Imagem: Cathryn Virginia Você quer protestar contra o histórico de baixa qualidade da sua empresa sobre assédio sexual? Você está pensando em se sindicalizar? Aqui está o Guia da placa-mãe para a organização segura do trabalho.Antes mesmo de pensar no que você deve e não deve fazer, ou que tecnologia deve ou não usar, pergunte-se: você conhece sua empresa?
Em outras palavras, sua empresa tem um histórico de quebra de sindicatos, políticas anti-trabalhadores ou hostilidade geral em relação aos trabalhadores que se organizam ou expressam preocupação? Ou, por outro lado, tem sido historicamente receptivo aos trabalhadores que defendem seus direitos? É impossível prever o futuro, mas ter uma ideia geral do que você está enfrentando é a base do que o profissional de segurança cibernética chama modelagem de ameaça . Esta é a base de qualquer bom plano de segurança operacional - ou OPSEC.
Como parte desse esforço, pode ser bom descobrir a posição de seus colegas também. Como os trabalhadores organizadores da Microsoft colocaram: Conheça seus colegas organizadores!
Se pudéssemos condensar este guia em uma frase, seria, 'Evite a infraestrutura da empresa.' Com isso, queremos dizer computadores, telefones, impressoras, software de bate-papo e e-mail. Mas também evite discutir ações trabalhistas em locais físicos como salas de reunião, refeitórios ou quadras de basquete.
Isso pode parecer difícil, mas usar a infraestrutura da empresa para organizar é arriscado e pode alertar a gerência sobre seu próximo esforço de organização, carta aberta, greve ou outra ação trabalhista. É improvável que sua empresa esteja farejando ativamente o tráfego da Internet ou monitorando computadores em tempo real para qualquer conversa sobre a formação de um sindicato ou organização de algum tipo de ação trabalhista. Mas não há garantias.
Essa é a maneira mais fácil de sua empresa manter o controle sobre você. Você deve presumir que a TI e outras pessoas na administração têm acesso ao seu e-mail corporativo. E mesmo que eles não leiam todos os dias, provavelmente poderão vasculhar depois do fato. Portanto, evite usar e-mail corporativo a todo custo. Recentemente, o Google demitiu funcionários que, em alguns casos, acessavam calendários corporativos que a empresa considerou incomum.
Cada ação trabalhista provavelmente deve começar com a coleta de informações de contato pessoal dos trabalhadores, como um endereço de e-mail pessoal e número de telefone celular. Use-os para se comunicar.
NÃO USE COMPUTADORES DA EMPRESA OU OUTROS DISPOSITIVOS
Como Holmes alertou, a maioria das empresas tem uma maneira de acessar os laptops dos funcionários e talvez até mesmo seus telefones corporativos. Portanto, tente evitar usá-los. Usar um computador pessoal no WiFi da empresa não é tão perigoso, mas se você puder, evite isso também e conecte-se de casa.
Os trabalhadores envolvidos na organização na Amazon sugerem manter todos os documentos de organização não públicos e conversas fora do seu computador de trabalho.
Se você ficar longe da infraestrutura de sua empresa, já terá feito a maior parte do que precisa para proteger suas atividades de organização. Mas, por precaução, tente evitar o Slack ou outros serviços de chat que não são criptografados e não oferecem muito controle sobre quais dados são retidos. As empresas podem ler arquivos do Slack, incluindo DMs. Também vale a pena mencionar que, por padrão, as contas pagas do Slack retêm mensagens indefinidamente.
Aplicativos alternativos de bate-papo em grupo, como Keybase e Wire, não apenas protegem suas mensagens em trânsito, mas também permitem que você defina as mensagens para se autodestruir após um determinado período de tempo. Isso ajuda a cobrir seus rastros.
Um lembrete útil sobre a privacidade do bot de dicas automatizado do Slack.
Um vazamento ou dica cuidadosamente colocado para a imprensa alertando os jornalistas sobre sua campanha sindical ou ação coletiva pode ajudar em sua causa. Se você vazar para a imprensa, Familiarize-se com o que significam os termos 'oficialmente', 'não oficialmente' e 'em segundo plano'.
Se você entrar em contato ou falar com um jornalista, as coisas que você diz a ele são, por padrão, registradas. Isso significa que o jornalista pode citar e usar essas informações e atribuí-las a você com o seu nome. 'Não registrado' significa que o jornalista pode obter essas informações para seu próprio conhecimento, mas não pode publicá-las sem confirmá-las com outra fonte e eles não podem atribuí-las a você. Eles têm permissão para pegar essas informações e tentar fazer com que outra pessoa as forneça no registro, no entanto. 'No plano de fundo' significa coisas diferentes para pessoas diferentes - geralmente significa que o repórter pode usar as informações em seu artigo, mas não atribuí-las a você. Outras pessoas usam para significar 'pode ser citado anonimamente'. É melhor conversar sobre isso com o repórter antes de compartilhar informações.
Você pode discutir o compartilhamento de informações anonimamente ou fazer entrevistas anonimamente com um repórter. No Motherboard, concedemos anonimato às fontes se o facto de falarem connosco as colocar em perigo físico ou profissional. Exigimos que nossos repórteres digam aos leitores por que estamos concedendo anonimato a uma fonte; se a fonte puder ser demitida do emprego por falar conosco, geralmente concederemos o anonimato. Saberemos a identidade da fonte - na maioria das vezes, precisamos dessas informações para garantir que estamos falando com alguém que está em posição de saber sobre o problema em questão - mas não vamos publicar ou revelar quem é a pessoa é.
É melhor ser claro com o repórter antes você compartilha qualquer coisa sobre como deseja que as informações sejam usadas - se você disser algo 'no registro', não poderá retirá-lo retroativamente do registro. (Isso é para garantir que alguém não possa recuar nas informações que disse ser do interesse público, mas sobre as quais mudar de ideia). Essas condições devem ser acordadas por ambas as partes, portanto, não entre em contato com um grupo de repórteres com informações que você deseja compartilhar 'não oficialmente' se esses repórteres ainda não concordaram em ir oficialmente com você.
Freqüentemente, os funcionários desejam compartilhar documentos internos, e-mails, memorandos ou outros materiais da empresa com a imprensa. Existem várias maneiras de fazer isso. O mais fácil é tirar uma foto da tela do seu computador com a câmera do seu telefone pessoal e compartilhar a (s) imagem (ns) tirada como uma mensagem que desaparece no Signal. Em seguida, exclua a imagem de seu telefone e, potencialmente, o número do jornalista de seus contatos e histórico de mensagens. Você também pode usar SecureDrop. Se o anonimato for importante para você, não encaminhe e-mails da empresa que você pretende vazar para os jornalistas se achar que pode ser demitido por isso.
Isso tudo pode parecer muito, mas muitas das táticas neste guia se tornam uma segunda natureza com a prática. Também é recomendável praticar as melhores práticas gerais de segurança cibernética. Para obter mais informações, você pode verificar o Guia da placa-mãe para não ser hackeado.
Assine nosso podcast de segurança cibernética, CYBER .