Názory k článku
IT bezpečnost jako mrtvý obor

Podivej se do kalendare. Pise se rok 2008 nikoli 1988.

O tom co, potrebuji uzivatele rozhoduji uzivatele ve spolupraci s vedenim spolecnosti. Nikoli IT oddeleni! To je vec, co? To jsou novinky. Jak dlouho ti bude trvat, nez to tvoje hlava vezme.

Hloupy nazor, ale tvuj ze?! :))

Tak podle vas urcuje IT oddeleni co potrebuji uzivatele? Takovemu nazoru rikam hloupy.

Pokud nedokazete ochranit interni sit, aniz byste ustrihli uzivatele od Internetu, tak takovou praci poverim nekoho jineho.

jak si tedy predstavujes ochranu vnitrni site? to me tedy zajima. Rad se priucim, protoze nemohu garantovat zadnou bezpecnost, pokud je defaultni akce "permit" jak na siti tak na systemu.

Dobře dobře. A jakým způsobem to tedy děláte vy když jste tak chytrý? Nepopírám že to lze. Ale je to velmi velmi finančně náročné. Takto držkoval můj kamarád který si naivně myslel že k tomu všemu mu stačí stavový firewall a logování provozu. Po tom co si odsnifoval nadměrný provoz tak zjisti že si někdo z firmy celý den vesele používá skype. Pokud byste nějak zajistil aby si za spamující počítač šéfa případně manažerů sami zodpovídali tak prosím. U nás mají plný přístup jen IT školitelé,administrátoři a studenti ve vyučovacích hodinách(anžto to potřebují).

Ano, o tom co potrebuji uzivatele dostane IT pokyny z jinych mist. Ale pouze pro tyto uzivatele udela vyjimky. Obvyklym pozadavkem vedeni spolecnosti je zamezit brouzdani po pornostrankach, hrani her, stahovani a instalovani warezu apod.

Vhodnou ukazkou je pristup do vnejsi site na port 25 - povoleni odesilani posty pro vsechny si firma zadelava na rozesilani spamu a pritomnost na blacklistech.

Pravda je asi nekde uprostred - naproste vetsine uzivatelu staci provoz pres proxy na 80/443, pro ostatni se zavadi vyjimky.

pro radu lidi "staci" email, takze s takovam pristupem bych jim zakazal http uplne. Ono je to strasne jednoduche to vsechno zakazat a rict "mam problem vyresen". Jenze pak potrebujete nejakou sluzbu a cekate par hodin nez vam zavedou vyjimkou a v drtive vetsine pripadu vyjimka nedopadne napoprve, i kdyz administrator ticket uzavre. Pak se to vraci zpet na kontrolu vyjimky. Nehlede k tomu, že kazda takova vyjimka zvysuje s casem v celkove koncepci bezpecnostni riziko.

Kdo nakonec urcuje co potrebuji a nepotrebuji uzivatele? Takove restrikce jsou zname z 90. let, ale potradaji logiku (krome tedy ulehceni prace adminum). Navic brani rozsirovani dalsich sluzeb, ktere nejsou zalozene na HTTP resp. se pres HTTP musi slozite tunelovat. A ve vysledku to riziko paradoxne zvysuje.

Jiste. Ale pokud nemate komplexnejsi ochranne prostredky tak se vystavujete riziku. Ja si proste nemuzu dovolit pustit vsechno ven. Za chvili zacne pocitac spamovat okolni internet, nekdo zacne prehlcovat sit mnozstvim spojeni do p2p site. Firma neni internetovy provider. Firma ma poskytnout zamestnancum zazemi pro praci. Sestavim to co typicky zamestnanec muze potrebovat, doladim s IT manazerem a podle toho pustim nebo nepustim urcite sluzby. Kdo potrebuje neco navic toho obslouzim. Bezpecnostni model by nemel byt slozity jinak se v nem clovek za chvili nevyzna. Mam rad jednoduche a funkcni veci. Tou l7 filtr rozhodne neni. Takze nastavim pravidla ve firewallu co ten dany clovek potrebuje nebo nepotrebuje a hotovo. Pokud potrebuje plnou konektivitu tak loguju spojeni a podepise mi papir ze prebira zodpovednost.
Kecy typu proc omezovat uzivatele si nechte pro zdruzeni Naše země moře chce. Až budete mít v práci perfektně vyškolené a pracovité uživatele, kteří budou dělat za stejné platy jako teď tak mi přijďte říct a já se na ten světový unikát přijdu podívat. Pak se dá uvažovate o plné konektivitě.

uzivatele by teoreticky rozhodovat o tom co chteji delat v praci (napriklad cely den cumet na youtube) mohli pokud by meli dohromady dostatecny balik firemnich akcii a prehlasovali tak investory/majitele.