Názory k článku Rizikové chování mobilních zaměstnanců

:-)))))))))))))))))))))))))))))))))))))))))))))))

v tom případě máte chybně nastavená bezpečnostní práva - u nás ve firmě byste se s vlastním počítačem do sítě nepřipojil, okamžitě by to navíc vyhlásilo alert a do minuty by k příslušné zásuvce (nebo k příslušnému místu s wifi pokrytím +- 10 metrů) dorazil bezpečák ;)

Obecně souhlasím, ale doporučuji opatrnost.... Když to zabalej ITci, manageri najdou druhé ITky, tedy šéfa se to netýká... když to zabalí manageri, ITci těžko budou hledat novémanageri, bude to dělat šéf a je to pro něj práce navíc... nesázejte na to, že jste nenahraditelní... bohužel v pracovním procesu jsou všichni nahraditelní (byť přes dočasné ztráty a problé=my pro firmu)...

No zrovna s těmi služebními vozy to není nejlepší příklad. Spousta firem toleruje zaměstancům soukromé jízdy služebním vozem, protože je to vyjde levněji, než jim zvýšit plat.
Protože když si vybírám mezi zaměstnavateli a jeden je v autech strikní a druhý benevolentní, tak kterého si vyberu? Toho striktního pouze pokud mi nabídne vysší plat. A ten plat navíc prostě vyjde dráž, než mít větší náklady na auta (protože ten plat navíc se krvavě daní). Podobně je to s tolerováním soukromých hovorů na firemních mobilech.
Pracovní stroj může (dokud se nedostanete do křížku s finančákem) sloužit i k mimoplatovému odměňování zaměstanců. A jestli hodláte tvrdohlavě tvrdit opak, tak se připravte na nějaké mzdové náklady navíc.

Co se týká notebooků, tak tam je pochopitelně problém s bezpečností (na rozdíl od aut a mobilů, kde individuální selhání neohrozí celý autopark, či mobilní telefonování). A je potřeba dvakrát zvažovat, jestli raději lépe zaplatit zaměstance, aby si koupili počítače vlastní, nebo více platit na správu IT, aby udržely hrozby z notebookama na uzdě. Jenom vás chci upozornit, že směr vaší argumentace je v některých firmách sdílen, ale v některých právě naopak.

Jestli vaši zaměstnanci hodně a rádi konzumují krevetky, tak protlačit je jako výrobní prostředek a dávat je zaměstancům, vůbec není špatný nápad.

P.S. Můj minulý šéf se vyloženě rozčiloval, pokud jsem si osobní věci neřešil v maximální možné míře přes firemní počítače a firemní internet a nezůstával jsem tedy na přesčas. Čili pokud jsem si je po 8 hodinách v práci šel řešit osobně, nebo na soukromém počítači a soukromém připojení :-))

Ne. V demilitarizované zóně máme SSL VPNku a ta teprve kouká přes FW na TS ve vnitřní síti.

A to jako ze mate na FW otevrene porty primo na TS?

Skoro mam pocit, nedelame ve stejne firme ? :D Ze marketingovy oddeleni pretahne rozpocet o desitky M problem neni, ale kdyz chce IT jednotky stovek kKc, maximalne jednotky MKc na hole preziti, tak to je problem kterej se s managorama resi uz rok a ono mezi tim misto na discich ubyva a ubyva .... (tady si predstavte takovou tu klasiku - tikajici hodiny na bombe a svazane ruce ...)

Mam chut se generalniho zeptat, co se stane kdyz nebude 14 dnu fungovat marketingovy a co se stane, kdyz to na 14 dnu zabalej ITci.

Ne, to nebylo nic vůči adminům ani TS jako takovému, jen povzdech nad tím, jak to funguje v některých firmách. A je to firma veliká a véééélmi zisková, akorát síť mezi pobočkama je hanebná, i když, pravda před 10 lety když to běhalo pod Novellem a stanice v DOS/Win 3.X to byla bomba :-D

Ani v nejmenším za to neviním adminy na žádné úrovni, je mi naprosto jasné, že za to nemůžou. A managorům je to jedno :-(

jj, jestli se to chova takto, tlucte IT managora a predevsim financniho reditele/.... admin za to na 99% nemuze, ten je z toho asi zoufalej uplne stejne.

OK - je to to samé, jako by Vám dali nějakou historickou mašinu s 64MB RAM a na ní XPčka a monitor "kulatý skleněný 640x480"... a naříklal byste, že ty XPčka nestojej za nic.
Ale vážně - jedinej problém je s barevnou hloubkou TrueColor (24bit) je prostě lepší než 16bit a například některé gridy mají aktuální řádek obarvený tak, že je to vidět jenom na TrueColoru... ale to je tak jediné.
Pravda filmy si na tom nepustíte, ale nedělám pro filmové studio ale pro velkoobchodní firmu a ta se bez videa obejde :)
Pokud Vám nastavují 256 barev a máte takovouhle odezvu tlučte admina nebo spíše toho, kdo má na starosti investice do IT. TerminalServer za to nemůže.......

Děkuju za příspěvek, naprosto přesně vyjadřuje i můj názor. Všude pořád plky o nezabezpečených wifi sítích apod. WEP je na nic, WPA je zbytečný. Ano, bezpečnost končí na internetové bráně a na notebooku na síťové kartě či na portu modemu. Co já vím, kdo sedí v O2 a čím se baví, že. Je ovšem problém vysvětlit BFU, že i když mu Windows vyhrožují, že se chce připojit do "nezabezpečené" bezdrátové sítě, že ten ipsec je daleko bezpečnější než celý microsoft.

ale je ... 64b Linux ;-)

Hm, na TS jsem přihlášen půl dne a upozorňuju, že bych se z toho co chvíli O*J*E*B*A*L!. Síť to nestíhá (pracuje nás tak asi 500), takže občas na klávesníci napíšu Dobrý den a na obrazovce se to objevuje asi jako D (pauza) obr (pauza) ý (pauza) de (pauza) n. Kvůli snížení objemu dat se zobrazení zkriplilo na 256 barev, což má mj. za následek, že PDF musím tisknout, abych si je přečetl - po odrolování stránky se totiž nastaví černé písmo na černém pozadí. Flash v prohlížeči spolehlivě zasekne celý počítač, dokud se nepřehraje, etc.
Z hlediska správy systému a bezpečnosti je to řešení vynikající, omezení typu nic si nenainstaluju ani nepustím CD, jak držkují kolegyně, je mi u zadele, ale ten komfort je jak práce v XPčkách se 128 MB RAM :-(

Diskuse nema cenu, proto mam zapujcenou techniku pekne ulozenou v koute a pracuji na svem soukromem pocitaci a soukromem notebooku. Soucasne mam legraci ze svych kolegu, kteri se nonstop rozciluji, ze jim neco nejde. Ja to mam vyreseno :-)

aaa ..pan zretelne potrebuje doplnit sve vzdelani v oblasti vista

nic bezpecnejsiho s vyssi enterprise hodnotou nez 64b vista neni

Co tim chtěl básník říci....že jsou v TS chyby - ano ty jsou ve Windows také....nicméně uživatele na TS udržím na uzdě co se týče práv, nemohou si nainstalovat co chtějí, stroj mám pod plnou kontrolou a vím že má nainstalovány veškeré potřebné záplaty, antivir, antispyware atd..... takže mnohem mnohem bezpečnější než cokoliv jiného, navíc i na práci s velkým objemem dat není potřeba žádná superrychlá linka, i když GPRS také není to pravé....

Coby programátor ve službách státní správy nejsem na svém pracovním desktopu coby administrátor. Na lokálním nemůžu prakticky nic, celý disk C je chráněn proti zápisu včetně adresáře inetpub (znalci IIS vědí...), takže jedinou možností jak rozumně pracovat je přes VNC nebo Vzdálenou polochu připojit se k serveru a pracovat přímo na něm. Samozřejmě je odebraný ovladač ke zvukovce a pro jistotu ještě na proxině zablokována všechna online rádia. Prostě radost; člověk aby se postaral po svém... Dovolím si o sobě tvrdit, že mám větší znalosti než ten, který má Admin práva. Prostě státní správa...

http://www.google.com/search?client=opera&rls=en&q=windows+terminal+server+vulnerability&sourceid=opera&ie=utf-8&oe=utf-8

Mno, pokud je ntb spravne nastaven, tak user muze delat vse co potrebuje a nepotrebuje na to admin prava. Je fakt, ze na widlich to takto nastavit = nekolik dnu laborovani a konfigurovani, protoze aplikace s necim takovym jaksi nepocitaji.

Osobne tam kde muzu znemoznuju pripojeni jakehokoli HW na kterym nemam uplnou kontrolu, pripadne alespon povazuju takovy HW za inet a podle toho se k nemu v siti chovam = nema k dispozici pristup na 90% interni site. Neni nic horsiho nez idiot s admin pravy na ntb. Takovej clovek je schopen polozit celou firmu. A ze takovych mezi nanagory je jak ....

No existuje jeden schůdný scénář. Já nechávám všechny mobilní uživatele přistupovat do firemní sítě jen a jen přes Terminal Server. A to i když sedí ve firmě (mám tam pro ně specielně vytvořenou Wi-FI poskytující přístup pouze do netu a přes DMZ i na TS (libují si i návštěvy, které mohou v zasedačce pohodlně na net ze svých přístrojů)
Má to výhodu že se jim vše tváří stejně ať jsou ve firmě nebo doma....

Na TS zakážu lokální disky a vše je již klasicky pod mojí kontrolou....

Abych nezapomnel, zde se muzete podivat na Stealth rootkit pro Vista, optimalni pritel v domacnosti kazdeho BFU. Jak jiste vite, nejprve vznikne exploit (zero day), pote rootkit (muze byt v ten samy den kdy exploit) a zadny Windows user nema sanci se ubranit. V GNU/Linux je SELinux vyvinuty autory algoritmu RSA + mnoho dalsich ochranych prvku proti buffer overflow, apod. Mj. lze uzivat upraveny gcc (resp. upravenou stdlib).

Zde je ten rootkit pro Vista $hit
http://news.softpedia.com/news/Stealth-Rootkit-Designed-for-Vista-30108.shtml

"Když chytí virus, chytí ho jen ve svém účtu."

hloupost, dnes se nejedna o viry, ale o wormy. Wormy ziskavaji root privilegia diky deravym a nepatchovanym programum, proto kdyz se do nezaplatovaneho systemu po siti dostane exploit od nektereho z compromissed stroju, jste v haji. Utocnik vetsinou stroj premeni v Zombie, ani si toho nevsimnete a mate tam rootkit, ktery se samozrejme bude automaticky updatovat, takze jeho detekce bude ve vetsine pripadech pro neprogramatora nemozna. Rootkity jsou natolik propracovane, ze se mohou ulozit napriklad do EEPROM pameti zakladni desky...

Pro obecne info viz http://www.theregister.co.uk/2006/03/13/virtual_rootkit/

Pro detailni info win32 platforma http://www.29a.net/

Nebo napriklad platformne nezavisly rootkit (pro Oracle) http://www.eweek.com/article2/0,1895,1914465,00.asp

Pokud cerpate predevsim z ceskych zdroju, vse co si o bezpecnosti myslite jsou opravdu myty...

Muj skvely pracovni notebook je natolik zabezpeceny (sifrovani, omezeny ucet uzivatele, blokovane porty) ze na nem nepracuju, nemam na to nervy, naladu ani cas. Praci proste vytvarim na svem soukromem pocitaci, pekne v klidu a teprve kdyz potrebuju vystupy odevzdat do firmy, klasicky je vypalim na CD. Doufam, ze se chovam spravne :-) a i kdyby ne, odmitam se podrizovat dle meho nazoru prehnanym omezenim. Nejsem zadny amater, rizika znam a udelal jsem vse pro to, abych se jim vyhnul - ovsem ne za cenu snizeneho uzivatelskeho komfortu.

Mě se líbí, jak bezpečnost je obestřena mnohými mýty. Klidně se připojím do nezabezpečené sítě, klidně budu přes nezabezpečené sítě chodit na internet, klidně na svém NB nechám pracovat rodinné příslušníky. Klidně stáhnu neznámé aplikace. Jak to, že dosud jsem nepřinesl žádný virus?

Pominu-li fakt, že pracuji na Ubuntu (avšak mám tam i Windows na wmvare), a používám SeaMonkey, hlavní důvodem je dobře provedená správa uživatelských účtů. To že manželka má vlastní účet, jenž nemá administrátorské prává je snad asi jasné. Když chytí virus, chytí ho jen ve svém účtu. Nezabezpečenou Wifi klidně použiju, protože důvěrné informace přes ní neputují. Všechny firemní kanály jsou stejně přes šifrovanou VPN. A bežný internet je nebezpečný ať již v podnikové síti, nebo přes Wifi. V podniku končí bezpečí na internetové bráně.