le signale pas, et je risque de perdre quelque chose si je le fais.

Vous devriez certainement envisager de signaler aux personnes concernées (CTO, HR) et de le faire de manière anonyme. Sur Slack, il est possible de supprimer un message. Si ces informations parviennent aux bonnes personnes, elles peuvent demander à l'affiche de les supprimer. (Je ne sais pas si l'administrateur Slack a également le privilège de supprimer / masquer les messages).

Nous ne semblons pas avoir de méthode pour signaler les choses de manière anonyme.

En cette époque de dépendance aux appareils et services numériques, nous oublions totalement la simplicité des temps anciens. Écrivez simplement des mails d'escargot anonymes aux personnes concernées :) Ne l'écrivez pas à la main, tapez-le et faites-le imprimer pour masquer toute tentative de reconnaissance de l'écriture manuscrite. Cela présente même l'avantage qu'un message numérique peut se perdre dans le bruit, mais un courrier postal est un moyen sûr d'attirer son attention car il devient de plus en plus rare d'en recevoir un.

Dois-je en informer notre directeur technique?

Vous devriez dire à quelqu'un de la direction, qu'il s'agisse du directeur technique, de votre supérieur hiérarchique direct ou de quelqu'un d'autre.

D'un autre côté, je n'ai pas d'explication plausible sur la façon dont j'ai trouvé ce fichier (ouais, j'étais en train de fouiller dans notre Slack un week-end pour voir ce que je pouvais trouver). Je pense aussi que quoi que je dise à l’avenir, les gens l’entendront avec la pensée «oh, ce type a eu accès à nos dossiers d’emploi» au fond de leur tête.

C'est vraiment peu importe comment vous l'avez trouvé et je ne vois aucun intérêt à divulguer le fait que vous l'avez trouvé pendant que vous "fouiniez". Si c'était dans votre entreprise Slack, cela n'était pas suffisamment sécurisé ou surveillé. S'il y a d'autres choses dans votre entreprise Slack de cette nature, et si vous les avez "trébuché" dans Slack, alors le problème réside dans l'implémentation, pas dans le fait que vous les avez trouvés. Je ne comprends pas pourquoi vous pensez que divulguer cela aurait des répercussions négatives pour vous.

En d'autres termes, je ne perds rien si je ne le signale pas, et je pourrais perdre quelque chose si je le fais . Nous ne semblons pas avoir de méthode pour signaler des choses de manière anonyme.

Encore une fois, je ne comprends pas pourquoi vous auriez peur de divulguer cela. Vous n'avez rien fait de mal. Vous avez découvert des informations qui ne sont pas censées être divulguées. Ce n'est pas ta faute. À moins que vous ne nous racontiez pas toute l'histoire. Si vous avez effectivement «piraté» votre entreprise Slack (un canal sécurisé destiné aux RH ou quelque chose du genre), vous devriez craindre des répercussions.

De plus, nous sommes une entreprise assez petite (moins de 200 personnes), nous n'avons donc aucune politique officielle publiée à ce sujet.

Peu importe la taille de votre entreprise, ni si vous avez ou non des politiques spécifiques concernant ce type d'informations. Si ces informations relèvent des lois sur la confidentialité, cela peut constituer une violation de ces lois.

Signalez-le.

À la lumière de ces informations, personne ne va se soucier de votre fouille dans Slack; si les administrateurs système ont fait leur travail, vous ne devriez pas vous inquiéter car vous auriez dû vous voir refuser l'accès à tout ce qui n'était pas dans votre domaine pour ainsi dire.

Si quelque chose vous paraîtra pire si vous ne le signalez pas, car cela soulève la possibilité que vous ayez tenté d'exploiter l'information pour votre propre profit. À tout le moins, cela soulèvera des questions sur la raison pour laquelle vous avez accédé à ce fichier sans déclencher d'alarmes. En d'autres termes, vous ne ressemblerez plus à un spectateur innocent.

Un autre point à considérer, que je vais faire avec une histoire concernant une situation très similaire dans laquelle je me suis retrouvé chez un ancien employeur.

Je fouinais dans notre réseau à la recherche de quelque chose (qui n'avait rien faire avec ce que j'ai trouvé) en cherchant sur la ligne de commande avec une expression régulière. Je ne me souviens même pas de ce que je cherchais, mais j'ai trouvé un fichier qui correspondait en quelque sorte à l'expression régulière, qui était une feuille de calcul contenant tout le monde dans les taux de rémunération de l'entreprise, ainsi que leur taux de facturation (ce que l'entreprise facturait aux clients pour notre temps) et d'autres données peu susceptibles d'être divulguées.

C'était des données très intéressantes, mais je me sentais coupable d'avoir trouvé et parcouru le fichier. Le problème était qu'il n'y avait tout simplement pas beaucoup de personnes dans l'entreprise qui auraient pu trouver le fichier (en regardant), mais ce n'était pas comme s'il était protégé par des ACL ou autre chose, c'était juste là-bas sur un réseau partagé lecteur sans aucune protection particulière (même pas en lecture seule, ou protégé par mot de passe).

Je me suis demandé pendant un moment de savoir si je devais le dire à mon superviseur parce que je ne voulais pas qu'il pense que je fouinais, mais à la fin je lui en ai parlé. Le regard sur son visage lorsque je lui ai montré le fichier était impressionnant, il ne savait clairement pas que ces informations étaient librement accessibles à toute personne ayant accès à ce partage (tout le monde dans l'entreprise). Je me sentais mieux de le lui dire (bien qu'il me licencie plusieurs mois plus tard avec un tas d'autres personnes, mais je ne pense pas qu'ils soient liés). J'ai proposé d'aider notre service informatique à combler l'écart que j'avais trouvé, mais je n'ai jamais eu de réponse.

Alors, un mois ou deux s'écoule encore, et je me suis rendu compte que le fichier que j'avais trouvé n'était pas du tout unique (je savais quel était son nom de fichier, donc quand j'ai vu un fichier similaire plus tard, je reconnu ce que c'était). Ils ont inclus exactement le même fichier dans chaque répertoire de travail, il y avait littéralement des milliers de copies de ce même fichier. Ma douleur a été une perte de temps totale, non seulement les fichiers étaient complètement non protégés, mais ils étaient partout, parfois plusieurs copies dans le même répertoire de travail.

Le fait est que cette feuille de calcul géante qui a été téléchargée peut avoir plusieurs frères et sœurs que vous ne connaissez pas, et cela ne vaut peut-être pas la peine de le signaler.

Je ne vous recommande pas de l'ignorer, mais considérez qu'il y en a peut-être plus à l'histoire que vous ne savez.

Il existe de nombreuses réponses intéressantes qui vous demandent déjà de signaler cette divulgation inappropriée de données, et je suis entièrement d'accord . Vous semblez préoccupé par la sécurité des données, ce qui est formidable, car tout le monde dans une entreprise a un rôle à jouer dans la sécurité des actifs de l'entreprise. Je ne suis pas sûr de votre rôle dans l'entreprise ou de sa culture , mais si votre direction (par exemple: RSSI, CTO, etc.) est intéressée par des commentaires, ma réponse à cette question devrait être utile.

Suggérer le document de votre entreprise, approuver et communiquer à tous les utilisateurs finaux qui auront accès aux données de l'entreprise , la politique de protection de ces données. Pour atténuer les scénarios futurs tels que celui dans lequel vous vous trouvez actuellement, il devrait y avoir des méthodes permettant aux employés de signaler les incidents de sécurité, et une divulgation incorrecte serait certainement un incident.

De plus, il ne semble pas y avoir d'accès est correctement surveillé. Je comprends que votre entreprise est petite, mais la gestion des accès deviendra plus importante à mesure que votre entreprise se développera. Une excellente pratique à adopter serait le principe de l ' accès le moins privilégié , afin que les employés / fournisseurs / stagiaires qui ont besoin d'un accès pour faire leur travail y aient accès.

200 employés, c'est assez grand pour que je sois assez choqué qu'aucune politique n'existe. Mon dernier employeur était une association professionnelle à but non lucratif d'une cinquantaine d'années et j'étais confronté à une situation similaire. Aucune politique, aucune meilleure pratique, rien de documenté, aucune cohérence Quiconque voulait nous attaquer aurait probablement pu le faire sans résistance.

J'en ai pris la responsabilité et j'ai commencé à rédiger des politiques à partager avec mon patron, qui était le vice-président de l'informatique. Techniquement, j'ai été embauché pour me concentrer sur la gestion du site Web de l'entreprise, mais j'ai fini par faire presque tout dans le service informatique. Les gens étaient très choqués de voir à quel point nos systèmes étaient vulnérables et n'avaient jamais envisagé la plupart des risques. Personne ne s'est jamais demandé pourquoi j'en savais autant sur le sujet, mais mon patron a toujours voulu entendre des réponses. Notre administrateur système a déployé des outils de surveillance sur notre serveur de messagerie pour détecter et bloquer la transmission des informations personnelles et cela nous a sauvé au moins un incident où un employé a tenté de se transmettre par courrier électronique toutes les données de paie afin de pouvoir traiter la paie tout en travaillant à domicile.

C'est l'occasion pour vous de prendre les choses en main et d'être un leader, si vous le souhaitez. Je comprends votre appréhension; J'ai été dans des entreprises qui ont été poussées à dévier la responsabilité et à blâmer les autres, malgré nos processus «Agile». J'ai choisi très soigneusement à qui je rendais compte et j'ai fini par dépasser mon supérieur immédiat car il ne se souciait vraiment que des problèmes ne lui revenant d'aucune façon et je devrais passer des heures à expliquer les choses en détail pour qu'il puisse essayer de se microgérer lui-même. sécurité. Si vous êtes dans le genre d'environnement où vous craignez d'être puni pour avoir agi correctement et amélioré l'entreprise, vous n'êtes pas dans un milieu de travail sain et devriez envisager de partir bientôt.

Je passerais en revue votre manuel de l'employé pour tout ce qui est pertinent, préparez une déclaration écrite et soulevez discrètement la question à un superviseur en qui vous avez confiance.