Myslím si, že nejdůležitější věcí je výchova zaměstnanců k bezpečné práci a k tomu, aby na svěřené technice pouze a jen pracovali. Tomu by měly odpovídat i postihy.
Pokud to jde například u služebních vozů, může to jít také u počítačové techniky. S tím souvisí i omezení soukromí ze strany zaměstnavatele k uživateli-zaměstnanci. Pracovní stroj slouží práci a ničemu jinému.
Jen ať si zaměstnaci brblají... co, ještě krevetky byste chtěli?
Muj skvely pracovni notebook je natolik zabezpeceny (sifrovani, omezeny ucet uzivatele, blokovane porty) ze na nem nepracuju, nemam na to nervy, naladu ani cas. Praci proste vytvarim na svem soukromem pocitaci, pekne v klidu a teprve kdyz potrebuju vystupy odevzdat do firmy, klasicky je vypalim na CD. Doufam, ze se chovam spravne :-) a i kdyby ne, odmitam se podrizovat dle meho nazoru prehnanym omezenim. Nejsem zadny amater, rizika znam a udelal jsem vse pro to, abych se jim vyhnul - ovsem ne za cenu snizeneho uzivatelskeho komfortu.
...omezeny ucet uzivatele, blokovane porty...
to abyste si se zamestnavatelem promluvil, na co vam je takhle zabezpeceny komp.
Muj prispevek se netykal techniky, ale pristupu zamestnancu ke sverenym vecem. U byvaleho zamestnavatele by me nenapadlo otevirat nejake potencionalne nebezpecne prilohy mailu, instalovat jakykoliv software, zatimco u nekterych kolegyn se vecne resila virova nakaza. To bylo na desktopech, jeste jim dat notebook do ruky, no potes koste.
hloupost, dnes se nejedna o viry, ale o wormy. Wormy ziskavaji root privilegia diky deravym a nepatchovanym programum, proto kdyz se do nezaplatovaneho systemu po siti dostane exploit od nektereho z compromissed stroju, jste v haji. Utocnik vetsinou stroj premeni v Zombie, ani si toho nevsimnete a mate tam rootkit, ktery se samozrejme bude automaticky updatovat, takze jeho detekce bude ve vetsine pripadech pro neprogramatora nemozna. Rootkity jsou natolik propracovane, ze se mohou ulozit napriklad do EEPROM pameti zakladni desky...
Abych nezapomnel, zde se muzete podivat na Stealth rootkit pro Vista, optimalni pritel v domacnosti kazdeho BFU. Jak jiste vite, nejprve vznikne exploit (zero day), pote rootkit (muze byt v ten samy den kdy exploit) a zadny Windows user nema sanci se ubranit. V GNU/Linux je SELinux vyvinuty autory algoritmu RSA + mnoho dalsich ochranych prvku proti buffer overflow, apod. Mj. lze uzivat upraveny gcc (resp. upravenou stdlib).
No existuje jeden schůdný scénář. Já nechávám všechny mobilní uživatele přistupovat do firemní sítě jen a jen přes Terminal Server. A to i když sedí ve firmě (mám tam pro ně specielně vytvořenou Wi-FI poskytující přístup pouze do netu a přes DMZ i na TS (libují si i návštěvy, které mohou v zasedačce pohodlně na net ze svých přístrojů)
Má to výhodu že se jim vše tváří stejně ať jsou ve firmě nebo doma....
Na TS zakážu lokální disky a vše je již klasicky pod mojí kontrolou....
Mno, pokud je ntb spravne nastaven, tak user muze delat vse co potrebuje a nepotrebuje na to admin prava. Je fakt, ze na widlich to takto nastavit = nekolik dnu laborovani a konfigurovani, protoze aplikace s necim takovym jaksi nepocitaji.
Osobne tam kde muzu znemoznuju pripojeni jakehokoli HW na kterym nemam uplnou kontrolu, pripadne alespon povazuju takovy HW za inet a podle toho se k nemu v siti chovam = nema k dispozici pristup na 90% interni site. Neni nic horsiho nez idiot s admin pravy na ntb. Takovej clovek je schopen polozit celou firmu. A ze takovych mezi nanagory je jak ....
Coby programátor ve službách státní správy nejsem na svém pracovním desktopu coby administrátor. Na lokálním nemůžu prakticky nic, celý disk C je chráněn proti zápisu včetně adresáře inetpub (znalci IIS vědí...), takže jedinou možností jak rozumně pracovat je přes VNC nebo Vzdálenou polochu připojit se k serveru a pracovat přímo na něm. Samozřejmě je odebraný ovladač ke zvukovce a pro jistotu ještě na proxině zablokována všechna online rádia. Prostě radost; člověk aby se postaral po svém... Dovolím si o sobě tvrdit, že mám větší znalosti než ten, který má Admin práva. Prostě státní správa...
Co tim chtěl básník říci....že jsou v TS chyby - ano ty jsou ve Windows také....nicméně uživatele na TS udržím na uzdě co se týče práv, nemohou si nainstalovat co chtějí, stroj mám pod plnou kontrolou a vím že má nainstalovány veškeré potřebné záplaty, antivir, antispyware atd..... takže mnohem mnohem bezpečnější než cokoliv jiného, navíc i na práci s velkým objemem dat není potřeba žádná superrychlá linka, i když GPRS také není to pravé....
Diskuse nema cenu, proto mam zapujcenou techniku pekne ulozenou v koute a pracuji na svem soukromem pocitaci a soukromem notebooku. Soucasne mam legraci ze svych kolegu, kteri se nonstop rozciluji, ze jim neco nejde. Ja to mam vyreseno :-)
Hm, na TS jsem přihlášen půl dne a upozorňuju, že bych se z toho co chvíli O*J*E*B*A*L!. Síť to nestíhá (pracuje nás tak asi 500), takže občas na klávesníci napíšu Dobrý den a na obrazovce se to objevuje asi jako D (pauza) obr (pauza) ý (pauza) de (pauza) n. Kvůli snížení objemu dat se zobrazení zkriplilo na 256 barev, což má mj. za následek, že PDF musím tisknout, abych si je přečetl - po odrolování stránky se totiž nastaví černé písmo na černém pozadí. Flash v prohlížeči spolehlivě zasekne celý počítač, dokud se nepřehraje, etc.
Z hlediska správy systému a bezpečnosti je to řešení vynikající, omezení typu nic si nenainstaluju ani nepustím CD, jak držkují kolegyně, je mi u zadele, ale ten komfort je jak práce v XPčkách se 128 MB RAM :-(
Děkuju za příspěvek, naprosto přesně vyjadřuje i můj názor. Všude pořád plky o nezabezpečených wifi sítích apod. WEP je na nic, WPA je zbytečný. Ano, bezpečnost končí na internetové bráně a na notebooku na síťové kartě či na portu modemu. Co já vím, kdo sedí v O2 a čím se baví, že. Je ovšem problém vysvětlit BFU, že i když mu Windows vyhrožují, že se chce připojit do "nezabezpečené" bezdrátové sítě, že ten ipsec je daleko bezpečnější než celý microsoft.
asdasd vy vtipalku =) Rootkit pro Vista obchazejici veskere protekce z Redmondu byl uverejnen hned prvni den, co Vista Beta vysla. http://www.eweek.com/article2/0,1759,1999241,00.asp Dnes je jiz novych rootkitu, rovnez obchazejicich veskere amaterske obrany v M$ nespocet.
OK - je to to samé, jako by Vám dali nějakou historickou mašinu s 64MB RAM a na ní XPčka a monitor "kulatý skleněný 640x480"... a naříklal byste, že ty XPčka nestojej za nic.
Ale vážně - jedinej problém je s barevnou hloubkou TrueColor (24bit) je prostě lepší než 16bit a například některé gridy mají aktuální řádek obarvený tak, že je to vidět jenom na TrueColoru... ale to je tak jediné.
Pravda filmy si na tom nepustíte, ale nedělám pro filmové studio ale pro velkoobchodní firmu a ta se bez videa obejde :)
Pokud Vám nastavují 256 barev a máte takovouhle odezvu tlučte admina nebo spíše toho, kdo má na starosti investice do IT. TerminalServer za to nemůže.......
jj, jestli se to chova takto, tlucte IT managora a predevsim financniho reditele/.... admin za to na 99% nemuze, ten je z toho asi zoufalej uplne stejne.
Ne, to nebylo nic vůči adminům ani TS jako takovému, jen povzdech nad tím, jak to funguje v některých firmách. A je to firma veliká a véééélmi zisková, akorát síť mezi pobočkama je hanebná, i když, pravda před 10 lety když to běhalo pod Novellem a stanice v DOS/Win 3.X to byla bomba :-D
Skoro mam pocit, nedelame ve stejne firme ? :D Ze marketingovy oddeleni pretahne rozpocet o desitky M problem neni, ale kdyz chce IT jednotky stovek kKc, maximalne jednotky MKc na hole preziti, tak to je problem kterej se s managorama resi uz rok a ono mezi tim misto na discich ubyva a ubyva .... (tady si predstavte takovou tu klasiku - tikajici hodiny na bombe a svazane ruce ...)
Mam chut se generalniho zeptat, co se stane kdyz nebude 14 dnu fungovat marketingovy a co se stane, kdyz to na 14 dnu zabalej ITci.
Obecně souhlasím, ale doporučuji opatrnost.... Když to zabalej ITci, manageri najdou druhé ITky, tedy šéfa se to netýká... když to zabalí manageri, ITci těžko budou hledat novémanageri, bude to dělat šéf a je to pro něj práce navíc... nesázejte na to, že jste nenahraditelní... bohužel v pracovním procesu jsou všichni nahraditelní (byť přes dočasné ztráty a problé=my pro firmu)...
No zrovna s těmi služebními vozy to není nejlepší příklad. Spousta firem toleruje zaměstancům soukromé jízdy služebním vozem, protože je to vyjde levněji, než jim zvýšit plat.
Protože když si vybírám mezi zaměstnavateli a jeden je v autech strikní a druhý benevolentní, tak kterého si vyberu? Toho striktního pouze pokud mi nabídne vysší plat. A ten plat navíc prostě vyjde dráž, než mít větší náklady na auta (protože ten plat navíc se krvavě daní). Podobně je to s tolerováním soukromých hovorů na firemních mobilech.
Pracovní stroj může (dokud se nedostanete do křížku s finančákem) sloužit i k mimoplatovému odměňování zaměstanců. A jestli hodláte tvrdohlavě tvrdit opak, tak se připravte na nějaké mzdové náklady navíc.
Co se týká notebooků, tak tam je pochopitelně problém s bezpečností (na rozdíl od aut a mobilů, kde individuální selhání neohrozí celý autopark, či mobilní telefonování). A je potřeba dvakrát zvažovat, jestli raději lépe zaplatit zaměstance, aby si koupili počítače vlastní, nebo více platit na správu IT, aby udržely hrozby z notebookama na uzdě. Jenom vás chci upozornit, že směr vaší argumentace je v některých firmách sdílen, ale v některých právě naopak.
Jestli vaši zaměstnanci hodně a rádi konzumují krevetky, tak protlačit je jako výrobní prostředek a dávat je zaměstancům, vůbec není špatný nápad.
P.S. Můj minulý šéf se vyloženě rozčiloval, pokud jsem si osobní věci neřešil v maximální možné míře přes firemní počítače a firemní internet a nezůstával jsem tedy na přesčas. Čili pokud jsem si je po 8 hodinách v práci šel řešit osobně, nebo na soukromém počítači a soukromém připojení :-))
Ten primer byl asi opravdu zvoleny nevhodne, o vztahu zamestnavatel - zamestnanec a jeho nefinancni motivace by se dala rozvinout jiste zajimava a dlouha diskuse, ale nebyla by k tematu clanku.
Dekuji za reakci.
Pokud jde o sluzebni vozy, byl to priklad. Od toho jsou knihy jizd. Tolerance jako motivacni stranka budiz, ale zamestnance zajima hlavne co je na vyplatnici. Tady se rozchazi zajem zamestnance a manazera.
Rad bych ale reagoval k tematu clanku. Zapomnel jste zminit treti moznost, a tou je posileni prevence, predevsim pravidelnym skolenim a take prevzetim castecne odpovednosti zamestnance. Jde o motivaci zamestnancu, aby se sami podileli na bezpecnem pouzivani techniky. Lze tak usetrit rapidne vice, nez resit nasledne problemy s bezpecnosti, ochranou podnikovych dat, nebo platit zvysene naklady IT.
Dostavate do pracovni schranky zavirovane zpravy, spamy
(vy, kteri nesedite za firewaly a zabezpecenymi firemnimy mailservery)?
Premyslejte, kde mohl ziskat spammer vasi emailovou adresu. Nekde na pul cesty od nej k vam je nekdo, kdo nedodrzuje zakladni zasady bezpecnosti pohybu po Internetu. Muze to byt Vas kolega/yne, ktery rozesila hromadne vesele maily, nedostatecne poucena a 'zabezpecena' sekretarka, ktera otevre vse co ji prijde do schranky, atakdale.
Vyresenim problemu neni jen represe nebo dodatecne naklady, ale hlavne prevence.
Já jsem reagoval hlavně na to, že jste zvolil hlavně nevhodný příměr a k tématu jenom okrajově.
Vy v něm ovšem setrváváte. To je právě omyl, že zaměstnance zajímá hlavně to, co je na výplatní pásce. To je důležité, když si chce vzít půjčku, nebo hypotéku, ale jinak zaměstance (po finanční stránce) zajímá hlavně kolik peněz mu z výplaty zbyde.
Pokud někdo bere 20 čistého a jezdí si služebním autem a volá ze služebního telefonu a dělá si soukromé věci na služebním počítači, tak má 20 tisíc na další výdaje. Pokud někdo bere řekněme 23 čistého (což znamená, že jeho šéf na něj platí tak cirka o 6 tisíc víc) a nesmí nic, tak mu po zaplacení provozu auta a mobilu a počítače zůstane méně než tomu prvnímu.
A to nemluvím o tom, že zaměstnance nezajímají jenom peníze, ale i přístup zaměstnavatele k němu (mimo spousty dalších věcí, které tady nemá cenu rozebírat). První případ, prostě znamená, že zaměstnanec nemusí neustále řešit co nesmí, aby neměl průšvih a to se mu pochopitelně líbí víc.
v tom případě máte chybně nastavená bezpečnostní práva - u nás ve firmě byste se s vlastním počítačem do sítě nepřipojil, okamžitě by to navíc vyhlásilo alert a do minuty by k příslušné zásuvce (nebo k příslušnému místu s wifi pokrytím +- 10 metrů) dorazil bezpečák ;)
Mě se líbí, jak bezpečnost je obestřena mnohými mýty. Klidně se připojím do nezabezpečené sítě, klidně budu přes nezabezpečené sítě chodit na internet, klidně na svém NB nechám pracovat rodinné příslušníky. Klidně stáhnu neznámé aplikace. Jak to, že dosud jsem nepřinesl žádný virus?
Pominu-li fakt, že pracuji na Ubuntu (avšak mám tam i Windows na wmvare), a používám SeaMonkey, hlavní důvodem je dobře provedená správa uživatelských účtů. To že manželka má vlastní účet, jenž nemá administrátorské prává je snad asi jasné. Když chytí virus, chytí ho jen ve svém účtu. Nezabezpečenou Wifi klidně použiju, protože důvěrné informace přes ní neputují. Všechny firemní kanály jsou stejně přes šifrovanou VPN. A bežný internet je nebezpečný ať již v podnikové síti, nebo přes Wifi. V podniku končí bezpečí na internetové bráně.