Polityka bezpieczeństwa w firmie.

[Mad_Dud]

Witam,
Jak tłumaczycie pracownikom, żeby przestrzegali polityki bezpieczeństwa?
Ja mam problemy z wyegzekwowaniem korzystania z trudnych haseł i aktualizowania windowsów.
Za to wytresowałem ich do niekorzystania z IE oraz wylogowywania się na czas przerwy :-)

[kosiarz]

Przejdź na unixa , będzie na pewno bezpieczniej.

[markossx]

ja zasadniczo olałem tłumaczenie i wziąłem sprawy w swoje ręce
zakazywać, wymuszać, zabraniać, nie dyskutować...
mam naszczęście (albo i nie ) domene windows i wszystko wymuszam na klientach windowsowych za pomocą Active Directory, aktualizacje ciągnę przez WSUS...
jak nie masz domeny to na klientach windowsowych też można dużo wymusić za pomocą lokalnych GPO... tylko troche więcej roboty...

[ble34]

zwolnij ich
powiem ci ze niewiem np pruwnując przeciętnego pracownika do mojej siostry bo podjsciue do komputerów jest takie same u tych osobników
to masz cięzki orzech do zgryzienia
bo np moja siostra kozystając z banków online wogóle niezwraca uwagi na trobuiazgi typu wyloguj
czy akcje typu podawanie hasła 4 razy
o aktualizacji windy i korzystaniu z innei przeglądarki niżż domyślna nie wspominając
poprostu wychodzi z załorzenia ze hakerzy są w filmach
a nawet jesli załpie wirusa to moze zrobić format
podejrzewam ze pracy miała by takie samo podejście
bo co obchodzi jakąś sekretarke poza obsługą
ofica
więc polityka bezpieczeństwa musi byc nazucona przez dyrekcje (odgórnie)
jako niewiem dodatkowy przepis bhp albo coś
bpo jesli niemasz atorytetu (czyt.władzy) w śród pracowników
to będziesz mówił jedno a oni będa robic drugie
tak to z ludzmi jest

[Mad_Dud]

Firma niewielka, jestem jednoosobowym pionem informatycznym na 50 osób i 60 komputerów.
Nie dam rady wymusić kilka tysięcy na domenę a gdy pracownicy widzą Linuksa, uciekają aż się kurzy. GPL ustawiam w miarę możliwości, ale mi raczej chodziło o przemawianie do użytkowników... o nawiązanie z nimi hm.. dialogu.

Pomyślałem, że ktoś ma złoty środek. :-D

[markossx]

pałą i z kopa - inaczej nic z tego nie będzie
ty swoje oni swoje
niewiedza i
ewentualnie podpisywanie jakiś lojalek ale nie każdy pracodawaca sie na to zgodzi - choć byłem blisko pewnej akcji gdzie pracownicy musieli podpisać zobowiąznie, że za pobieranie muzy i innych pierdół z Netu oraz instalację nielegalnego softu odpowiadają sami, choć prawo stanowi trochę inaczej...
ale wiem, że podpisywali, a co śmieszniejsze, fakt niczego nie ściągali ale za to przynosili płytki z mp3 i słuchali w słuchawakch (projektanci CAD'a to byli);
prawie wszystko można obejść

[TQM]

Ja moge powiedziec ze swojego doswiadczenia z innej dzialki - systemy jakosci.

Podczas auditow w ktorych bralem udzial nie raz wychodzilo ze ludzie dostawali delirki jak wychodzily rozne braki na jaw albo ze ktos zrobil cos czego nie powinien... W systemach zarzadzania jakoscia jest jasno ustalona osoba odpowiedzialna za dany obszar... W przypadku IT obszarem jest np to czym sie zajmujesz. Nie jest wazne czy tylko dobrze robisz swaja prace i dalej kladziesz laske na wszystko dookola, bo tak moglbys pierdziec szefowi w nos i niech spada, bo TY ROBISZ SWOJA ROBOTE I JUZ!

Moja firma jest dosc specyfincza... jest nas 2.5 informatyka (2 na stale i szef IT ktorego nigdy nie ma wiec ciezko go policzyc w jakiejkolwiek postaci) na 30 pracownikow i kilkadziesiat tysiecy klientow... firma specyficzna bo ma kase i kazdy z nas i tak jest celem podchodow i atakow... a ludzie i tak maja (a raczej mieli) w powadze jakiekolwiek zasady bezpieczenstwa...

W kwestii fizycznego dostepu do biura powiedziano jasno - jesli wychodzisz ostatni sprawdzasz wszystkie okna, drzwi przeciwpozarowe, itd... jak czegos nie zamkniesz, ktos wejdzie w nocy - niezaleznie czy cos zginie (cokolwiek) czy tez nie, to za to masz momentalnie dyscyplinarke... i jesli beda straty to nawet sprawa cywilna w sadzie. Zostalo to obwieszczone wszem i wobec przez prezesa i po sprawie!

Co do IT jakos zarzad nie chce tak radykalnie robic... mam to szczescie ze jako senior admin mam spora swobode i nawet moj szef ze mna nie dyskutuje - moge mu powiedziec - jest tak i tak... zrobilem to i to bo ten i ten znowu zrobil to... u mnie notorycznie nie blokuja pulpitow jak wychodza na lunch lub koncza dzien pracy... a ze czesto sa goscie, itd to sie mowi 'trudno'... a to ze sprzataczka przychodzi i moze za nia ktos wejsc jak bedzie sprzatac w innej czesci biura... tez 'trudno'...

Jak ostatnio pracownikowi zmienilem hasla bo sie nie wylogowal po raz kolejny na noc (ani nawet nie zablokowal pulpitu w windows), podajac dzien wczesjniej akurat (coz za zbieg okolicznosci) ze za takie cos bedzie tworcza kara - trzeba odrobic w polu (ale o tym dalej), koles poszedl do prezesa na skarge, przyszedl do mnie prezes a ja pytanie wprost - jest tak i tak - Twoja decyzja - albo sie naucza albo bedziemy ryzykowac utrate znacznej kasy przez jednego z drugim... ja nie ustapie - mozesz mnie zwolnic...

Prezes przytaknal, ja pracuje nadal, wiecej nikt nie dyskutuje i nie podpada... tym bardziej moj szef jak wrocil powiedzial ze dobrze zrobilem :-)

... a felerny pracownik aby dostac nowe haslo do swojego kompa (domena windows - zarzadzanie centralne, wiec zmiana nie problem) musial napisac i przedstawic calej firmie (i to bardzo bolalo!) esej na temat "dlaczego wychodzac z biura powinienem zablokowac komputer", z przykladami 3 firm ktore przez takich pracownikow jak on stracily reputacje i pieniadze...

Bolalo bo mowil o sobie podobnych ludziach i jego wlasny ton wprawial go w zaklopotanie. Do tego aby to przygotowac nie mial dostepu do kompa - pisal notatki recznie na papierze, nie mial google'a ani nic... Bolalo tym bardziej ze mial sporo do zrobienia tego dnia... i podpadl paru osobom...

Przyznam ze przynioslo to efekty na jakies 2-3 miesiace... nastepny podpadzioch to byl szef innego dzialu - tez sie nie wywinal... choc mial wieksze poparcie prezesa z racji wyzszego stanowiska...

... a ja nadal pracuje :-) az czasami sam sie temu dziwie :-)

P.S.
Ostatni trik... jak ktos wychodzi do sklepu na chwile i nikt cie nie widzi, przyklej na ekran karteczke "wyslalem maila do szefa i napisalem co o nim myslisz" - na pewno nastepnym razem zablokuje kompa... Nikt normalny nie zaryzykuje takiej wpadki a i nie udowodni ze to nie on - logi zawsze mowia prawde!

[Mad_Dud]

Ja takiego doświadczenia jeszcze nie mam, a tym bardziej nie mogę sobie pozwolić na takie relacje z szefem.

O mam pomysł. jednego dnia po prostu TRUNCATE dbo.klient; i im powiem, że ktoś się włamał na konto któregoś pracownika... :-D

[TQM]

Tylko uwazaj... bo jak szef nie bedzie w nastroju tego dnia to moze sie to zle skonczyc... Najgorsze co moze byc to szef ignorant - zwolni Cie za to ze ktos sie wlamal bo on zostawil otwarte drzwi... takich oszolomow nie brakuje!

Co do relacji z moim prezesem - on wie ze jesli ja tego nie dopilnuje to nikt palcem nie ruszy... a ze wzgledu na rodzaj dzialalnosci jaka prowadzimy to on nie podejmie takiego ryzyka. Moj szef (bezposredni) jak mowie ze jestem paranoikiem odpowiada mi: "I dobrze - ktos w tej firmie musi!" :-) To najlepiej oddaje klimat :-)