Temat: blokować, czy kontrolować??

Jarek Żeliński:

"Wychowanie przez fakturę", od razu trzeba zabezpieczyć że w razie problemów wynikających z zaniedbania kadry manadżerskiej/pseudooszczędności odpowiednia suma znajdzie się na naszym koncie za pracę dodatkową.

i tu powiem coś w "pewnych kręgach"niepopularnego: bardzo dobrym wyjściem jest zawarcie umowy na administracje z dobrym SLA, uczy pokory obie strony. Wtedy od razu pytanie "czy blokować" zamienia się na "co blokować i dlaczego".

Na szczęście nie ma czegoś takiego jak SLA na administrację - jest SLA w podziale na Response/Repair a i to dotyczące tylko czynności maintenance lub próby przywrócenia funkcjonalności (kluczowe słowo to 'próby').
Nie widziałem (i mam nadzieję że nie zobaczę umowy na rozwiązanie problemu z SLA typu 'call2repair' w kontekście administratora.
I nie, to nie jest niepopularne, to jest podstawowe i nawiązujące do mojego ulubionego 'wychowania przez fakturę' o którym wspomniał Michał (a z którym w rozmowach prywatnych często tej frazy używamy): chcesz więcej - płacisz więcej.Marcin Bojko edytował(a) ten post dnia 03.03.12 o godzinie 14:53

Temat: blokować, czy kontrolować??

i tu powiem coś w "pewnych kręgach"niepopularnego: bardzo dobrym wyjściem jest zawarcie umowy na administracje z dobrym SLA, uczy pokory obie strony. Wtedy od razu pytanie "czy blokować" zamienia się na "co blokować i dlaczego".

Na szczęście nie ma czegoś takiego jak SLA na administrację -

jest

jest SLA w podziale na Response/Repair a i to dotyczące tylko czynności maintenance lub próby przywrócenia funkcjonalności (kluczowe słowo to 'próby').

SLA na administrację to nic innego jak cześć wymagań pozafuncjonalnych (lub jak kto woli jakościowych)

Nie widziałem (i mam nadzieję że nie zobaczę umowy na rozwiązanie problemu z SLA typu 'call2repair' w kontekście administratora.

j.w.

I nie, to nie jest niepopularne, to jest podstawowe i nawiązujące do mojego ulubionego 'wychowania przez fakturę' o którym wspomniał Michał (a z którym w rozmowach prywatnych często tej frazy używamy): chcesz więcej - płacisz więcej.

jestem tego samego zdania, stosuje z powodzeniem :)

dla mnie administracja platformy oddzielona od aplikacji na niej to duże ryzyko, osobiście namawiam klientów by określali wymagania jakościowe na aplikację, to natychmiast przenosi się na platformę...

Temat: blokować, czy kontrolować??

Jarek Żeliński:

...

dla mnie administracja platformy oddzielona od aplikacji na niej to duże ryzyko, osobiście namawiam klientów by określali wymagania jakościowe na aplikację, to natychmiast przenosi się na platformę...

Tutaj wkraczamy już na następny temat: administracja systemem i usługą (np: Apache + PHP, Python,Tomcat itd. ) , a jakość i bezpieczeństwo aplikacji (np: strony/portalu firmy, sklepu, platformy, portalu itd...) stawianych na nich, zwykle pisanych przez firmę zewnętrzną, zwykle niestety w umowach firmy zapominaja zastrzec także że aplikacja ma spełniać wymogi bezpieczeństwa a ewentualne błędy zostaną szybko naprawione.

Jeśli problem wywołuje aplikacja (firma trzecia) to administrator często nie ma możliwości jego naprawienia.
Z doświadczenia wiem że w takich przypadkach o ile firma nie podpisała z firmą od aplikacji stosownej umowy na support to zaczyna się problem.Michał Panasiewicz edytował(a) ten post dnia 03.03.12 o godzinie 23:54

Temat: blokować, czy kontrolować??

Jeśli problem wywołuje aplikacja (firma trzecia) to administrator często nie ma możliwości jego naprawienia.
Z doświadczenia wiem że w takich przypadkach o ile firma nie podpisała z firmą od aplikacji stosownej umowy na support to zaczyna się problem.

dlatego od pewnego czasu odradzam klientom rozdzielanie odpowiedzialności za środowisko od odpowiedzialności za usługi oprogramowania dla jego użytkowników. Jeżeli ktoś w księgowości wymaga, by fakturowanie pracowało z przerwą na awarie nie dłuższą niż 10 minut w skali dnia, to dotyczy to wszystkiego do śrubek serwera na którym ta aplikacja pracuje włącznie... w efekcie dostawca lub jej lokalny administrator powinien odpowiadać całościowo za usługę biznesową. Nie bardzo widzę sens rozdzielania tej odpowiedzialności.

Problem jest z komputerem użytkownika, bo aplikacje "przeglądarkowe" można traktować oddzielnie, ale już systemy typu "klient-serwer" z tak zwanym grubym klientem rozciągają odpowiedzialność dostawcy (administratora) aplikacji na te komputery...

problem nie jest trywialny i sprowadzanie go to pytania "blokować czy kontrolować" chyba nie ma sensu...

Temat: blokować, czy kontrolować??

Jarek Żeliński:

...

z całym szacunkiem dla wielu z Was ("ludzi IT"): często walczę u klientów z samowolą adminów i innych służb IT, którzy uważają, nie muszą nikomu mówić co robią bo "wiedzą lepiej"... potem jest problem, bo w firmie dzieje się coś co nie zawsze zgodne z jej celami a bywa, że z prawem. Z przykrością powiem, ze wielu z nich po protu szkodzi firmom w imię własnego spokoju a nie raz i własnego interesu... nie jest niczym rzadkim dla mnie usłyszeć w kuluarach od tychże adminów i innych lokalnych programistów, że "IT czegoś nie chce bo to nie w ich interesie"... a tym interesem jest niestety nie raz ICH interes a nie interes firmy, dzięki której mają swoje wynagrodzenie...

Tutaj masz rację, często wtedy w firmie powstają enklawy, "państwa w państwie" które olewają zalecenia z góry/ polityke bezpieczeństwa/zasady korzystania z mienia i infrastruktury firmy itd. Winny jest temu oczywiście ich management który na to zezwala/ nie potrafi zarządzać podległymi mu ludźmi/ lub postępuje w myśl zasady że "dopóki się kręci" nie ma problemu .

Przykłady można mnożyć np: kilka źródeł autoryzacji/uwierzytelnienia w firmach dla tych samych użytkowników, nawzajem ze sobą niepowiązanych/ bez wspólnego zarządzania i wspólnej polityki bezpieczeństwa.Michał Panasiewicz edytował(a) ten post dnia 04.03.12 o godzinie 15:05

Temat: blokować, czy kontrolować??

Jarek Żeliński:

Piotr B.:
Krótko i Węzłowato :-)

Paweł Ratajczak:
Lepsza prewencja niż zapobieganie. Z doświadczenia wiem iż ograniczenie dostępu jest czystą sprawą bez zahaczania o przepisy prawa o których wspomniał mój przedmówca.

wszytko zależy, po pierwsze od tego "kogo" nadzorujemy (pracownik samodzielny czy nie), po drugie od tego jaką "kulturę nadzoru" praktykujemy, jedni na drzwiach piszą "proszę nie wchodzić" inni okręcają drzwi drutem kolczastym i podłączają do prądu....

dodam dla odmiany od siebie, że podczas swojej pracy na tak różnych stronach znajdują przydatne mi w różnych momentach informacje, że opisanie regułą "które to są" graniczy z cudem... (np. jak zawieram umowę wpisuję do Google nazwiska członków zespołu projektowego, i chce zobaczyć co i gdzie wypisują, to istotne czynniki ryzyka ;))) więc np. odcięcie mi GL, FB czy NK to porażka

co do zaś prewencji to owszem, blokada w pracy np. torrentów itp. serwisów łamiących prawa autorskie jak najbardziej ...

Oczywiście blokowanie całego ruchu z założenia jest bez sensu. W moim przypadku skutkowało rozeznanie jaki adres cieszy się popularnością a nie należy do obowiązków pracownika. Lepiej zostawić mała furtkę niż zamykać drzwi. W ten sposób powstaje zadowolenie i pracownika i pracodawcy. Po odsianiu skrajności uzyskujemy status quo.

Temat: blokować, czy kontrolować??

Robert K.:
niby jest wdrożona polityka bezpieczeństwa, niby wszyscy się zapoznali, a jednak ze względu na małą rastrykcyjność jakoś nikt nie przestrzega zasad korzystania z internetu :)

i stąd to pytanie - blokować dostęp do określonych witryn, czy kontrolować/logować strony przeglądane w czesie pracy przez userów i później walczyć z tymi "opornymi"??

czy macie jakieś sprawdzone systemy do kontroli/logowania stron odwiedzanych w pracy przez użytkowników?

Od pewnego czasu testuje produkt Palo Alto Networks, gotowy "appilance". Ze względu na mocno ograniczony czas który mogę poświęcić na analizę logów czy raportów został przyjęty model działania w postaci:
1. "ograniczeni" - biała lista URL, kontrola na poziomie aplikacji,
2. inni, reszta - kontrola na poziomie aplikacji zależnie od potrzeb.
Integruje się z AD, stąd potrzeby biznesowe stosunkowo łatwo skorelować z działką IT. Ogólnie rzecz biorąc ciekawe urządzenie pozwalające "inaczej" spojrzeć na kwestie bezpieczeństwa styku LAN/WAN.