Michał C.:
Takie rozwiązanie zaproponowałem w pkt.3. - tyle, że skuteczne.

Nie ma to jak dowiedzieć się, że długo i skutecznie używane rozwiązanie jest tak naprawdę nieskuteczne :)

Jestem orędownikiem rozwiązań opensource (sam ich używam w wielu obszarach) - jednak znam także ich ograniczenia.

To cudownie! Ja tak mam z rowerami i chińskimi pałeczkami do jedzenia ;)

A na poważnie. Żadne techniczne rozwiązanie nie jest pozbawione wad. Zaproponowane "w pkt.3" też nie - to prawie zawsze jest single point of failure, no i programista ani grafik na tym nie popracują.

Witam,

Nie ma to jak dowiedzieć się, że długo i skutecznie używane rozwiązanie jest tak naprawdę nieskuteczne :)

>

Mówimy tu o warunkach poruszonych przez zaczynającego wątek - co jest meritum mojej wypowiedzi a nie o stosowaniu przez Pana TrueCrypta. Sam go stosuje na codzień jako skuteczne zabezpieczenie.

A na poważnie. Żadne techniczne rozwiązanie nie jest pozbawione wad. Zaproponowane "w pkt.3" też nie - to prawie zawsze jest single point of failure, no i programista ani grafik na tym nie popracują.

SPoF są także: sieć do której się podłączają, serwery, systemy zasilania serwerów (jak nie ma podtrzymania UPS i Agregat), dostęp do powierzchni dyskowych (jak nie ma SANu z 2-ma fabricami i clustra serwerów udostępniających) kabel sieciowy, wifi, laptop (CPU, HDD, MB,itd), jego system, oprogramowanie jakiego używają na laptopie, zasilacz laptopa, zapomniane hasło czy wreszcie serce i mózg pracownika.
Różnią się tylko prawdopodobieństwem wystąpnienia awarii, kosztem usunięcia i minimalizacji skutków :) .

Każde rozwiązanie ma wady i do każdego można się przyczepić - dla tego podałem szerokie spektrum rozwiązania - załatwiającego między 60 a 90% typowych sytuacji.
Nie dywaguję - tylko operuję danymi z wątku.
Rozpoczyjnający wątek nie podał jakiego software używają w pracy.
Jak są programistani lub grafikami i chcą pracować na własnych maszynach - to należy uporządkować kwestie legalności oprogramowania i świadczenia na nim pracy poprzez zapisy w umowach. To jedno.
Osobnym problemem jest techniczne zapewnienie dostępu do danych/narzędzi z zachowaniem bezpieczeństwa z punktu widzenia firmy.
Im więcej firma wprowadzi zabezpieczeń technicznych przez nią zarządzanych tym skuteczniej chroni swoje dobra.
Zabezpieczenia organizacyjne (jak np. wymóg szyfrowania plików na prywatnych laptopach) są uzupełnieniem zabezpieczeń techniczych i są tak skuteczne jak osoby je stosujące do nich podchodzą/jak są egzekfowane.
Z życiowej praktyki wiem, że ludzie ułatwiają sobie pracę i eliminują jakiekoliwek utrudnienia w pracy przez co naruszają bezpieczeńswo.
Stąd moja teza o nieskutecności stosowania truecrypta w tym wypadku - a nie o nieskuteczności samego truecrypta jako produktu.

Mam nadzieję, że rozwiałem wątpliwości.

Pozdrawiam
Michał

Definicja SPoF, której ja używam to (za Wikipedią):
A single point of failure (SPOF) is a part of a system that, if it fails, will stop the entire system from working

Czy wszyscy pracownicy w Pana firmie używają jednego mózgu, serca i laptopa?

Michał C.:
Witam,
Sprawy bezpieczeństwa i etyki poruszyli już poprzednicy.
Ja bym jeszcze do tego dodał:
- Nieodpłatne świadczenie korzyści na rzecz pracodawcy z użyciem sprzętu prywatnego - czyli pracodawca powinien odprowadzać od takich korzyści podatek,
- Jeżeli są to treści wytwarzane na prywatnych komputerach to czy oprogramowanie na tych komputerach (licencje) jest legalne, bądź czy licencje na to oprogramowanie zezwalają na świadczenie usługi (większość nie zezwala)
- formalne nieuregulowanie spraw świadczenia pracy na komputerach prywatnych grozi żadaniami zapłaty ze strony prawcownika za takie używanie w przypadku niepokojowego rozstania się takiego pracownika z firmą
- jeżeli materiały źródłowe znajdują się na komputerach prywatnych to pracownik może odejść wraz z nimi (np. kody źródłowe, dane źródłowe)
- prywatne laptopy są używane także rozrywkowo, co w przypadku włamania się na nie / ich utraty i obecności firmowyc danych stwarza dla firmy niebezpieczeństo (brak polityk).
- brak możliwości stosowania automatycznych polis dla tych komputrerów
- możliwość połączenia sieci firmowej z internetem, w przypadkach gdy ktoś ma modem GSM i połączy się z netem aby załatwić prywatę

W skrócie:
1. Należy uregulować w formie pisemnej na jakiej zasadzie prywatne komputery są używane w firmie.
2. Należy zdefiniować zakres odpowiedzialności za sprzęt i oprogramowanie oraz kwestie podatkowe (US)
3. Należy tak zbudować infrastrukturę IT aby pracownik nie miał możliwości skopiować danych (nie stykał się znimi bezpośrednio) - np. praca przez zdalny pulpit z ograniczeniami - komp pełni tyko rolę ekranu i klawiatury.
4. zastanowić się nad zmianą warunków zatrudnienia na kontraktowe, lub wprowadzić zapis w umowie o pracę, że pracownik sam wyposaża swoje stanowisko pracy i ma na ten cel ryczałt w wysokości xxx zł ale musi spełnić określone warunki techniczne.
5. Ustalić wymogi licencyjne dla prywatnych laptopów oraz oświadczenia o odpowiedzialności karnej za używanie oprogramowania pirackiego lub niezgodnie z licencjami - jednocześnie ustalając standard oprogramowania - jaki jest w firmie. Jak użytkownicy wycenią sobie oprogramowanie, które mają prywatnie kupić - to szybko im przejdzie.

Generalnie temat jest z seri takich - co trudno je uregulować w sposób zadowalający wszystkich a jednocześnie nieuregulowany ściągnie kłopoty na pracowdawcę (jak nie utrata danych - to kłopoty prawno-skarbowe).

Pozdrawiam
Michał

Zakładając ten temat nawet nie spodziewałem się, że dostanę tyle wyczerpujących odpowiedzi. Dziękuje.

Sprawa obiła się o szefostwo i stanęło na tym, że będzie jak było:(
Ludzie (programiści) używają czego chcą i jak chcą; póki są wyniki ich pracy to trzeba dać im wolną rękę, żeby pokazać jak otwarta jest firma.
Na mnie spadł obowiązek przygotowania strony technicznej aneksu do umowy dot. korzystania z prywatnego sprzętu w pracy i przygotowanie sprzętu w taki sposób, żeby zabezpieczyć go jak najlepiej.

Macie jakieś gotowe regułki, które można dodać do takiego aneksu, które dobrze opiszą stopień odpowiedzialności pracodawcy za sprzęt prywatny, tzn,
*umywamy ręce od całego nielegalnego oprogramowania na komputerze pracownika
*wypłacamy ekwiwalent (właśnie, ile???) za używanie sprzętu, żeby mieć spokój z US
itd.

Druga sprawa, jaki software zainstalować na sprzęcie, aby jak najbardziej zabezpieczyć go przed niebezpieczeństwem? Antywirus, antymalware, co jeszcze??

Macie jakieś gotowe regułki, które można dodać do takiego aneksu, które dobrze opiszą stopień odpowiedzialności pracodawcy za sprzęt prywatny, tzn,
*umywamy ręce od całego nielegalnego oprogramowania na komputerze pracownika
*wypłacamy ekwiwalent (właśnie, ile???) za używanie sprzętu, żeby mieć spokój z US
itd.

Druga sprawa, jaki software zainstalować na sprzęcie, aby jak najbardziej zabezpieczyć go przed niebezpieczeństwem? Antywirus, antymalware, co jeszcze??

Witam,
gotowców nie ma, ale postaram się pomóc.
Jeżeli to programiści to wprowadziłbym:
- dostęp do danych/kodów źródłowych poprzez mapowany udział z serwera pracodawcy (pracownik w takcie pracy i po zakończeniu zapisuje efekty swojej pracy na serwerze (katalog wydzielony, share, repozytorium, itd.) + odowiednia formuła w umowie o tym, że zobowiązują się pozostawiać w formie dostępnej dla pracodawcy (a nie np. w formie zaszyfrowanej) efekty swojej dziennej pracy - przed opuszczeniem firmy.
- katalogi/shary z dostępem z autoryzacją - tak aby można było wiedzieć, kiedy i kto się podłączał do nich
- codzienne backupy tych sharów - aby mieć najaktualniejszą kopię efektów ich pracy.
- codziennie sprawdzałbym czy się wywiązują z tego obowiązku.

Co zaś do zapisów (pisane z tzw. palca- językiem nie prawniczym):
* pracownik zobowiązuje się świadczyć na rzecz pracodawcy pracę na sprzęcie prywatnym w zamian za co otrzymuje dodatek do pensji w wysokości ...(opodatkowany). Pracownik oświadacza, że sam będzie utrzymywał sprzęt w działaniu a w przypadku jego awarii zapewni sobie zapasowy ...
* pracownik oświadcza, że jest właścicielem sprzętu, oprogramowania z użyciem którego wytwarza ..., oraz że ponosi pełną odpowiedzialność za zawarość komputera oraz zainstalowane na nim oprogramowanie i treści...
* Pracownik oświadcza, że ponosi pełną odpowiedzialność za straty pracodawcy wynikłe z działań prowadzonych z użyciem sprzętu pracownika
* pracownik oświadcza, że jest w posiadaniu legalnego oprogramowania na którym świadczy pracę oraz że może go używać komercyjnie do świadczenia usług na rzecz pracodawwcy
* Pracodawca definiuje "standard" takiego stanowiska wymieniając oprogramowanie, które musi być zainstalowane na takim komputerze, zanim zostanie on podłączony do sieci firmowej - na koszt pracownika.
**** tych punktów określających zasady wykorzystania sprzętu pracownika będzie jeszcze pewnie z kilkadziesiąt. Taką umowę powinien tworzyć prawnik.

To tyle - tak na szybko.
Ja bym do takiej umowy zatrudnił prawnika oraz księgową. Jeden załatwi paragrafy a drugi powie co i jak z US i ZUS.
Wystarczy "mały" donos wkurzonego pracownika, a szef firmy i jego pracownicy długo będą się błąkać po różnych nieprzyjemnych miejscach.

W mojej ocenie takim pracownikom należy zaproponować formułę "kontraktową" co uwolni pracodawcę od odpowiedzialności za sprzęt pracowników i legalność ich oprogramowania.

Jeśli cokolwiek zależy od użytkownika to wcześniej czy później okaże się że tego nie robił, i żadne zapisy tego nie zmienią.
- Dane potrzebne mu do pracy i potrzebne firmie będą utracone w chwili kradzieży lsptopa/uszkodzenia dysku. (brak backupu, brak synchronizacji z serwerem)
- Jeśli ma dane poufne nie będą one zaszyfrowane
- jeśli ma możliwość instalacji będzie coraz więcej wątpliwej legalności oprogramowania na sprzęcie
- jeśli zabezpieczenia (np:hasła) zależą od użytkownika to z czasem ich nie będzie
itd.

Zawsze, ZAWSZE tak to wygląda, i prawdopodobieństwo tego wzrasta wykładniczo z czasem pracy.Michał P. edytował(a) ten post dnia 22.09.11 o godzinie 21:12

Skoro ludzie są na umowę o pracę, to nie bardzo czuję gdzie jest problem.
Ich widzimisię? A od kiedy to pracownik decyduje co, jak, gdzie i na czym będzie robił? To zdaje się pracodawca zarówno określa co jest do zrobienia, jak i warunki odpowiednie zapewnia, żeby to wykonać.

Ja myślę, że tu po prostu brakuje woli, żeby temat raz na zawsze uciąć bez dyskusji. Szczególnie, jeżeli charakter pracy nie wymaga używania Mac'ów (a jaki tak naprawdę wymaga?). A nie jest też tak, że jest to wyjątkowo rozpuszczona brać studencka, której się w d... poprzewracało? :)

Próby produkowania tasiemcowych umów reuglujących odpowiedzialność za to i tamto, w praktyce będą nieskuteczne jak projekt się wyłoży, bo koder "zapomni" zaktualizować swój kawałek kodu albo mu "zginie" laptop lub tysiąc innych rzeczy się zdarzy z awarią sprzętu na pierwszym miejscu.

Ale oczywiście można próbować jechać bez trzymanki :). Jeszcze pytanie czy firma robi dla siebie, czy na zewnątrz. Jak na zewnątrz, to tym bardziej bym nie ryzykował kar kontraktowych i innych śmiesznych rzeczy za ewnetualne obsuwy "bo kod zniknął" :).