Comments 61
Вопросы «арбитража» споров не упомянули. Хранение логов опять же, дабы не быть голословным в случае возникновения проблем типа «я никуда не ходил, я сайты с ХХХ не посещал». Я уже по долгу службы сталкивался с такими ситуациями, приходилось доказывать. Поднимали логи (храним за 60 дней), делали выборки и начальству доказывали что все «санкции» были не на пустом месте.
+1
Спасибо! Добавил к буллету про DLP
0
В середине-начале 2000-ых я делал проще — ограничения только по категориям для всех, кроме руководства. Для простых юзеров — запрет оного xxx + Top Downloaders List регулярно вывешивался на доску почета. «Я ничиго ни делал, и нигде ни хадил, и вирусы ни запускал» прошло за два месяца ( во втором месяце отвалились гении гуглежа по строчке «анонимайзер», один фиг, строчка вида «vova_s: xXx.hotgoatsecx-porn.avi ( 2121 Mb )» на доске почета очень классно влияла на весь коллектив и вову_с. ).
+1
Это если коллектив небольшой :) А когда юзеров с выходом в инет сотни? Да подумаешь — кто то порно смотрел, делов то. Через пару дней все забудут.
0
В большом коллективе факт просмотра горячего порно с лошадьми не забудет начальник. Вторая задача этого листа — убрать необоснованные придирки от начальства к моей работе — т.е. если петя вечно качает порнуху, игрушки и прочее, а потом по три раза в день идет и жалуется, что этот сраный админ опять чето натворил и ничего не работает, то появляется документальная лужа, куда петю можно ткнуть носом. После пары тыканий в лужу начальство обычно дает указание — порезать весь кайф отделу, после чего отдел начинает внимательнее смотреть, а из-за кого это случилось -> теперь топ даунлоадера родной отдел не забудет, снова вернулись к варианту, когда юзеров мало.
+1
Проходили, есть и тут подводные камни.
Допустим есть отдел, 10 сотрудников, у каждого лимит 200 Мб/сутки. Всем интернет нужен по работе — пусть к примеру это менеджеры по качеству выпускаемой продукции. Мониторят сайты/форумы и прочие места обитания клиентов. Один качает жесткое порно про лошадей. Наказан — сидит без работы день. В след неделю опять качает — страдает весь отдел, сидит без интернета. Надо нерадивого сотрудника наказывать, а как — если например он с поставленной задачей справляется в полном объме? По ТК его наказать будет проблематично. И тогда видится один путь решения проблемы — частные политики.
У нас сейчас дело идет к частным политикам, которые будут предусматривать как «что можно что нельзя», так и «а что за это будет». Ознакомление под роспись и прочие «радости» жизни. Да закручиваем гайки, но по другому просто не получается.
Допустим есть отдел, 10 сотрудников, у каждого лимит 200 Мб/сутки. Всем интернет нужен по работе — пусть к примеру это менеджеры по качеству выпускаемой продукции. Мониторят сайты/форумы и прочие места обитания клиентов. Один качает жесткое порно про лошадей. Наказан — сидит без работы день. В след неделю опять качает — страдает весь отдел, сидит без интернета. Надо нерадивого сотрудника наказывать, а как — если например он с поставленной задачей справляется в полном объме? По ТК его наказать будет проблематично. И тогда видится один путь решения проблемы — частные политики.
У нас сейчас дело идет к частным политикам, которые будут предусматривать как «что можно что нельзя», так и «а что за это будет». Ознакомление под роспись и прочие «радости» жизни. Да закручиваем гайки, но по другому просто не получается.
0
В большом коллективе факт просмотра горячего порно с лошадьми не забудет начальник.
Он так взволнован, тем что нашел единомышленников? )
+1
UFO just landed and posted this here
речь шла про интернет «доступ». как это связано с линуксом? если людям выход в инет нужен, и часто — именно по работе.
0
UFO just landed and posted this here
Ещё раз — как связан линукс на рабочих станциях и доступ людей в интернет? Может я что то не по русски пишу. Я вот 3 год работаю на 7ке, из под учетки с ограниченными правами без антивирусов и файрволов, постоянно куча интернет-сайтов открыта и посещается — и НИФИГА. Больше вреда операционке принесло офф.обновление от Майкрософта.
PS. А можно вообще сотрудников на тонкие клиенты посадить, проблем ещё меньше будет.
PS. А можно вообще сотрудников на тонкие клиенты посадить, проблем ещё меньше будет.
+2
1) Комиксы Dilbert неплохо отрезвляют на тему того, какие подходы приняты на западе.
2) В большинстве достаточно крупных компаний так исторически повелось, что основные бизнес-процессы завязаны на наличие винды на рабочем месте. Отказаться от нее — очень дорого и сложно. Нужно найти замену сотням единиц ПО, из которых многие работают в группах (скажем, софтофон, CRM и сервис интеграции). Многое может быть и самописным.
Кстати, под линукс нет експлоитов, руткитов и так далее? Ведь самые опасные угрозы — таргетированные. Придет главбуху письмо «новые способы обойти налоговое законодательство», в нем ссылка на банальный bash скрипт, который wget'ом загружает наружу все файлы до которых дотянется. С линуксом ведь и DLP не нужны, да? :)
2) В большинстве достаточно крупных компаний так исторически повелось, что основные бизнес-процессы завязаны на наличие винды на рабочем месте. Отказаться от нее — очень дорого и сложно. Нужно найти замену сотням единиц ПО, из которых многие работают в группах (скажем, софтофон, CRM и сервис интеграции). Многое может быть и самописным.
Кстати, под линукс нет експлоитов, руткитов и так далее? Ведь самые опасные угрозы — таргетированные. Придет главбуху письмо «новые способы обойти налоговое законодательство», в нем ссылка на банальный bash скрипт, который wget'ом загружает наружу все файлы до которых дотянется. С линуксом ведь и DLP не нужны, да? :)
+4
UFO just landed and posted this here
1) В таком случае — по моему личному опыту, российским компаниям важнее всего эффективность, а не отсиживание 8-часового рабочего дня. И я знаю людей из представительств западных компаний, жаловавшихся на то, что регламентировано всё вплоть до времени в курилке. Если по данным СКУДа вы больше чем на X минут в день покидали офис без уважительной причине, то это уже повод для выговора.
2) А цель-то какая у миграции? «Чтобы было»?
А еще я из того же самого личного опыта (это ведь очень важный аргумент, верно?) могу сказать, что под виндой невозможно подхватить заразу из интернета. Я с этим последний раз сталкивался лично, может, лет 10 назад. Под «подхватить» я понимаю банальное проникновение исполняемого файла на компьютер, даже если антивирус его сразу придушил. ISOшник можете найти на любом трекере, обычный образ семерки x64, никаких модификаций.
2) А цель-то какая у миграции? «Чтобы было»?
А еще я из того же самого личного опыта (это ведь очень важный аргумент, верно?) могу сказать, что под виндой невозможно подхватить заразу из интернета. Я с этим последний раз сталкивался лично, может, лет 10 назад. Под «подхватить» я понимаю банальное проникновение исполняемого файла на компьютер, даже если антивирус его сразу придушил. ISOшник можете найти на любом трекере, обычный образ семерки x64, никаких модификаций.
+1
UFO just landed and posted this here
1) Мой опыт возражает против этого, и нет, я никогда не работал в IT компаниях :)
2) Сабжевая защита позволяет сделать винду в достаточной мере пуленепробиваемой. Это дешевле миграции на линукс, который все равно не позволит избавиться от большинства механизмов защиты. И на вирусы под него трафик все равно надо проверять. Их мало, но они есть. Рисковать не стоит.
Да и какое мне дело до антивирусных компаний? Есть же личный опыт (так это важно или нет?), а также понимание того, что на винде практически нереально найти именно експлоит, дыры заделываются довольно быстро, шансы напороться на 0-day, способный обойти песочницу браузера и следом повыситься до system, мизерные. Большинство заразы работает на компьютере либо под обычным пользователем (и против такой заразы линукс в той же мере бессилен), либо устанавливается методом двойного клика по исполняемому файлу с последующим подтверждением в UAC (а ведь есть очень, скажем так, странные люди, работающие под администратором и при этом отключающие UAC).
2) Сабжевая защита позволяет сделать винду в достаточной мере пуленепробиваемой. Это дешевле миграции на линукс, который все равно не позволит избавиться от большинства механизмов защиты. И на вирусы под него трафик все равно надо проверять. Их мало, но они есть. Рисковать не стоит.
Да и какое мне дело до антивирусных компаний? Есть же личный опыт (так это важно или нет?), а также понимание того, что на винде практически нереально найти именно експлоит, дыры заделываются довольно быстро, шансы напороться на 0-day, способный обойти песочницу браузера и следом повыситься до system, мизерные. Большинство заразы работает на компьютере либо под обычным пользователем (и против такой заразы линукс в той же мере бессилен), либо устанавливается методом двойного клика по исполняемому файлу с последующим подтверждением в UAC (а ведь есть очень, скажем так, странные люди, работающие под администратором и при этом отключающие UAC).
0
Забыли ещё про заражённые pdf, всякие макросы в офисных файлах и уязвимости во flash/java. Из своего опыта — я видел ооочень мало компаний где пользователь сидит не под локальным админом :(
0-day нечасты, да
0-day нечасты, да
0
О да… и борьба с «этим» — локальными админами, это целая трагедия для юзеров, и головная боль для ИБ
0
я видел ооочень мало компаний где пользователь сидит не под локальным админом :(
Что проистекает чаще всего от лени и/или некомпетентности админов. К сожалению, для большинства админов проще выдать юзеру права локального админа, чем озаботиться вопросом грамотного выделения доступа (на практике, прав слегка подпиленного Power User'а в 99% случаев более чем достаточно).
Увы — приличные виндовые админы куда более редкие звери, чем приличные юниксовые.
0
Хотел бы я посмотреть на приличных виндовых админов, которые не дают разработчикам виндовых приложений права локального администратора…
0
Для этого делаются специальные девелоперские/тестовые окружения. Удобно ещё и тем, что в любой момент можно его грохнуть и поднять свежее-чистое. Соответственно, из этого окружения нет доступа в остальную локалку, так что если и словят заразу — никуда дальше она не выйдет.
0
Занятно и забавно… К сожалению, таких решений в девелоперских конторах пока не видел. Разрабатывая, например, драйвера для железок, необходим MSVC, MSDN, полноценный доступ в интернет, полноценный доступ к внутренним документам и базам данных. Чуть меняется задача — разработчик пишет программы для железки (службы): прав от этого меньше не выдаётся, а окружение меняется. Конечно, всех разработчиков можно ограничить от общей сети, но вот по опыту скажу — доступ ко внутренней документации вряд ли удастся урезать, а клепать под разрабов окружения — сомнительное удовольствие для супер-виндовых админов: их просто придётся делать очень много разнообразных и всё это поддерживать в актуальном состоянии… ну не то чтобы не реально, а на это нужны тогда админЫ (много).
0
Ну может и не сталкивались, у меня все знакомые разработчики, или уже в таком режиме работают по ИБ политикам (и это даже не включая сектор банковского п/о) компании, либо, кто умный и наталкивался на срач на рабочей машине — сами такие тестовые/девелоперские окружения выпрашивают/делают — поднять себе виртуалку в виртуалбокс/встроенным в win8 гипервизором дело несложное, в общем.
но работа с железом/драйверами обычно должна вестись на тестовой железке, это да. но на этой же железке держать рабочий почтовый клиент например — глупо. а документацию можно и с другого компа посмотреть.
но работа с железом/драйверами обычно должна вестись на тестовой железке, это да. но на этой же железке держать рабочий почтовый клиент например — глупо. а документацию можно и с другого компа посмотреть.
0
да. у нас из-за «слабости» машин рабочих, но в случае обязательного админского доступа к операционке, поступаем по другому:
1. заводим машину в домен;
2. даем права локального администратора;
3. средствами сетевого оборудования ограничиваем доступ человеку в корпоративную сеть (почта, портал и тд) плюс свободное хождение внутри отдела.
ибо есть железяки — которые с правами админа могут работать только на «живой» машине. виртуалки не могут адекватно отрабатывать эти штукуи.
1. заводим машину в домен;
2. даем права локального администратора;
3. средствами сетевого оборудования ограничиваем доступ человеку в корпоративную сеть (почта, портал и тд) плюс свободное хождение внутри отдела.
ибо есть железяки — которые с правами админа могут работать только на «живой» машине. виртуалки не могут адекватно отрабатывать эти штукуи.
0
Если будет интересно — могу описать, как сидят 24 разработчика железячника с локальными админами и работают, а не игрушки терзают.
0
Вы путаете термины «российский» и «государственный». Для госконтор да, всё описанное справедливо. Но любая приличная, в том числе российская, коммерческая организация, ориентированная на зарабатывание денег, будет думать именно об эффективности сотрудников, а не о высиживании ими часов (а если и думает о высиживании часов — значит, так они понимают эффективность — что ж, на ошибках учатся).
0
При правильной настройке политик запуска п/о в разделах безопасности GPO на AD группы, куда админы не входят, у пользователя вобще ничего не получится запустить ни из временных каталогов ни из своих документов. только c:\windows, c:\program files(x86) и пару общих сетевых папок с разрешенных п/о, куда доступ на запись имеют полторы калеки из ИТ отдела.
А если еще всё п/о подписано и список подписей тоже разьезжается через GPO в том же разделе — то даже если и получится скачать какуюнить игрушку, то запустить, переименовав %mycoolgame% во вполне допустимый ping.exe, всё равно не получится.
со всякими плагинами вроде adobe, под броузеры, конечно будет сложнее, но тоже решаемо, насколько я знаю из опыта
А если еще всё п/о подписано и список подписей тоже разьезжается через GPO в том же разделе — то даже если и получится скачать какуюнить игрушку, то запустить, переименовав %mycoolgame% во вполне допустимый ping.exe, всё равно не получится.
со всякими плагинами вроде adobe, под броузеры, конечно будет сложнее, но тоже решаемо, насколько я знаю из опыта
0
[delete]
0
Любые запретительные меры в итоге чаще приводят к тому, что сотрудники тратят больше времени для их обхода. Повышение компьютерной грамотности и отказ от патологически дырявого, принципиально непроверяемого сотрудниками отдела информационной безопасности ПО — это единственный действенный метод на текущий момент. Он же самый трудоёмкий.
+1
Не единственный, но наиболее верный, практически бесплатный и действительно трудоёмкий. Если говорить про ROI и TCO, то самый эффективный способ распространить слухи что внедрена система контроля всего и вся и все будут наказаны. Но естественно ничего не внедрять)
0
В долгосрочной перспективе слухи не сработают, нужно будет регулярно показательно кого-то пороть, при чём пороть только тех, кого нужно и не ошибаться. Грамотность и осмысленный выбор ПО — это одноразовые большие вложения и очень небольшие для поддержания в будущем. При чём вне зависимости от поворотов судьбы, общая компьютерная грамотность останется актуальной и с возможностью лёгкого апгрейда. Но формально ты прав, конечно, это не единственный выход. Можно просто вообще всё отключить от интернета. И от энергосети тоже на всякий случай. Вирусы для арифмометров и счёт не существуют.
0
Всем сотрудникам запрещён доступ к категориям «Онлайн-казино», «Поиск работы» и «Сайты для взрослых»
Использование социальных сетей и сервисов потокового видео запрещено всем сотрудникам, за исключением группы «отдел маркетинга и связей с общественностьюм»
Запрещено использование всех игровых приложений, за исключением игры, созданной компанией
Достаточно квотирования, если вся квота выбрана на развлекухи, а потом нужно срочно «по работе» а лимит исчерпан, то по сотруднику делаются оргвыводы его руководством.
Использование социальных сетей и сервисов потокового видео запрещено всем сотрудникам, за исключением группы «отдел маркетинга и связей с общественностьюм»
Запрещено использование всех игровых приложений, за исключением игры, созданной компанией
Достаточно квотирования, если вся квота выбрана на развлекухи, а потом нужно срочно «по работе» а лимит исчерпан, то по сотруднику делаются оргвыводы его руководством.
0
Только придётся очень гранулярно размеры квоты по отделам выбирать. Кто-то даташиты 30-меговые десятками качает, кто-то потоковое видео по работе смотрит, а кто-то просто окисляет углекислый газ и интернет ему не особо нужен
0
Вообще это конечно больше не тема ИБ, а больше тема HR и непосредственного руководителя отдела. Кто-как тратит время и деньги работодателя, это их вопрос.
Я всегда косо смотрю на попытки озадачивать такими вопросами службу ИБ.
С точки зрения ИБ конкретно по этому направлению возникает вопрос доступности, когда «качки» загружают канал до предела и другие важные бизнесс-процессы начинают тормозить.
Для этого как раз достаточно шейпить траффик и ставить квоты. Квоты можно не плодить, а внедрить 2-3 стандартных. Например 0-5 Гб, 5-10, 10-20.
Я всегда косо смотрю на попытки озадачивать такими вопросами службу ИБ.
С точки зрения ИБ конкретно по этому направлению возникает вопрос доступности, когда «качки» загружают канал до предела и другие важные бизнесс-процессы начинают тормозить.
Для этого как раз достаточно шейпить траффик и ставить квоты. Квоты можно не плодить, а внедрить 2-3 стандартных. Например 0-5 Гб, 5-10, 10-20.
+1
За исключением группы «Руководство»
Вот это, кстати тоже одна из основных проблем. Как правило, как раз на компах руководства зачастую хранится наиболее ценная информация. А подход, «за исключением», сводит все усилия по защите на нет.
Не фильтруй, не режь права, не ставь сложные пароли, правила не для меня, а для рядовых — если это так, то уровень зрелости ИБ в компании низкий.
Вот это, кстати тоже одна из основных проблем. Как правило, как раз на компах руководства зачастую хранится наиболее ценная информация. А подход, «за исключением», сводит все усилия по защите на нет.
Не фильтруй, не режь права, не ставь сложные пароли, правила не для меня, а для рядовых — если это так, то уровень зрелости ИБ в компании низкий.
0
Всегда вспоминаю одно из своих прошлых мест работы, ещё в начале 2000-х, те допотопные времена, когда ещё интернет помегабайтным был.
Пришёл счёт не на 2-3 тысячи как обычно, а на 50 тысяч. Руководство сказало разобраться. Начали разбираться. Выяснилось, что один из новых менеджеров целыми рабочими днями качает порнуху. Да так что почти весь месяц только это и делал. Кроме того, он постоянно опаздывал на работу, приходил с похмура и так далее.
Скажете, что ему было за это? Ничего. Потому что он 19 из 20 рабочих дней смотрел порнуху, параллельно лазя по всем развлекательным сайтам, которые тогда только существовали. А на 20-й рабочий день продал камазов на 20 миллионов рублей. Директор сказал, что за руку с ним больше не здоровается, но разрешить ему надо всё, «если он так продаёт, то пусть хоть обдрочится».
С тех пор все ограничения были сняты, я продолжаю поддерживать дружеские отношения с той компанией: у них до сих пор официально можно опаздывать, никаких ограничений на интернет и никакого жёсткого рабочего графика.
Пришёл счёт не на 2-3 тысячи как обычно, а на 50 тысяч. Руководство сказало разобраться. Начали разбираться. Выяснилось, что один из новых менеджеров целыми рабочими днями качает порнуху. Да так что почти весь месяц только это и делал. Кроме того, он постоянно опаздывал на работу, приходил с похмура и так далее.
Скажете, что ему было за это? Ничего. Потому что он 19 из 20 рабочих дней смотрел порнуху, параллельно лазя по всем развлекательным сайтам, которые тогда только существовали. А на 20-й рабочий день продал камазов на 20 миллионов рублей. Директор сказал, что за руку с ним больше не здоровается, но разрешить ему надо всё, «если он так продаёт, то пусть хоть обдрочится».
С тех пор все ограничения были сняты, я продолжаю поддерживать дружеские отношения с той компанией: у них до сих пор официально можно опаздывать, никаких ограничений на интернет и никакого жёсткого рабочего графика.
+2
К счастью, SSL-трафик от пользователя к Интернет-ресурсам можно расшифровывать.К счастью, место работы можно менять.
0
Хотелось бы согласится, но… наткнулся тут на результаты опроса
Свыше трети студентов считают корпоративные политики информационной безопасности пустой формальностью и не готовы их соблюдать, при этом более 40% респондентов планируют выносить рабочие документы за пределы корпоративной сети, если им это будет удобно. Такие результаты получили специалисты компании Zecurion по итогам опроса среди 8466 студентов из 11 вузов 8 городов России. Примечательно, что почти половина респондентов имела опыт работы в офисе, а значит, осведомлена о порядке работы с корпоративной информацией, сообщили CNews в Zecurion.
взято с cnews.ru.
Как иначе бороться с инсайдом? Советы и решения есть?
Свыше трети студентов считают корпоративные политики информационной безопасности пустой формальностью и не готовы их соблюдать, при этом более 40% респондентов планируют выносить рабочие документы за пределы корпоративной сети, если им это будет удобно. Такие результаты получили специалисты компании Zecurion по итогам опроса среди 8466 студентов из 11 вузов 8 городов России. Примечательно, что почти половина респондентов имела опыт работы в офисе, а значит, осведомлена о порядке работы с корпоративной информацией, сообщили CNews в Zecurion.
взято с cnews.ru.
Как иначе бороться с инсайдом? Советы и решения есть?
0
Зарплату платить не пробовали?
+1
:) Вот почему почти все говорят — сколько не платили бы мне, всегда мало будет. Я иду работать — и если я устраиваюсь, значит зп устраивает. Я иду работать а не воровать. Если Вы по другому думаете — то никакой зарплаты не хватит
0
Как иначе бороться с инсайдом? Советы и решения есть?У NSA и то не очень получилось. Если захотят что-то вынести — вынесут, надо делать так чтобы не хотели.
Флешки, телефоны тоже на входе отбираете? Личный досмотр? Без этого SSL расшифровывать с целью борьбы с инсайдом бесполезно. Также как это бесполезно при наличии хоть какого-то разумного доступа к интернету.
0
Ну раз НСА не смогло, может тогда вообще на ИБ забить? Статья сабжевая тоже не нужна, зачем всё это :)
0
Закручивают гайки обычно до разумного предела, предел определяется стоимостью информации и финансовыми возможностями, все остальное принимается как остаточный риск.
0
ИБ это комплексная проблема. И гайки надо закручивать равномерно по всему периметру, иначе пользы ноль, а людям мешает. Проблема выбора адекватного уровня ИБ не затронута вообще.
0
Крутим равномерно, но делать это «по всей площади» сил не хватает. Опять же, есть определенное противодействие «на местах», боремся как можем. «Вымораживает» позиция работника — это «мой персональный компьютер, что хочу то ворочу». Пытаемся переломить ситуацию, медленно и со скрипом — но дело начинает двигаться.
0
NSA сколько лет весьма качественно скрывали от всех, чем они вообще занимаются и в каких масштабах?
Вообще-то флешки принято блокировать программными средствами. Еще принято не позволять пользователю писать на локальный диск (тут огромное число факторов помимо ИБ — например, возможность залогиниться и продолжить работу с любого компьютера).
А телефон разве что как фотоаппарат можно будет использовать, а это очень заметно…
Что до «разумного доступа к интернету» — есть и относительно неглупые файрволы и DLP.
Вообще-то флешки принято блокировать программными средствами. Еще принято не позволять пользователю писать на локальный диск (тут огромное число факторов помимо ИБ — например, возможность залогиниться и продолжить работу с любого компьютера).
А телефон разве что как фотоаппарат можно будет использовать, а это очень заметно…
Что до «разумного доступа к интернету» — есть и относительно неглупые файрволы и DLP.
0
Я начальству предлагал решать проблему с сотовыми как в боевике «Солт». Вошли в кабинет — у входа сложили телефоны, надо поговорить — встал вышел позвонил. По моему достаточно логичное решение, и ограничения нету никакого, просто особые условия пользования. Начальство пока решило что «гром не грянул». Сижу жду, время от времени «кидая пробные шары» в сторону начальства.
0
А где вы работаете, позвольте узнать.
Чтобы там не работать.
ИБ в первую очередь — это обеспечение лояльности сотрудника к компании. И это не только денежная мотивация. Например, я просто по-человечески уважаю нашего собственника, чтобы что-то из данных воровать, хотя имею для этого возможностей больше всех.
Чтобы там не работать.
ИБ в первую очередь — это обеспечение лояльности сотрудника к компании. И это не только денежная мотивация. Например, я просто по-человечески уважаю нашего собственника, чтобы что-то из данных воровать, хотя имею для этого возможностей больше всех.
0
Нету лояльности… народ приходит считая что им все обязаны, лишь за то — что они сидят на работе. Игры? Почему нет, 3ж модем на рабочей машине где коммерческая тайна? легко.
Тогда да — работать где это всё запрещают и жесткая дисциплина — да пошло оно всё нафик, не поиграть же.
Тогда да — работать где это всё запрещают и жесткая дисциплина — да пошло оно всё нафик, не поиграть же.
0
в догонку. что самое показательное, ко всем ограничениям в свободе работы на АРМ положительно и с пониманием относятся так называемые представители старой гвардии. Привыкают к работе с DLP агентом, к тому что на работе нельзя смотреть фильмы, слушать музыку. То есть те, кто ещё радеют за дело, те кому не всё равно. А вот молодежь упирается со словами «печалько, весь день фильмы не посмотреть», приходит с настроем «да плевать я на всё хотел, буду играть».
0
Игры? Почему нет
А почему нет?
3ж модем на рабочей машине где коммерческая тайна?
Во-первых, как можно установить модем без прав администратора? Неизвестно.
Во-вторых, ошибка называть коммерческой тайной всё подряд. Ознакомьтесь с понятием «коммерческая тайна», это по меньшей мере непрофессионально для вас.
В-третьих, ошибка считать, что данные, к которым имеют доступ, нельзя украсть.
И на коммент ниже отвечу здесь же.
Если «печалько, весь день фильмы не посмотреть» — это не задача информбезопасников вообще. Значит, людям не ставятся цели, не контролируется их достижение, те же KPI.
Так что за организация? Хотя бы профиль деятельности можете обозначить?
0
1. На самом деле — играть на работе за деньги работодателя в рабочее время — а подскажите мне где такие работодатели обитают? Я первый туда уйду
2. См выше про права админа — я уже писал, боремся, сил не хватает «закрыть все машины»
3. А можно цитату — где я «всё подряд» называл коммерческой тайной? У нас таки с «этим» всё в порядке. Всё по закону
4. К сожалению ИБ у нас — на все руки…
5. Как вы уже написали — контроль весь незаконен, так как всё таки выйти из ситуации? Начальству стоять за спиной? Так ведь вы сами озвучили право на личную тайну, а вдруг человек в этот момент личной тайной занят. Патовая ситуация?
2. См выше про права админа — я уже писал, боремся, сил не хватает «закрыть все машины»
3. А можно цитату — где я «всё подряд» называл коммерческой тайной? У нас таки с «этим» всё в порядке. Всё по закону
4. К сожалению ИБ у нас — на все руки…
5. Как вы уже написали — контроль весь незаконен, так как всё таки выйти из ситуации? Начальству стоять за спиной? Так ведь вы сами озвучили право на личную тайну, а вдруг человек в этот момент личной тайной занят. Патовая ситуация?
0
1. Смотря, кем работаешь, и какие цели поставлены. Если все цели выполнены — почему нет. Если (см. выше я комментил) человек 19 дней из 20 играет, а на 20-й день выполняет годовой план всего отдела по продажам — то пусть хоть сутками играет.
Все ваши беды от ваших требований.
Вы требуете сидеть на работе с 8.00 до 17.00 (условно), не играть в игры, нажимать нужные кнопки. Вы фактически работаете за них.
А нужно требовать фактический конкретный результат и спрашивать его. А какими силами работник этого достигнет — неважно. Если он играет, дрочит, и так далее, но выполняет свою работу — такие работники вам и нужны. А если он не играет, четко выполняет все требования и стоит по стойке смирно, но при этом он не заинтересован в результате работы, то выводы очевидны же.
2. Я надеюсь, у вас Active Directory? Тогда непонятно это ваше «боремся», «сил не хватает». Увольте админа (-ов), отвечающих за AD.
3. Коммерческой тайной точно не могут быть данные на рабочей машине.
5. Лояльность, лояльность и только лояльность. Все остальные способы или неэффективны, или наоборот порождают антилояльность (если сильно закрутить гайки).
Все ваши беды от ваших требований.
Вы требуете сидеть на работе с 8.00 до 17.00 (условно), не играть в игры, нажимать нужные кнопки. Вы фактически работаете за них.
А нужно требовать фактический конкретный результат и спрашивать его. А какими силами работник этого достигнет — неважно. Если он играет, дрочит, и так далее, но выполняет свою работу — такие работники вам и нужны. А если он не играет, четко выполняет все требования и стоит по стойке смирно, но при этом он не заинтересован в результате работы, то выводы очевидны же.
2. Я надеюсь, у вас Active Directory? Тогда непонятно это ваше «боремся», «сил не хватает». Увольте админа (-ов), отвечающих за AD.
3. Коммерческой тайной точно не могут быть данные на рабочей машине.
5. Лояльность, лояльность и только лояльность. Все остальные способы или неэффективны, или наоборот порождают антилояльность (если сильно закрутить гайки).
0
Еще советую обыскивать сотрудников на входе/выходе и бить по почкам наименее продуктивных каждую неделю, ага. Корпоративный буллщит такой буллщит.
+1
Ну да да, обыскивать это ведь можно всем, а не только сотрудникам милиции и иже с ним. Остальным можно осматривать, ну это так… мелочи. Главное погромче заявить что нибудь, согласен
0
Sign up to leave a comment.
Как и зачем защищать доступ в Интернет на предприятии — часть 1