Imatge: Cathryn Virginia Voleu protestar contra el mal historial de la vostra empresa sobre assetjament sexual? Esteu pensant en sindicalitzar-vos? Aquí teniu la Guia de la placa base per organitzar treballs segurs.Abans, fins i tot, de pensar què heu de fer i què no, o quina tecnologia heu d’utilitzar o no, pregunteu-vos: coneixeu la vostra empresa?
Dit d’una altra manera, la vostra empresa té antecedents de destrosses sindicals, polítiques contra els treballadors o antipatia general envers els treballadors que organitzen o expressen preocupació? O, d'altra banda, històricament ha estat susceptible que els treballadors defensin els seus drets? És impossible preveure el futur, però tenir una idea general de què us enfronta és la base del que anomenen els professionals de la ciberseguretat. modelatge d'amenaces . Aquest és el fonament de qualsevol pla de seguretat operativa o OPSEC.
Com a part d’aquest esforç, pot ser bo esbrinar també la ubicació dels companys. Com deien els treballadors que organitzaven a Microsoft: coneixeu els vostres companys organitzadors.
Si poguéssim condensar aquesta guia en una frase, seria: 'Eviteu la infraestructura de l'empresa'. Amb això ens referim a ordinadors, telèfons, impressores, programari de xat i correu electrònic. Però també eviteu discutir accions laborals en llocs físics com sales de reunions, cafeteries o pistes de bàsquet.
Pot semblar difícil, però utilitzar la infraestructura de l’empresa per organitzar-se és arriscat i pot desaconsellar la direcció sobre la vostra propera unitat d’organització, carta oberta, sortida o qualsevol altra acció laboral. És poc probable que la vostra empresa estigui detectant activament el trànsit d’Internet o monitoritzant els equips en temps real per tal de parlar de formar un sindicat o d’organitzar algun tipus d’acció laboral. Però no hi ha garanties.
Aquesta és la manera més senzilla de controlar la vostra empresa. Haureu de suposar que TI i altres administradors tenen accés al vostre correu electrònic corporatiu. I fins i tot si no el llegeixen cada dia, probablement ho puguin pentinar després del fet. Així que eviteu utilitzar el correu electrònic corporatiu a tota costa. Recentment, Google va acomiadar empleats als quals, en alguns casos, hi accedien calendaris corporatius que l’empresa va considerar inusual.
Totes les accions laborals probablement haurien de començar recollint la informació de contacte personal dels treballadors, com ara una adreça electrònica personal i un número de telèfon mòbil. Utilitzeu-les per comunicar-vos.
NO USEU ORDINADORS DE L’EMPRESA O ALTRES DISPOSITIUS
Com va advertir Holmes, la majoria de les empreses tenen una manera d’accedir als ordinadors portàtils dels treballadors i potser fins i tot als seus telèfons corporatius. Així que intenteu evitar utilitzar-los. L’ús d’un ordinador personal al WiFi de l’empresa no és tan perillós, però si podeu, eviteu-ho també i connecteu-vos des de casa.
Els treballadors que participen en l’organització d’Amazon suggereixen que no es conservin documents i converses d’organització no públics de l’ordinador de la feina.
Si us mantingueu allunyat de la infraestructura de la vostra empresa, ja haureu fet la major part del que necessiteu per protegir les vostres activitats d’organització. Però, per si de cas, intenteu evitar Slack o altres serveis de xat que no estiguin xifrats i que no us donin molt control sobre quines dades es conserven. Les empreses tenen la capacitat de llegir els arxius de Slack, inclosos els DM. També val la pena esmentar que, per defecte, els comptes Slack de pagament conserven els missatges de manera indefinida.
Les aplicacions de xat en grup alternatives, com ara Keybase i Wire, no només protegeixen els vostres missatges en trànsit, sinó que també us permeten configurar els missatges perquè s’autodestrueixin després d’un temps determinat. Això ajuda a cobrir les vostres pistes.
Un recordatori útil sobre la privadesa del bot de punta automatitzat de Slack.
Una filtració o consell acuradament posat a la premsa que alerti als periodistes de la vostra unió sindical o acció col·lectiva pot ajudar la vostra causa. Si voleu filtrar a la premsa, familiaritzeu-vos amb el que signifiquen els termes 'al registre', 'fora del registre' i 'al fons'.
Si contacteu amb un periodista o parleu amb ell, les coses que li dieu apareixen, per defecte, en el registre. Això significa que el periodista pot citar i utilitzar aquesta informació i atribuir-la amb el seu nom. 'Fora del registre' significa que el periodista pot tenir aquesta informació pel seu propi coneixement, però no pot publicar-la sense confirmar-la amb cap altra font i no pot atribuir-la a vostè. Tanmateix, se'ls permet prendre aquesta informació i intentar que algú altre la proporcioni al registre. 'En segon pla' significa coses diferents per a diferents persones; sovint vol dir que l'informador pot utilitzar la informació del seu article, però no us la pot atribuir. Altres persones el fan servir per significar 'es pot citar de forma anònima'. És millor parlar-ne amb el periodista abans de compartir informació.
Podeu parlar de compartir informació de manera anònima o fer entrevistes de forma anònima amb un periodista. A Motherboard, concedim anonimat a les fonts si el fet de parlar-nos els posaria en perill físic o professional. Necessitem que els nostres periodistes expliquin als lectors per què concedim l’anonimat d’una font; si es pot acomiadar la font del seu lloc de treball per parlar amb nosaltres, sovint donarem anonimat. Coneixerem la identitat de la font; amb freqüència, necessitem aquesta informació per assegurar-nos que estem parlant amb algú que estigui en condicions de conèixer el tema que ens ocupa, però no publicarem ni revelarem de cap altra manera qui és la persona és.
El millor és tenir-ho clar amb el periodista abans compartiu qualsevol cosa sobre com voleu que s'utilitzi la informació: si dieu alguna cosa 'al registre', no el podreu retirar retroactivament del registre. (Es tracta d'assegurar-se que algú no pugui retrocedir sobre la informació que ha dit que és d'interès públic, però canvia d'opinió). Ambdues parts han d’acordar aquestes condicions, de manera que no contacteu amb un grup de periodistes amb la informació que vulgueu compartir 'fora del registre' si aquells periodistes no han acceptat ja sortir del registre amb vosaltres.
Sovint, els treballadors volen compartir documents interns, correus electrònics, notes o altres materials de l’empresa amb la premsa. Hi ha diverses maneres d’aconseguir-ho. El més fàcil és fer una foto de la pantalla de l'ordinador amb la càmera del telèfon personal i compartir les imatges que feu com a missatge que desapareix a Signal. A continuació, suprimiu la imatge del telèfon i, possiblement, el número del periodista dels vostres contactes i historial de missatges. També podeu utilitzar SecureDrop. Si l’anonimat és important per a vosaltres, no envieu els correus electrònics de la companyia que vulgueu filtrar als periodistes si creieu que us podrien acomiadar per fer-ho.
Tot plegat pot semblar molt, però moltes de les tàctiques d’aquesta guia esdevenen de segona naturalesa amb la pràctica. També es recomana practicar les millors pràctiques generals de ciberseguretat. Per obtenir més informació, podeu consultar la Guia de la placa base per no ser piratejat.
Subscriviu-vos al nostre podcast de ciberseguretat, CIBER .