Immagine: Cathryn Virginia Vuoi protestare contro il pessimo record della tua azienda sulle molestie sessuali? Stai pensando di sindacalizzare? Ecco la guida della scheda madre per l'organizzazione sicura del lavoro.Prima ancora di pensare a cosa dovresti e non dovresti fare, o quale tecnologia dovresti o non dovresti usare, chiediti: conosci la tua azienda?
In altre parole, la tua azienda ha una storia di repressione sindacale, politiche anti-lavoratori o ostilità generale nei confronti dei lavoratori che si organizzano o esprimono preoccupazione? O, d'altro canto, è stato storicamente suscettibile ai lavoratori di far valere i propri diritti? È impossibile prevedere il futuro, ma avere un'idea generale di ciò che stai affrontando è la base di ciò che i professionisti della sicurezza informatica chiamano modellazione delle minacce . Questo è il fondamento di qualsiasi buon piano di sicurezza operativa, o OPSEC.
Come parte di questo sforzo, potrebbe essere utile capire dove si trovano anche i tuoi colleghi. Come hanno detto i lavoratori che si organizzano in Microsoft: conosci i tuoi colleghi organizzatori!
Se potessimo condensare questa guida in una frase, sarebbe: 'Evita le infrastrutture aziendali'. Con ciò intendiamo computer, telefoni, stampanti, software di chat ed e-mail. Ma evita anche di discutere di azioni lavorative in luoghi fisici come sale riunioni, mense o campi da basket.
Può sembrare difficile, ma l'utilizzo dell'infrastruttura aziendale per organizzare è rischioso e può informare la direzione della tua prossima unità organizzativa, lettera aperta, sciopero o altre azioni lavorative. È improbabile che la tua azienda stia annusando attivamente il traffico Internet o monitorando i computer in tempo reale per qualsiasi chiacchiera sulla formazione di un sindacato o sull'organizzazione di qualche tipo di azione sindacale. Ma non ci sono garanzie.
Questo è il modo più semplice per la tua azienda di tenerti sotto controllo. Dovresti presumere che l'IT e altri nella gestione abbiano accesso alla tua email aziendale. E anche se potrebbero non leggerlo tutti i giorni, probabilmente possono esaminarlo dopo il fatto. Quindi evita a tutti i costi di utilizzare la posta elettronica aziendale. Di recente, Google ha licenziato dipendenti che, in alcuni casi, stavano accedendo calendari aziendali che la società ha ritenuto inusuale.
Ogni azione lavorativa dovrebbe probabilmente iniziare con la raccolta delle informazioni di contatto personali dei lavoratori, come un indirizzo e-mail personale e un numero di cellulare. Usa quelli per comunicare.
NON UTILIZZARE COMPUTER AZIENDALI O ALTRI DISPOSITIVI
Come ha avvertito Holmes, la maggior parte delle aziende ha un modo per accedere ai laptop dei lavoratori e forse anche ai loro telefoni aziendali. Quindi cerca di evitare di usarli. Usare un personal computer sul WiFi dell'azienda non è così pericoloso, ma se puoi evita anche quello e connettiti da casa.
I lavoratori coinvolti nell'organizzazione in Amazon suggeriscono di tenere tutti i documenti e le conversazioni organizzative non pubblici fuori dal computer di lavoro.
Se rimani lontano dall'infrastruttura della tua azienda, avrai già fatto la maggior parte di ciò di cui hai bisogno per proteggere le tue attività organizzative. Ma, per ogni evenienza, cerca di evitare Slack o altri servizi di chat che non sono crittografati e non ti danno molto controllo su quali dati vengono conservati. Le aziende hanno la possibilità di leggere gli archivi Slack, inclusi i DM. Vale anche la pena ricordare che, per impostazione predefinita, gli account Slack a pagamento conservano i messaggi a tempo indeterminato.
App di chat di gruppo alternative come Keybase e Wire non solo proteggono i tuoi messaggi in transito, ma ti consentono anche di impostare i messaggi in modo che si autodistruggano dopo un determinato periodo di tempo. Questo aiuta a coprire le tue tracce.
Un utile promemoria sulla privacy dal bot automatico dei suggerimenti di Slack.
Una fuga di notizie o un suggerimento alla stampa che avverta i giornalisti della tua spinta sindacale o azione collettiva può aiutare la tua causa. Se hai intenzione di divulgare alla stampa, familiarizza con te stesso con il significato dei termini 'registrato', 'non registrato' e 'in background'.
Se contatti o parli con un giornalista, le cose che gli dici sono, per impostazione predefinita, registrate. Ciò significa che il giornalista può citare e utilizzare tali informazioni e attribuirle a te con il tuo nome. 'Off the record' significa che il giornalista può avere quell'informazione per sua conoscenza, ma non può pubblicarla senza confermarla con un'altra fonte e non può attribuirla a te. Tuttavia, sono autorizzati a prendere tali informazioni e cercare di convincere qualcun altro a fornirle nel registro. 'Sullo sfondo' significa cose diverse per persone diverse, spesso significa che il giornalista può utilizzare le informazioni nel proprio articolo ma non attribuirle a te. Altre persone lo usano per significare 'può essere citato in modo anonimo'. È meglio parlarne con il giornalista prima di condividere le informazioni.
Puoi discutere di condividere informazioni in modo anonimo o di fare interviste in modo anonimo con un giornalista. In Motherboard, garantiamo l'anonimato alle fonti se il loro parlare con noi le metterebbe in pericolo fisico o professionale. Richiediamo ai nostri giornalisti di dire ai lettori perché stiamo garantendo l'anonimato di una fonte; se la fonte potesse essere licenziata dal loro lavoro per averci parlato, spesso garantiremo l'anonimato. Conosceremo l'identità della fonte—il più delle volte, abbiamo bisogno di queste informazioni per assicurarci di parlare con qualcuno che è in grado di conoscere il problema in questione—ma non pubblicheremo o riveleremo in altro modo chi la persona è.
È meglio essere chiari con il giornalista prima condividi qualsiasi cosa su come desideri che le informazioni vengano utilizzate: se dici qualcosa 'registrato', non puoi cancellarlo retroattivamente dal registro. (Questo per garantire che qualcuno non possa fare marcia indietro sulle informazioni che ha detto che è nell'interesse pubblico, ma cambia idea). Queste condizioni devono essere concordate da entrambe le parti, quindi non contattare un gruppo di giornalisti con informazioni che desideri condividere 'in forma anonima' se quei giornalisti non hanno già accettato di andare in segreto con te.
Spesso i dipendenti desiderano condividere documenti interni, e-mail, promemoria o altri materiali aziendali con la stampa. Ci sono diversi modi per farlo. Il modo più semplice è scattare una foto dello schermo del tuo computer con la fotocamera del tuo telefono personale e condividere l'immagine o le immagini scattate come un messaggio che scompare su Signal. Quindi, elimina l'immagine dal tuo telefono e potenzialmente il numero del giornalista dai tuoi contatti e dalla cronologia dei messaggi. Puoi anche usare SecureDrop. Se l'anonimato è importante per te, non inoltrare email aziendali che intendi divulgare ai giornalisti se ritieni di poter essere licenziato per averlo fatto.
Tutto questo può sembrare molto, ma molte delle tattiche in questa guida diventano una seconda natura con la pratica. Si consiglia inoltre di praticare le migliori pratiche generali di sicurezza informatica. Per ulteriori informazioni, puoi consultare la Guida alla scheda madre per non essere hackerati .
Iscriviti al nostro podcast sulla sicurezza informatica, CYBER .