Was soll ich tun, nachdem ich Gehaltsinformationen auf dem Dateiserver des Unternehmens gefunden habe?

Wir haben einen lokalen Fileserver vor Ort. Anscheinend hat ein Manager sein Cloud-Speicherkonto mit einem Ordner auf diesem Server synchronisiert (an einem Ort, der nicht sehr schwer zu finden ist). Dieser Ordner ist nun für jeden im Unternehmen zugänglich und enthält eine Excel-Datei namens „Gehälter“, in der die Gehälter der Mitarbeiter einer bestimmten Abteilung aufgelistet sind. Dies ist nicht das erste Mal, dass dieser Manager dies tut - auf demselben Server habe ich eine Datei gefunden, die Feedback und Bewertungen von Mitarbeitern enthält.

Welche Schritte kann oder sollte ich unternehmen? Nichts tun und sicher bleiben? Benachrichtigen Sie die Personalabteilung oder Infosec (wir haben Leute, die sich dafür einsetzen, wenn die DSGVO ansteht)? Soll ich das anonym machen? Oder sollte ich vielleicht direkt den Manager selbst informieren?

Wenn Sie es melden, bereiten Sie sich auf Fragen vor, warum Sie Dateiordner an Orten durchsuchen, die „nicht sehr schwer zu finden“ sind.
Hat Ihr Arbeitgeber eine schriftliche Richtlinie darüber, was zu tun ist, wenn Sie ein solches Problem sehen?
@AffableAmbler Fragen mit ethischen Komponenten können hier zum Thema gehören, wenn sie praktische Fragen stellen. In Arbeitsplatzkontexten gibt es normalerweise erhebliche Überschneidungen zwischen ethischen und professionellen Aspekten. Mehr dazu hier . Beachten Sie, dass es unabhängig davon, ob die Frage zum Thema gehört oder nicht, als schlechter Stil angesehen wird, sie (teilweise) in den Kommentaren zu beantworten.
Tu dasselbe, was du tun würdest, wenn du versehentlich deine Eltern in einer innigen Umarmung gesehen hättest; Tu so, als hättest du es nicht gesehen und sprich nie wieder darüber.

Antworten (4)

Vorsichtig sein

Sie befinden sich hier in gefährlichem Gebiet. Sie haben eine Datei mit dem Namen „Gehälter“ gesehen und entschieden, dass Sie sie öffnen und nachsehen sollten, was darin enthalten ist. Wenn Sie dies INFOSEC melden, ist Ihre Entscheidung, die Datei zu öffnen, wahrscheinlich genauso besorgniserregend wie jeder sorglose Manager, der Dateien im falschen Ordner speichert.

Wenn Sie in Zukunft Dateien entdecken, von denen Sie glauben, dass sie vertrauliche Informationen enthalten könnten, öffnen Sie sie nicht, um tiefer zu graben. Sie haben zu Recht erkannt, dass Sie verpflichtet sind, zur Wahrung der Vertraulichkeit dieses Dokuments beizutragen, aber Sie haben diese Vertraulichkeit kompromittiert, als Sie die Akte geöffnet haben.

Wenn dies das nächste Mal passiert, prüfen Sie die Sicherheitseigenschaften der Datei, anstatt die Datei zu öffnen, um die Gehälter anzuzeigen, und benachrichtigen Sie den "Dateieigentümer" . Wenn Sie damit nicht vertraut sind, ist es einfacher, das Problem Ihrer IT-Abteilung oder Ihrem Helpdesk zu melden und sie die Dinge von dort aus erledigen zu lassen.

In diesem Fall würde ich den Manager kontaktieren, der die Datei gespeichert hat, und ihm mitteilen, dass Sie den Dateinamen gesehen haben und besorgt über eine mögliche Offenlegung sind. Lassen Sie ihn sich von dort aus darum kümmern.

Wenn Sie ein Muster fahrlässigen Verhaltens in der Zukunft sehen, ist es Ihre Pflicht, das Problem an INFOSEC zu melden, aber Sie müssen auch Ihre eigene Nase sauber halten.

Hier ist definitiv Vorsicht geboten. Das Anzeigen dieser Informationen könnte dazu führen, dass jemand gefeuert wird.
+1 Die Zeiten von "Wenn du nicht kaputt machst oder nimmst, ist es okay" sind lange vorbei. Tolle, durchdachte Beratung.

Es könnte eine Falle sein

Machen Sie sich bewusst, dass Sie hier möglicherweise bereits in den Honeypot geraten sind, und wenn Sie dies nicht melden, müssen Sie möglicherweise immer noch schwierige Fragen beantworten, z. B. warum Sie die Datei geöffnet haben.

Infosec liebt es, solche Dinge zu tun, egal ob es eine CD mit der Aufschrift „Salaries“ in einem offenen Bereich ablegt oder vielleicht in diesem Fall ein Dokument an einem leicht zu findenden Ort hinterlässt. Die Idee hinter dem Honeypot ist, dass Sie etwas Erstrebenswertes sehen und dann etwas tun, was Sie nicht sollten (Öffnen dieser Datei). Dies ist eine große Schwachstelle für Unternehmen, da Sie leicht sozial manipuliert werden können, um Ihr Passwort preiszugeben und Ihr Unternehmen angreifen zu lassen.

In Ihrem speziellen Fall mag dies keine Falle sein, da Sie tatsächliche Gehaltsinformationen gesehen haben, aber Sie sollten vorgewarnt sein, dass nicht alles so ist, wie es scheint.

Warum die Ablehnung? Beste Antwort hier!
weil es keine Falle ist, da Gehaltsangaben dabei waren.
Und Sie wissen, dass diese Informationen korrekt und gültig sind ... wie? @bharal
Nun, er fragte danach. außerdem kann er wahrscheinlich mit seinem eigenen Gehalt vergleichen

Melden Sie demjenigen, der die Berechtigungen für die Ordner auf diesem Server verwaltet, dass dieser Ordner von jedem gelesen werden kann und höchstwahrscheinlich nicht sein sollte. Nicht näher ausführen. Lassen Sie sie das von dort nehmen und entfernen Sie sich von dieser Angelegenheit.
Sofern Ihre Firma keine speziellen Richtlinien und Prozesse in Bezug auf mögliche interne Informationslecks anwendet (nach Ihrer Beschreibung nicht sehr wahrscheinlich), könnte die technische Person die Berechtigungen einfach stillschweigend reparieren und damit fertig sein, insbesondere wenn es ihre Schuld war (auch indirekt).

Nach Ihrer Beschreibung zu urteilen, ist es höchst unwahrscheinlich, dass sie sehen können, dass Sie die Datei geöffnet haben. Als IT-Profi kann ich bestätigen, dass Dateizugriffsverfolgungsfunktionen eine PINA sind, mit der man arbeiten kann und die Systemressourcen verschlingt, wie es niemanden etwas angeht. Daher werden sie nur in Hochsicherheitsumgebungen aktiviert, wo dies unbedingt erforderlich ist. Wenn Ihre Umgebung so wäre, hätte dieser Manager diesen Ordner nicht erstellen und die Cloud-Synchronisierung einrichten können, ohne dass infosec ihn überhaupt überprüft und autorisiert hätte (und Sie würden auch nichts davon wissen).

Ebenso ist es aus dem gleichen Grund praktisch unmöglich, dass es sich um eine Art Köder oder ein Gedankenspiel eines lokalen Columbo handelt. Besonders angesichts der früheren ähnlichen Vorfälle, an denen dieselbe Person beteiligt war, die in jeder Hinsicht legitim erscheinen.

In einem früheren Leben habe ich ein Programm geschrieben/unterstützt, das zur Berechnung von Gehältern und Prämien für Mitarbeiter verwendet wurde. Dafür musste ich während der Gehaltsüberprüfungssaison einen Feed von der Personalabteilung erhalten. Die Datei sollte maskierte/verschlüsselte Felder haben, die in meinem Programm entpackt wurden und nur von einer Reihe von Benutzern und ihrer Zugriffsebene angezeigt werden konnten.

Vor einem Jahr explodierte das Programm beim Importieren. Es stellte sich heraus, dass der Personalsachbearbeiter, der die Daten in diesem Jahr abgerufen hat, nicht das geschriebene Programm verwendet hat (das die Daten verschlüsselt hat), sondern stattdessen ein Peoplesoft SQR ausgeführt hat, das die Daten in einfach lesbaren ASCII-Text umgewandelt hat. Als ich die Akte öffnete, um nachzuforschen, konnte ich das aktuelle Gehalt aller sehen.

Ich habe sofort meinen Vorgesetzten informiert. INFOSEC und HR wurden benachrichtigt. Mein Vorgesetzter hat die Geschäftsleitung benachrichtigt. Dann wurde die CD, auf die die Daten geschrieben wurden, von meinem Vorgesetzten in ein sicheres Entsorgungssystem gelegt. Dies hatte einige große Auswirkungen, aber da wir (ich und mein Chef) unsere Hintern bedeckten, waren es andere (die Personalabteilung), die diszipliniert waren.

Sie können hier nicht zu sicher sein. Benachrichtigen Sie Ihren Chef.

Ein wesentlicher Unterschied hier: Sie waren BERECHTIGT, sich diese Daten anzusehen. Das OP war es nicht.
Eigentlich war ich es nicht. Deshalb wurde er maskiert.
Ich verstehe Sie beide, und deshalb fühle ich mich gezwungen, eine Brücke über die Kluft des Verständnisses zu bauen. Bitte verzeihen Sie mir, dass ich mich in die Nase gestoßen habe, aber was @WesleyLong sagen wollte, ist, dass Sie autorisiert waren, die Datei zu öffnen. Ihre Entdeckung der unverschlüsselten Daten ist nicht auf Ihr unangemessenes Verhalten zurückzuführen. Im Fall von OP wird seine Entscheidung, die Datei zu öffnen, wahrscheinlich ein schlechtes Licht auf ihn werfen, während Ihre Entscheidung, die Datei zu öffnen, erwartet wurde.
@Lumberjack - du hast recht. Ich hätte wahrscheinlich sagen sollen, dass bednarjm berechtigt war, auf die bereitgestellte Datei zuzugreifen, während das OP nicht berechtigt war, auf die von ihm entdeckte Datei zuzugreifen.
scheint nur eine Anekdote zu sein?
Was soll ich tun, nachdem ich Gehaltsinformationen auf dem Dateiserver des Unternehmens gefunden habe?
AntwortenHierDatenschutz-Bestimmungen1y, 0v