Imagen: Cathryn Virginia ¿Quiere protestar por el historial de mierda de su empresa en materia de acoso sexual? ¿Estás pensando en sindicalizarte? Aquí está la Guía de la placa base para una organización laboral segura.Antes incluso de pensar en lo que debe y no debe hacer, o qué tecnología debe o no debe usar, pregúntese: ¿conoce su empresa?
En otras palabras, ¿su empresa tiene un historial de represión sindical, políticas anti-trabajadores o hostilidad general hacia los trabajadores que se organizan o expresan preocupación? O, por otro lado, ¿ha sido históricamente susceptible de que los trabajadores hablen por sus derechos? Es imposible anticipar el futuro, pero tener una idea general de a qué te enfrentas es la base de lo que llaman los profesionales de la ciberseguridad modelado de amenazas . Ésta es la base de cualquier buen plan de seguridad operacional o de OPSEC.
Como parte de este esfuerzo, también puede ser bueno averiguar cuál es la posición de sus colegas. Como dicen los trabajadores que se organizan en Microsoft: ¡Conozca a sus compañeros organizadores!
Si pudiéramos condensar esta guía en una oración, sería: 'Evite la infraestructura de la empresa'. Con eso nos referimos a computadoras, teléfonos, impresoras, software de chat y correo electrónico. Pero también evite discutir acciones laborales en lugares físicos como salas de reuniones, cafeterías o canchas de baloncesto.
Eso puede parecer difícil, pero usar la infraestructura de la empresa para organizarse es arriesgado y puede alertar a la gerencia sobre su próxima campaña de organización, carta abierta, huelga u otra acción laboral. Es poco probable que su empresa esté rastreando activamente el tráfico de Internet o monitoreando las computadoras en tiempo real en busca de conversaciones sobre la formación de un sindicato o la organización de algún tipo de acción laboral. Pero no hay garantías.
Esta es la forma más fácil para que su empresa lo controle. Debe asumir que TI y otros en la administración tienen acceso a su correo electrónico corporativo. E incluso si no lo leen todos los días, probablemente puedan revisarlo después del hecho. Por lo tanto, evite a toda costa el uso del correo electrónico corporativo. Recientemente, Google despidió a empleados que, en algunos casos, estaban accediendo calendarios corporativos que la empresa consideró inusual.
Cada acción laboral probablemente debería comenzar con la recopilación de la información de contacto personal de los trabajadores, como una dirección de correo electrónico personal y un número de teléfono celular. Úselos para comunicarse.
NO USE COMPUTADORAS DE LA COMPAÑÍA U OTROS DISPOSITIVOS
Como advirtió Holmes, la mayoría de las empresas tienen una forma de acceder a las computadoras portátiles de los trabajadores y tal vez incluso a sus teléfonos corporativos. Así que trata de evitar usarlos. Usar una computadora personal en el WiFi de la empresa no es tan peligroso, pero si puede, evítelo también y conéctese desde casa.
Los trabajadores involucrados en la organización en Amazon sugieren mantener los documentos y conversaciones de organización no públicos fuera de su computadora de trabajo.
Si se mantiene alejado de la infraestructura de su empresa, ya habrá hecho la mayor parte de lo que necesita para proteger sus actividades de organización. Pero, por si acaso, intente evitar Slack u otros servicios de chat que no estén encriptados y no le brinden mucho control sobre los datos que se retienen. Las empresas tienen la capacidad de leer archivos de Slack, incluidos los mensajes directos. También vale la pena mencionar que, de forma predeterminada, las cuentas de pago de Slack retienen los mensajes de forma indefinida.
Las aplicaciones alternativas de chat grupal, como Keybase y Wire, no solo protegen sus mensajes en tránsito, sino que también le permiten configurar los mensajes para que se autodestruyan después de un período de tiempo determinado. Esto ayuda a cubrir sus huellas.
Un útil recordatorio sobre la privacidad del bot de sugerencias automatizado de Slack.
Una filtración o información cuidadosamente colocada a la prensa que advierta a los periodistas de su campaña sindical o acción colectiva puede ayudar a su causa. Si va a filtrar a la prensa, familiarízate con lo que significan los términos 'en el registro', 'extraoficialmente' y 'en segundo plano'.
Si se comunica con un periodista o habla con él, las cosas que le diga quedarán, de forma predeterminada, en el registro. Esto significa que el periodista puede citar y usar esa información y atribuírtela con tu nombre. 'Off the record' significa que el periodista puede tener esa información para su propio conocimiento, pero no puede publicarla sin confirmarla con otra fuente, y no puede atribuírsela a usted. Sin embargo, se les permite tomar esa información e intentar que alguien más la proporcione en el registro. 'En segundo plano' significa cosas diferentes para diferentes personas; a menudo significa que el periodista puede usar la información de su artículo, pero no atribuírsela a usted. Otras personas lo usan para significar 'se puede citar de forma anónima'. Es mejor hablar de esto con el reportero antes de compartir información.
Puede discutir el intercambio de información de forma anónima o hacer entrevistas de forma anónima con un periodista. En Motherboard, otorgamos a las fuentes el anonimato si hablar con nosotros las pondría en peligro físico o profesional. Exigimos a nuestros reporteros que les digan a los lectores por qué otorgamos anonimato a una fuente; Si la fuente puede ser despedida de su trabajo por hablar con nosotros, a menudo le concederemos el anonimato. Conoceremos la identidad de la fuente; la mayoría de las veces, necesitamos esta información para asegurarnos de que estamos hablando con alguien que esté en condiciones de conocer el problema en cuestión, pero no publicaremos ni revelaremos quién es la persona. es.
Es mejor ser claro con el reportero antes de comparte cualquier cosa sobre cómo desea que se use la información; si dice algo 'en el registro', no puede eliminarlo retroactivamente del registro. (Esto es para asegurar que alguien no pueda dar marcha atrás en la información que ha dicho que es de interés público, pero que cambie de opinión). Ambas partes deben acordar estas condiciones, por lo que no se acerque a un grupo de reporteros con información que desea compartir 'extraoficialmente' si esos reporteros aún no han acordado hacerlo extraoficialmente.
A menudo, los trabajadores desean compartir documentos internos, correos electrónicos, notas u otros materiales de la empresa con la prensa. Hay varias formas de hacerlo. Lo más fácil es tomar una foto de la pantalla de su computadora con la cámara de su teléfono personal y compartir las imágenes que toma como un mensaje que desaparece en Signal. Luego, elimine la imagen de su teléfono y posiblemente el número del periodista de sus contactos y del historial de mensajes. También puede utilizar SecureDrop. Si el anonimato es importante para usted, no reenvíe los correos electrónicos de la empresa que tenga la intención de filtrar a los periodistas si cree que podría ser despedido por hacerlo.
Todo esto puede parecer mucho, pero muchas de las tácticas de esta guía se convierten en algo natural con la práctica. También se recomienda practicar las mejores prácticas generales de ciberseguridad. Para obtener más información, puede consultar la Guía de la placa base para no ser pirateado.
Suscríbase a nuestro podcast de ciberseguridad, CIBER .