Resim: Cathryn Virginia Şirketinizin cinsel taciz konusundaki berbat sicilini protesto etmek ister misiniz? Sendikalaşmayı düşünüyor musun? İşte Güvenli İşgücü Organizasyonu için Anakart Kılavuzu.Ne yapıp ne yapmamanız gerektiğini veya hangi teknolojiyi kullanıp kullanmamanız gerektiğini düşünmeden önce kendinize şu soruyu sorun: şirketinizi tanıyor musunuz?
Başka bir deyişle, şirketinizin bir geçmişi var mı? Ya da öte yandan, tarihsel olarak işçilerin haklarını savunması mümkün mü? Geleceği tahmin etmek imkansız, ancak neyle karşı karşıya olduğunuza dair genel bir fikre sahip olmak, siber güvenlik profesyonelinin dediği şeyin temelidir. tehdit modelleme . Bu, herhangi bir iyi operasyonel güvenlik veya OPSEC planının temelidir.
Bu çabanın bir parçası olarak, meslektaşlarınızın da nerede durduğunu anlamak iyi olabilir. Microsoft'ta örgütlenen işçilerin dediği gibi: Organizatör arkadaşlarınızı tanıyın!
Bu kılavuzu tek bir cümlede özetleyebilseydik, 'Şirket altyapısından kaçının' olurdu. Bununla bilgisayarları, telefonları, yazıcıları, sohbet yazılımlarını ve e-postayı kastediyoruz. Ancak toplantı odaları, kafeteryalar veya basketbol sahaları gibi fiziksel yerlerde işçi eylemlerini tartışmaktan da kaçının.
Bu kulağa zor gelebilir, ancak organize etmek için şirket altyapısını kullanmak risklidir ve yönetimin yaklaşan organizasyon girişiminiz, açık mektubunuz, işten ayrılmanız veya diğer işçi eylemleriniz hakkında bilgi vermesine neden olabilir. Şirketinizin, bir sendika kurma veya bir tür işçi eylemi düzenleme konusunda herhangi bir gevezelik için internet trafiğini aktif olarak koklaması veya gerçek zamanlı olarak bilgisayarları izlemesi pek olası değildir. Ama hiçbir garanti yok.
Bu, şirketinizin sizi takip etmesinin en kolay yoludur. BT ve yönetimdeki diğer kişilerin kurumsal e-postanıza erişimi olduğunu varsaymalısınız. Ve her gün okumasalar bile, muhtemelen olaydan sonra tarayabilirler. Bu nedenle, ne pahasına olursa olsun kurumsal e-posta kullanmaktan kaçının. Son zamanlarda Google, bazı durumlarda erişim sağlayan çalışanları işten çıkardı. kurumsal takvimler şirketin olağandışı olduğunu düşündü.
Her iş eylemi muhtemelen işçilerin kişisel e-posta adresi ve cep telefonu numarası gibi kişisel iletişim bilgilerini toplamakla başlamalıdır. Bunları iletişim kurmak için kullanın.
ŞİRKET BİLGİSAYARLARINI VEYA BAŞKA CİHAZLARI KULLANMAYIN
Holmes'ün uyardığı gibi, çoğu şirketin çalışanların dizüstü bilgisayarlarına ve hatta belki de kurumsal telefonlarına erişmenin bir yolu vardır. Bu yüzden onları kullanmaktan kaçınmaya çalışın. Şirketin WiFi'sinde kişisel bir bilgisayar kullanmak o kadar tehlikeli değil, ancak mümkünse bundan da kaçının ve evden bağlanın.
Amazon'da örgütlenmeye dahil olan çalışanlar, herkese açık olmayan düzenleme belgelerini ve konuşmaları iş bilgisayarınızdan uzak tutmanızı önerir.
Şirketinizin altyapısından uzak durursanız, organizasyon faaliyetlerinizi güvence altına almak için yapmanız gerekenlerin çoğunu zaten yapmış olursunuz. Ancak, her ihtimale karşı, Slack veya şifrelenmemiş ve hangi verilerin tutulacağı konusunda size fazla kontrol sağlamayan diğer sohbet hizmetlerinden kaçınmaya çalışın. Şirketler, DM'ler de dahil olmak üzere Slack arşivlerini okuma yeteneğine sahiptir. Ayrıca, varsayılan olarak ücretli Slack hesaplarının mesajları süresiz olarak sakladığını da belirtmekte fayda var.
Keybase ve Wire gibi alternatif grup sohbeti uygulamaları, yalnızca iletilen iletilerinizi korumakla kalmaz, aynı zamanda belirli bir süre sonra iletileri kendi kendini imha edecek şekilde ayarlamanıza da olanak tanır. Bu, izlerinizi örtmeye yardımcı olur.
Slack'in otomatik ipucu botundan gizlilik hakkında faydalı bir hatırlatma.
Gazetecileri sendikalaşma dürtünüz veya toplu eyleminiz konusunda uyaran dikkatlice yerleştirilmiş bir sızıntı veya ipucu, amacınıza yardımcı olabilir. Basına sızdıracaksanız, kendini tanıt 'kayıtlı', 'kayıt dışı' ve 'arka planda' terimlerinin ne anlama geldiğiyle.
Bir gazeteciye ulaşırsanız veya onunla konuşursanız, onlara söylediğiniz şeyler varsayılan olarak kayıtlara alınır. Bu, gazetecinin bu bilgileri alıntılayıp kullanabileceği ve adınızla birlikte size atfedebileceği anlamına gelir. 'Kayıt dışı', gazetecinin kendi bilgisi için bu bilgilere sahip olabileceği, ancak başka bir kaynakla teyit etmeden yayınlayamayacağı ve size atfedilemeyeceği anlamına gelir. Bununla birlikte, bu bilgileri almalarına ve bir başkasının bunu kayda geçirmesini sağlamaya çalışmalarına izin verilir. 'Arka planda', farklı insanlar için farklı şeyler ifade eder - bu genellikle muhabirin makalesindeki bilgileri kullanabileceği, ancak size atfedilemeyeceği anlamına gelir. Diğer insanlar bunu 'anonim olarak alıntı yapılabilir' anlamında kullanır. Bilgi paylaşmadan önce bunu muhabirle konuşmak en iyisidir.
Bilgileri anonim olarak paylaşmayı veya bir muhabirle anonim olarak röportaj yapmayı tartışabilirsiniz. Anakart'ta, bizimle konuşmaları onları fiziksel veya profesyonel tehlikeye atacaksa, kaynaklara anonimlik veririz. Muhabirlerimizden, bir kaynağa neden anonimlik verdiğimizi okuyucularımıza bildirmelerini isteriz; kaynak bizimle konuştuğu için işinden kovulabilirse, genellikle anonimlik veririz. Kaynağın kimliğini bileceğiz (çoğunlukla, elimizdeki sorunu bilebilecek durumda olan biriyle konuştuğumuzdan emin olmak için bu bilgilere ihtiyacımız var) ancak bu kişinin kim olduğunu yayınlamayacağız veya başka bir şekilde açıklamayacağız. dır-dir.
Muhabirle net olmak en iyisidir önce bilgilerin nasıl kullanılmasını istediğinizle ilgili herhangi bir şey paylaşırsınız - 'kayıttaki' bir şey söylerseniz, geriye dönük olarak kayıttan çıkaramazsınız. (Bu, birinin kamu yararına olduğunu söylediği bilgilerden geri adım atmamasını, ancak fikrini değiştirmesini sağlamak içindir). Bu koşullar her iki tarafça da kabul edilmelidir, bu nedenle, muhabirler sizinle kayıt dışı olmayı kabul etmediyse, 'kayıt dışı' paylaşmak istediğiniz bilgileri içeren bir grup muhabire ulaşmayın.
Çalışanlar genellikle dahili belgeleri, e-postaları, notları veya diğer şirket materyallerini basınla paylaşmak ister. Bunu yapmanın birkaç yolu vardır. En kolayı, kişisel telefonunuzun kamerasıyla bilgisayarınızın ekranının fotoğrafını çekmek ve çektiğiniz görüntüyü/görüntüleri kaybolan bir mesaj olarak Signal'de paylaşmaktır. Ardından, resmi telefonunuzdan ve muhtemelen gazetecinin numarasını kişilerinizden ve mesaj geçmişinizden silin. SecureDrop'u da kullanabilirsiniz. Anonimlik sizin için önemliyse, sızdırmayı düşündüğünüz şirket e-postalarını, bunun için kovulabileceğinizi düşünüyorsanız, gazetecilere iletmeyin.
Bunların hepsi kulağa çok gibi gelebilir, ancak bu kılavuzdaki taktiklerin çoğu pratikle ikinci doğa haline gelir. Genel siber güvenlik en iyi uygulamalarının uygulanması da önerilir. Daha fazlası için Anakartın Hacklenmeme Rehberine göz atabilirsiniz.
Siber güvenlik podcast'imize abone olun, SİBER .