O modelo de ameaça a considerar primeiro em uma denúncia de irregularidades
O modelo de ameaça que deve ser pensado primeiro em uma denúncia de irregularidades
Em uma denúncia de irregularidades, primeiro se cria um modelo de ameaça.
Modelo de ameaça é uma forma de organizar "de quem, o que e por qual rota proteger".
Em uma denúncia de irregularidades, a parte adversa muitas vezes não é um atacante externo, mas a organização a que você pertence. A organização pode ter destinos de distribuição dos materiais, logs de visualização, administração de dispositivos, registros de entrada e saída e histórico de e-mail.
Por isso é necessário pensar com mais cuidado do que em uma postagem anônima comum.
De quem proteger
Primeiro, pense em quem tentaria identificar a pessoa denunciante.
Superior, jurídico, departamento de sistemas de informação, auditoria, direção, empresa externa de investigação e, em alguns casos, autoridades investigadoras. As informações visíveis mudam conforme a parte adversa.
| Outro lado | Informações que pode ver |
|---|---|
| Superior direto | Conteúdo do trabalho, horário de trabalho, quem tinha insatisfação |
| Departamento de sistemas de informação | Logs de dispositivo, histórico de acesso, e-mail, histórico em nuvem |
| Jurídico e auditoria | Materiais distribuídos, pessoas relacionadas, registros de investigação |
| Direção | Autoridade interna, instruções de investigação, decisões disciplinares |
| Empresa externa de investigação | Entrevistas, análise de logs, investigação de pessoas relacionadas |
Se você age mantendo vaga a identidade da parte adversa, erra a força das medidas.
Em uma denúncia de irregularidades, a parte adversa não é simples leitora. É alguém que pode usar autoridade interna, logs, entrevistas, auditoria e resposta jurídica. O superior direto conhece relações humanas e insatisfações. O departamento de sistemas de informação pode ver histórico de dispositivos e de nuvem. Jurídico e auditoria investigam destinos de distribuição de materiais e pessoas relacionadas.
Se você subestima a capacidade da parte adversa, as medidas ficam insuficientes. Por outro lado, se trata todos como adversários de nível estatal, nada pode ser feito. É necessário separar adversários e capacidades realistas.
O que proteger
O alvo de proteção não é apenas o nome.
Acesso aos materiais, horário de envio, fato da consulta, informações de autor do documento, relação com o departamento e reação após a publicação também são alvos de proteção.
| Alvo de proteção | Exemplo concreto |
|---|---|
| Identidade | Nome, departamento, função, local de trabalho |
| Fato do acesso | Registro de abrir, imprimir ou baixar materiais |
| Fato do contato | Com quem e quando você consultou |
| Origem do material | Autor do documento, escopo de distribuição, versão |
| Linha do tempo de ações | Quando viu, quando enviou e quando foi publicado |
Em uma denúncia de irregularidades, às vezes "quem podia agir naquele momento" é mais importante do que "quem tinha o material".
Se o alvo de proteção for apenas o nome real, riscos importantes passam despercebidos. O fato de ter acessado materiais, consultado, impresso em determinado horário, aberto um arquivo e reagido após a publicação também são alvos de proteção. A organização pode procurar não o nome em si, mas "quem tocou nesta informação".
Em uma denúncia de irregularidades, proteja separadamente identidade, ações, materiais, linha do tempo e pessoas relacionadas. Se qualquer um deles vazar, vincula-se a outras informações e estreita o grupo de possíveis denunciantes.
De onde vaza
Pense separando os locais de vazamento.
Sistema interno, dispositivo, nuvem, documento, comunicação, destino de envio, artigo após a publicação. Em todas as etapas há pistas.
| Rota de vazamento | Exemplo |
|---|---|
| Sistema interno | Acesso a arquivos, download, logs de impressão |
| Dispositivo | Conexão USB, captura de tela, histórico de inicialização de aplicativos |
| Documento | Autor, nome da organização, histórico de alterações, comentários |
| Comunicação | E-mail, DM, chamada, IP, horário |
| Destino de envio | Logs do lado receptor, método de armazenamento, método de resposta |
| Após a publicação | Conteúdo do artigo, horário de publicação, tipo de material |
Em uma denúncia de irregularidades, a etapa anterior ao envio pode se tornar perigosa.
Porque procurar, abrir, copiar e imprimir materiais deixa registros nesse momento.
A rota de vazamento não é apenas a rota de envio. Histórico de busca por materiais, visualização em servidor de arquivos, download da nuvem, uso de impressora, fotografia com smartphone, sincronização com nuvem pessoal e salvamento de notas de consulta viram todos pistas.
Além disso, também vaza após a publicação. A especificidade do artigo ou conteúdo denunciado, o momento da publicação, informações adicionais e reações no trabalho viram material para procurar a pessoa denunciante. No modelo de ameaça, separe antes da ação, durante o envio e após a publicação.
Separar a dimensão do risco
Há uma ampla variação nas denúncias de irregularidades.
Consulta interna leve, problema trabalhista, violação legal, contabilidade fraudulenta, denúncia importante de interesse público e informação próxima a segredo de Estado têm riscos totalmente diferentes.
| Risco | Situação | Forma de pensar |
|---|---|---|
| Baixo | Consulta geral no trabalho | Confirmar destino de consulta e tratamento de registros |
| Médio | Problemas trabalhistas ou assédio | Olhar preservação de provas, canal de consulta e risco de retaliação |
| Alto | Contabilidade fraudulenta, violação legal, irregularidade organizacional | Aconselhamento jurídico e seleção do destino de envio são importantes |
| Muito alto | Envolve Estado, segurança pública ou segredos graves | Não agir sem especialistas |
Quanto maior o risco, mais importante é procurar uma via de consulta confiável antes de tocar em ferramentas anônimas.
A dimensão do risco muda não só pelo conteúdo tratado, mas também pela posição da pessoa denunciante. Se é efetiva ou temporária, estudante, estrangeira, se há impacto sobre a família, se está isolada no trabalho, se houve retaliação no passado. Mesmo com a mesma informação, o dano recebido muda conforme a posição.
Em casos de alto risco, é importante não agir sozinho. Procure vias de consulta adequadas à situação, como advogados, organizações de apoio ou veículos de imprensa com experiência em proteção de fontes.
Perguntas para criar um modelo de ameaça
Antes de agir, responda às perguntas a seguir.
| Pergunta | Objetivo |
|---|---|
| Quantas pessoas conhecem esta informação | Confirmar se o grupo de possíveis denunciantes é pequeno |
| Permanece registro de acesso a este material | Olhar o risco de logs internos |
| O destino de envio é confiável | Pensar no tratamento do lado receptor |
| Quem será suspeito se for publicado | Presumir retaliação após a publicação |
| Há vias de consulta legais ou de segurança | Reduzir o perigo de agir por decisão própria |
Se há muitos itens sem resposta, ainda não é o momento de enviar.
É preciso confirmar primeiro.
O modelo de ameaça fica mais fácil de organizar quando é escrito em papel. No entanto, essa própria anotação também exige cuidado. Se deixar detalhes escritos em dispositivo do trabalho, nuvem com nome real ou pasta compartilhada, isso vira novo vestígio. Organize em um ambiente seguro, com o mínimo necessário.
Decidir medidas a partir do modelo de ameaça
O modelo de ameaça não termina em pensar. A partir dele se decidem medidas.
| O que foi entendido | Próxima medida |
|---|---|
| Poucas pessoas acessaram o material | Ajustar conteúdo ou momento de publicação |
| Logs do dispositivo de trabalho são fortes | Procurar uma via de consulta sem aumentar operações no dispositivo |
| Destino de envio é desconhecido | Confirmar operador e política de logs antes do envio |
| Risco legal é grande | Consultar advogado ou canal especializado |
| Afeta familiares ou colegas | Revisar escopo de publicação e conteúdo |
O modelo de ameaça não serve apenas para interromper ações. É uma ferramenta para decidir o que confirmar primeiro, o que reduzir e com quem consultar.
Resumo
Em uma denúncia de irregularidades, primeiro se cria um modelo de ameaça.
Organiza-se de quem proteger, o que proteger, de onde pode vazar e qual é o nível de risco.
A organização pode ter logs de acesso a materiais, operação de dispositivos, nuvem, e-mail, entrada e saída e impressão.
Antes de usar uma ferramenta anônima, verifique a origem da informação, o destino de envio, a inferência após a publicação e vias de consulta legais ou de segurança.
O modelo de ameaça é o mapa inicial de organização de riscos em uma denúncia de irregularidades.
Ferramentas relacionadas
SecureDrop
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
URL : https://securedrop.org/
GlobaLeaks
Recurso externo relacionado a este artigo. Abra apenas se fizer sentido para sua situação e seu modelo de ameaça.
Por que aparece aqui: Pode ajudar com o tema do artigo, mas fica fora do Anonymity Sense e deve ser avaliado antes do uso.
URL : https://globaleaks.org/