>účet a jeho spravování je věcí zaměstnance a nikdo nemá právo bez jeho vědomí s ním nějak pracovat Nevím, asi jak kde. Ve firmě s funkční infrastrukturou rozhodně ne. Kdybych já dělal bezpečnostní audit (jakože ho dělám) a IT manažer mi řekl, že nemá kontrolu na d osobními účty, asi bych ho vypískal...
>Min. mě napadá zákon 101/2000 a taky určitě zákon na ochranu poštovního tajemství (dostal by se k elektronické poště). To je bohužel taky problém. Že má někdo přístup k vaší poště ještě neznamená (a neprokazuje), že ji čte. A když mi ještě někdo ten přístup umožní dobrovolně... Já mám taky příslušné nářadí a nikdo mě (zatím) neobviňuje ze znásilnění.
Snad si to tedy od šéfa nechat dát písemně (aspoň ať pošle mail)...
Jestli vám to pomůže (myslím že ne), tak konkrétně v naší firmě je v rozporu s pravidly nejen někomu přísup umožnit, ale z druhé stranmy se o to jakkoliv pokoušet.
Re: Vynucení si hesla k přihlášení
Domnívám se, že ve fungující společnosti nikdo nemůže donutit zaměstnance, aby poskytl heslo na PC k práci jinému uživateli. TOTO je porušení základních bezpečnostních pravidel. V případě, že pracovnice svěří svoje heslo a na síti bude kýmkoliv dalším provedena neoprávněná transakce, není v podstatě třeba nic vyšetřovat LOGIn je dostatečná informace. Přestavte si, že pracovnice účtárny poskytne svoje unikátní komunikační heslo pro aplikaci bankovních transferů. To by se napřed musela zbláznit. Správce IT musí mít přehled o osobních účtech , NIKOLIV však o logovacích heslech. To by si pan graver trochu pletl pojmy. Agrument o přístupu majitele ke všem informacím systémem, že budu znát hesla mých zaměstnanců do aplikací , je úplná hloupost. IT manažer přece může zařídit patřičnou strukturu admin práv, eventuálně práv bez možnosti editace dat. Takže nakonec ještě jednou - heslo nikdy nikomu neříkat. PIN od vlastní kreditní karty také nedáváte k dispozici svému šéfovi jenom proto, že je Váš šéf.
Re: Vynucení si hesla k přihlášení
já bych řekl, že se graver neplete. u nás možnost "nahlédnutí" do pc má vždy nejen ten pracovník, ale i jeho nadřízení. jiné je to samozřejmě s editací. jak si např. zkontrolujete, zda si někdo nestáhl něco na počítač? pak přijde SW audit, a vy jako majitel budete platit.
Re: Vynucení si hesla k přihlášení
Obvyklé je, že na firemním PC má zaměstnanec účet s omezeným oprávněním (nemůže instalovat programy, měnit některá nastavení apod.), do počítače má kromě toho přístup správce sítě, který má plný přístup (administrátor). Pokud to takhle ve firmě nefunguje, tak je asi něco špatně :-). A co se týká té kontroly kdo co stahuje, tak na to správce sítě nepotřebuje přístup do toho konkrétního počítače, to může sledovat z hlavního počítače (serveru) - což si většina lidí ani neuvědomuje, správce sítě má obvykle velmi dobrý přehled o tom, kdo jaké stránky navštěvuje a co stahuje, jinak si ani efektivní správu a kontrolu nedokážu představit.
Re: Vynucení si hesla k přihlášení
>Domnívám se, že ve fungující společnosti nikdo nemůže >donutit zaměstnance, aby poskytl heslo na PC k práci >jinému uživateli. Nic ve zlém, ale obávám se, že vaše domněnka je založena spíš na obecné úvaze, než na znalosti reálných procesů v IT security. >TOTO je porušení základních >bezpečnostních pravidel. Může být (a většinou bývá) nebo taky nemusí. O sdílených účtech jsem tuším už psal. >V případě, že pracovnice svěří svoje >heslo a na síti bude kýmkoliv dalším provedena >neoprávněná transakce, není v podstatě třeba nic vyšetřovat >LOGIn je dostatečná informace. Jistě nemyslíte vážně, že bude zaměstnanec bez vyšetřování postižen za to, že na jeho login někdo něco provedl. >Přestavte si, že >pracovnice účtárny poskytne svoje unikátní komunikační heslo >pro aplikaci bankovních transferů. Toto jistě není případ sdílených loginů. Přečtěte si vysvětlení tazatele - zjistíte, o co jde konkrétně. >Správce IT musí mít přehled o osobních účtech , >NIKOLIV však o logovacích heslech. To by si pan graver >trochu pletl pojmy. Nechci se vás dotknout, ale myslím, že k jistému zmatení pojmů došlo spíš na vaší straně. Nikde netvrdím, že má mít admin seznam uživatelských hesel. To, o čem jsem psal, bylo sdílení loginů. Ostatně admin je ten poslední, kdo by cizí heslo potřeboval (přečtěte si, co píše HonzaT). >Agrument o přístupu majitele ke všem informacím >systémem, že budu znát hesla mých zaměstnanců do aplikací , >je úplná hloupost. Nemá smysl nahrazovat nedostatek informací explicitními úsudky. Snad znáte dokonale bezpečnostní procesy v IT, ale zřejmě pouze v jedné firmě. >Takže nakonec ještě jednou - heslo nikdy nikomu >neříkat. Na tom bychom se s jistými výhradami mohli shodnout :-)) >PIN od vlastní kreditní karty také nedáváte k >dispozici svému šéfovi jenom proto, že je Váš šéf. Nesmyslný případ. O nějakém "vlastnictví" credentials tu není řeč. A pokud jde o sdílené PIN ke kartě, co třeba platební karty pro poolová firemní vozidla...
