Las cosas importantes a responder son:
- ¿Qué es lo ético?
- ¿Qué es lo moralmente correcto?
- ¿Qué es lo legal a hacer?
- ¿Tengo que actuar?
- ¿Qué pasaría si no actuara?
Creo que hay un acuerdo general de que fue una decisión correcta (moral y éticamente) notificar al personal de TI local, así como al CERT adecuado.
Ahora que se ha agotado, ¿qué sigue? Probablemente deberíamos ver qué pasaría si te sentaras en tus manos y no hicieras nada más:
- Hiciste lo moralmente correcto de hacer
- Hiciste una acción éticamente sólida
- Está cubierto legalmente, ya que informó el problema
- Alguien más podría encontrar los documentos personales confidenciales
Cuando envío un problema de seguridad, siempre obtengo algo por escrito. Desde mi tiempo en la aplicación de la ley, tuve una fuerte política de CYA, mejor conocida como "cover your a **". No está claro si hizo esto, pero esto lleva a "¿Debo hacer un seguimiento?". No tiene límites para obligar a las personas a desenterrar esta copia de seguridad, pero es posible que desee hacerlo. Aconsejaría hablar directamente con la persona, por correo electrónico, en lugar del CERT. Podría escribir el correo electrónico de esta manera:
Buenas tardes,
Es importante que los dos nos comuniquemos, ya que me llamó la atención que sus archivos personales están en la web.
He notificado al equipo de TI local y esperaba que siguieran con usted, no parece ser el caso.
Recomiendo encarecidamente que hablemos de esto, ya que los documentos (al menos de los nombres de los archivos) parecen ser personales y confidenciales. Respeto su privacidad, y es por eso que le estoy enviando un correo electrónico ahora, ya que alguien no cumplió con su deber de llamarle la atención sobre esto.
Puedes llamarme en XXX XXX XXX ext. XXXX o correo electrónico a [email protected]
Gracias.
Me parece importante no poner demasiada información en el correo electrónico , ya que se refiere a información potencialmente privada , y no sabes quién leerá el correo electrónico. También evite colocar enlaces en correos electrónicos como estos, ya que los sistemas de spam pueden lanzar el mensaje en la carpeta de spam para no volver a ver la luz del día.
Mirando la situación, otra vez no tienes la obligación de hacer una copia de seguridad de todo esto. Por lo que parece, los problemas de privacidad de parches no son su preocupación, no es su trabajo hacer . Sin embargo, por respeto a la persona, usted debería considerar enviarla por correo electrónico o por teléfono, ya que alguien más parece haber fallado en su trabajo. Las únicas dos repercusiones que pueden surgir son:
- Dan las gracias y se ponen a trabajar para solucionarlo ellos mismos
- Se enojan, pensando que has "pirateado" los archivos y lo denuncian.
Con la última opción, si es probable, adjunte una copia de los correos electrónicos que haya enviado para que la persona final sepa que trató de resolverlo.