Rukoväť používateľa firemného e-mailu
* Nenávidím admina * blokovanie príloh * súkromný webmail vo firme * firma má neschopné IT * jokes s mierou * prečo mi vynadali? * firemná schránka nie je moja * ochrana intimity a súkromia vo firme: dlhý článok, z ktorého si nič rozumné neodnesiete. Mal som tento príspevok publikovať v pondelok ale piatok je taký provokatívny. Možno práve preto sa rozdiskutujú aj „používateľia“ pretože na to budú mať doma kľud ;-)
Firemná schránka nie je intímne komunikačné centrum
Adresa k Vašej firemnej schránke nie je najvhodnejší artikel, ktorý rozpošlete svojim kamarátom aby nakoniec slúžila k intímnej komunikácií. Napriek tomu, že sa všetci Vaši kamaráti zhodnú, že táto adresa a obsah Vášho mailboxu je Vaša súkromná záležitosť, v praxi narazíte na logické zdôvodnenia prečo by ste nemali podliehať zbytočným omylom.
Prostriedky firmy sú Vám poskytované k pracovným účelom tak ako písacie potreby, papier či celý počítač. Tieto nie sú Vašim súkromným majetkom a jedine také prostriedky, ktoré ste si zabezpečili zo svojich vlastných zdrojov môžete považovať za súkromnú záležitosť. Dochádza k mylnej interpretácií, že pokiaľ adresa zhodou okolností obsahuje Vaše meno či priezvisko, ide o intímnu záležitosť hodnú ochrany osobnosti, intimity a súkromia.
Pre akúkoľvek schránku elektronickej pošty (aj tie súkromné či už uložené kdesi na verejnom systéme webového rozhrania elektronickej pošty alebo hociaj na disku Vášho vlastného počítača) platí upozornenie o možnosti nečakanej kompromitácie jej obsahu. Pri transporte e-mailov cez poštové systémy je takisto kedykoľvek možné ich obsah kompromitovať. Neexistuje žiadny implicitný spôsob k ochrane Vašej osobnosti pokiaľ komunikujete elektronickou poštou. V prípade distribúcie citlivého obsahu elektronickou poštou existujú explicitné možnosti k jeho ochrane (PGP, S-MIME) ale tieto prostriedky je nutné vopred nasadiť a správne používať pričom je bezpodmienečne nutné aby tú istú technológiu podporovali a používali obe strany zúčastnené na komunikácií.
Prečo nie je firemná schránka „moja“?
Môžeme s plným vedomím vyhlásiť akýkoľvek firemný mailbox za plné vlastníctvo jeho prevádzkovateľa. Tradičný omyl „veď je to na moje meno“ je za každých okolností vyvrátiteľný základným faktom: mailboxy sú vytvárané s jednoznačným identifikačným číselným kódom (UIN), ktorý neobsahuje žiadne osobné údaje (meno, rodné číslo ani telesné miery). Až sekundárne je k mailboxom prideľovaná e-mailová adresa, ktorá môže obsahovať najčastejšie meno a priezvisko. Z tohto dôvodu môžete, pri najväčšej miere tolerancie, považovať túto časť pred „zavináčom“, za predmet ochrany svojej osobnosti. K časti adresy za „zavináčom“ sa však už akékoľvek Vaše práva nevzťahujú. Pretože samotná adresa bez mailboxu nie je prakticky použiteľná musíte uvažovať aj s Vašim vzťahom k firemnému prostriedku – mailboxu. Tento nemá k Vašej osobnosti žiadny vzťah a je v plnom vlastníctve Vášho zamestnávateľa.
Pokiaľ máte zásadový postoj k Vašej súkromnej korešpodencií a oprávneniam prístupu k nim – nepublikujte nikde adresu firemnej schránky a absolútne nikdy a za žiadnych okolnosti ju nepoužívajte k žiadnym účelom. Nepoužívajte ani žiadnu inú formu elektronickej komunikácie. Všetko ostatné je komunikácia s primeranou a hlavne iba tolerovanou mierou súkromia.
Používam e-mail takto už dlho a nič sa mi nestalo
Fakt, že niečo je možné urobiť ešte neznamená, že je to správne. Neexistuje precedentné správanie sa vo vzťahu k používaniu firemných poštových schránok.
Nemožno usúdiť, pokiaľ ste doteraz používali tento prostriedok na intímnu komunikáciu, že sa na ňu teda vzťahujú pravidlá pre ochranu Vášho súkromia resp. nedošlo k upozorneniu o Vašom nevhodnom používaní schránky a preto je to „bezpečné“.
Rovnako zodpovedáte aj za to, že Vaši osobní priatelia používajú adresu k firemnému mailboxu na nepracovnú komunikáciu (teda skôr na transport dát nepracovného charakteru – za komunikáciu považujte korešpondenciu, nie prílohy s vtipmi) pretože len Vy osobne ste im túto adresu poskytli bez úvahy o povahe poštovej schránky firmy.
Pretože súkromná komunikácia za pomoci firemných adries je všeobecný jav býva zvyčajne v istej miere tolerovaný všetkými spoločnosťami, ktoré prevádzkujú poštové systémy. Dôvodov môže byť niekoľko avšak zamestnanec nemá žiadny nárok k argumentovaniu precedentnými situáciami (aha môj kolega to robí tiež, v iných firmách to v pohode tak robia, doteraz som to robil a nikto mi nič nepovedal). Naozaj Vám nikto nemusí nič povedať. Je totiž implicitne daný vlastnícky vzťah k prostriedkom firmy.
Pokiaľ ste si teda posledné dva roky v pohode vymieňali s kamarátom porno videá, nemusí Vás nikto vopred explicitne upozorniť, že je to nevhodné resp. môže dôjsť k neočakávanému zákazu či postihu. Prečo je to takto sa ťažšie vysvetľuje ale obrazne sa to dá objasniť „poslednou kvapkou“ alebo „palicou, ktorá sa vždy nájde“ či „nepriaznivými okolnosťami“. Môže sa stať, že jeden jediný Váš mail s videom za extrémnych a náhodných okolností poškodí prostriedky firmy. V takom prípade sa hľadá vinník.
Obrázky, vtipy, fun stuff s mierou ďalej zájdeš
Pravdepodobne sa nedopracujeme k firemným schránkam bez tohto materiálu. Pokiaľ na ich výmenu chcete používať firemnú schránku a jej adresu, zväžte dopredu možné okolnosti:
– obsah schránky je za každých okolností uložený a zabezpečovaný prostriedkami firmy (neexistuje možnosť, že „kúsok“ je Váš alebo „sem“ nikto nemôže),
– prenos dát e-mailov je po trasách, na ktoré nemáte žiadny vplyv a akýkoľvek e-mail (prijatý, odoslaný, „pokazený“) môže byť (hm, skôr VŽDY JE) zaznamenaný v prevádzkových prostriedkoch poštového systému (KAŽDÉHO, nielen firemného). Je pravda, že tieto záznamy nie sú „prezerané“ nepretržite nejakým „firemným“ policajtom alebo inými zvedavými očami, no účel týchto záznamov je daný charakterom služby. V prípade technického zlyhania či prevádzkových problémov alebo púhej údržby je administrátor alebo iná osoba oprávnená, schopná a povinná analyzovať takéto záznamy. Dokonca je možné aj nasadenie automatického mechanizmu pre analýzu prevádzkových záznamov s Vám nejasnými pravidlami. Na prípadné reštriktívne opatrenia nemôžete mať z pozície „nevlastníka“ poštovej schránky žiadne pádne protiargumenty.
Pravidlo poslednej kvapky je veľmi častým prípadom, kedy dôjde k neočakávanému postihu za „posielanie blbostí“ napriek „pohodovému dlhodobému“ posielaniu takýchto vecí.
Najlepšou ochranou, pokiaľ využívate toleranciu zamestnávateľa, je snažiť sa logicky pochopiť pripomienky administrátora firemného poštového systému (ľudovo povedané: nenaštvite ho). Z vlastných skúseností musím podotknúť, že nebývajú pomstychtiví alebo „voyeri“, no radšej sa vždy nad ich poznámkami zamyslite a hlavne nepúšťajte ich jedným uchom dnu a druhým von. Neoplatí sa to.
Nedokonalé, pomalé, slabé systémy
Takmer vždy dospejete k názoru, že technické prostriedky Vám pridelené sú pomalé, slabé a nedokonalé. „Večne“ niečo nejde, stále sa Vám zapĺňa poštová schránka, súbory sa prenášajú pomaly, maily Vám nechodia.
Takmer vždy je tento Váš názor prehnaný. Neexistuje autonómny, transparentný systém, ktorý vopredne odhaduje Vaše nálady, potreby a schopnosti „obtočiť“ akokoľvek veľkoryso dimenzované prostriedky. Neexistuje „nekonečná rýchlosť“ a preto budete jedného dňa určite konsternovaný „pomalosťou“. Nemožno mať na e-maily nekonečne veľký mailbox. E-maily Vám nemusia prísť vtedy keď ich očakávate z množstva (tisíce) dôvodov a ten jediný „ten náš firemný server je pokazený alebo Administrátor za to zodpovedný“ je najmenej pravdepodobný.
U e-mailu doslova platí, že po jeho odoslaní už nad pravdepodobnosťou jeho doručenia visí trvale otáznik. Nikdy nikto a nikde nemôže a nesmie zaručovať absolútnu doručiteľnosť e-mailu. Pokiaľ to niekto tvrdí buď nie je zodpovedný za poštové systémy alebo je nekompetentný. Prípadne zámerne klame.
Zbežným odhadom objemu dát prechádzajúcich poštovými systémami je možné vyhlásiť, že v predošlých častiach spomínaná „tolerancia“ firiem je vlastne obrovská. Často až 90 percent e-mailov obsahujúcich prílohy nie je pracovného charakteru. A to dokonca aj v prípade, že sa to počíta na kusy a nie na objem. V objeme dát na „megabajty“ by táto forma absolútne prevalcovala rebríčky.
Z toho možno usúdiť, že prenosové linky a kapacity sú vo väčšine zaťažené spracúvaním „nepracovného“ materiálu. Pokiaľ by to zázračne prestalo, odrazu by boli systémy naozaj „rýchle“, „silné“ a možno aj dokonalé. Bohužiaľ vo väčšine prípadov už návrh projektu poštového systému a jeho dimenzovanie musí počítať s takouto sabotérskou aktivitou (samozrejme chápanou ako nevedomou zo strany zamestnanca).
Medzi používateľmi firemných schránok panuje predstava, že je to niečo ako ich vrecká v nohaviciach. Dokonca sa stáva, že po odoslaní mailu používateľ odmaže jeho KÓPIU zo zložky s odoslanou poštou a trpí pocitom, že zamietol stopy. Všimnite si slovo kópia v predošlej vete a vráťte sa k zmienkam o „prevádzkových“ záznamoch.
Nadávanie na neschopné počítače je teda púhym folklórom, ktorý sa nedá brať vážne.
Tak budem používať v práci webmail
Založili ste si e-mail na niektorom webovom simulátore e-mailu a rozhodli ste sa, že budete ho používať v práci. Bohužiaľ aj tu dochádza ku konfliktu. Aj keď máte tentoraz predstavu o nepriestreľnosti tohto rozhodnutia, musíte zvážiť:
– prostriedky umožňujúce zobraziť Vašu schránku vo webovom prehliadači nie sú Vaše,
– prenosové linky nie sú Vaše,
– nech je oboje predošle čistou náhodou Vaše, samotná schránka nie je prevádzkovaná Vašimi prostriedkami.
Intimitu, bezpečnosť a súkromie ste nikdy nezískali.
Pokiaľ sú prostriedky a linky firemné, je situácia totožná s firemnou schránkou. Tak ako e-mailová komunikácia aj „webová“ podlieha prevádzkovým záznamom. Samozrejme nie je v nijakých silách „bajt po bajte“, „písmeno po písmene“ v reálnom čase sledovať, čo smeruje z / do počítačov firmy. Je však možné pomerne úspešne rekonštruovať Vaše správanie sa za počítačom.
Používanie webmailu je pre firmu dokonca omnoho vyšším rizikom ako „zneužitie“ firemnej schránky na „vtipy“. Môže byť teda takéto správanie (použítie webmailu či webstránok všeobecne) ostrejšie analyzované. Nečakajte, že je to kvôli výmene erotických e-mailov so svojim domácim zvieratkom. Ale nedúfajte, že sa to „stratí“.
Firma blokuje prílohy
Absolútne normálna vec. Vzhľadom na mieru tolerancie sú medze voľnosti príliš veľké a môže dôjsť k rozhodnutiu sofistikovane filtrovať e-maily s prílohami. Môžu byť bez upozornenia vymazávané, vrátene odosielateľovi, či dokonca manuálne analyzované.
Nehľadajte v tom Big Brother.
Pozrite si odhad pomerov pracovnej a nepracovnej „pošty“ prechádzajúcej poštovými systémami.
Pokiaľ narazíte na informáciu, že by firemný poštový systém mohol blokovať či filtrovať prílohy, očakávajte, že prevádzka tohto systému je pripravená aj na pokusy tento systém oklamať. Preto môže byť nevinný „test, preslo to?“ povestnou kvapkou aj keď v konečnom dôsledku nemusí mať „rizikový“ obsah.
Pokiaľ sa Vám zdá, že ste systém oklamali, netrpte utkvelou predstavou, že ste od toho momentu krytí čiernou tmou a môžete „posielať“. Možno Váš pokus iba momentálne nestojí za pozornosť. V momente ako to preženiete alebo spôsobíte nejaký prevádzkový problém, tak sa použije pri hodnotení viny operácia „sčítanie“.
Všetko s mierou.
Ďakujem pekne, nenávidím firemného admina
Po tomto všetkom ste znenávideli manažerov firmy, IT oddelenie odhora nadol a tie mrzké svine admini sa stali pre Vás postavičkami hodnými ofrflávania a zaujímate k nim apriori „obranným reflexom“ vybudené postoje. Zapierate za každých okolností akúkoľvek možnosť osobného zásahu pri ich analýze problému, ktorý oni riešia.
Považujete ich ododnes (alebo už dávno) za voyerských úchylov, ktorí nechápu Vaše potreby či povahu. Vôbec im nerozumiete.
Áno, pokiaľ máte tento pocit, prejavili ste svoju subjektívnu citovú obrannú reakciu, ktorá sa dá pochopiť. Ale nemá logický základ.
Už vyššie som spomenul, že väčšina administrátorov sú tolerantné osobnosti, ktoré chápu nepomer ich praktických skúseností a obratnosti s tými Vašimi. Nekladú Vám za vinu tento stav. Očakávajú však, že budete spolupracovať.
Vačšina administrátorov sú milé, príjemné, tolerantné, rozumné, inteligentné a príťažlivé osobnosti s neočakávanou charizmou s vysokými hodnotovými charakteristikami.
Ja určite som.
Aj skromný som.
To si toho veľa nenapísal
Áno, ešte som ani nenačrtol ako sa správať k hoaxom, spamu, phishingu, vírusom. Nedokumentoval som šírenie fám o prevádzke IT systémov (resp. predávanie per huba informácií až k ich totálnemu skresleniu). Nespomínal som ani absolútnu slepotu k megabajtom (ak je ikonka stále asi 1x1cm, tak je predsa maličká). A vôbec som do textu nezakomponoval perličky zo života. Nepripomenul som ani výhody zasielania „URL“ pred samotným priložením súboru.
Prídavok
Jednu čerstvú si ale neodpustím:
Ja: nájdite prosím na ploche ikonku „Tento počítač“ a klepnite nad ňou pravým tlačítkom myši. Zobrazil sa Vám dialóg „Vlastnosti systému“?
Ona: [ticho, scanuje monitor zľava, sprava] …. é [začne čítať celý monitor]
Ja: prosím prečítajte mi názov okna, ktoré sa Vám zobrazilo
Ona: je tám, Uložit jako.., Ok, Storno, Procházet…
Ja: v takom modrom pruhu bielymi písmenami, je čo napísané?
Ona: …
Ja: tam kde je krížik, vľavo od toho.
Ona: … Zobrazení vlastnosti
Ja: [netrafila ikonku] tak ešte raz, skúste HROT tej šípky, ktorá sa pohybuje po obrazovke, keď hýbete myšou, presne nasmerovať nad ikonku, taký obrázok počítača, s názvom Tento počítač. Vidíte tú ikonku?
Ona: áno
Ja: tak teraz tu šípku tam nasmerujte… a až potom stlačte na myši pravé tlačítko.
Ona: mám
Ja: zobrazilo sa Vám Vlastnosti systému?
Ona: Zobrazení vlastnosti.
Ja: tak ešte raz…
Pokračovalo to ešte chvíľu, potom sme naštartovali CMD a nadiktoval som jej HOSTNAME a Enter. A mal som čo, som potreboval.
Neskôr som sa prihlásil remote konzolou a ovládal som jej desktop. Popri tom som ukázal, ako „zobrazí Vlastnosti systému“.
Vtedy mi to docvaklo, až vtedy mi povedala, že ona tú šípku posunula o kúsok vyššie mimo ikonky Tento počítač. Pretože je to „nad“ ikonkou.
Používateľia málokedy chápu farebne obrazce na desktope objektovo. Sú to proste pre nich abstraktné maľby. Nechápu ikonky ako objekty POLOŽENÉ na objekte plocha. Nechápu objekt „okno“ ako objekt „rámik“ nad plochou. Nechápu, že „pod“ oknom môžu byť iné objekty. Celý daný stav obrazovky je proste konzistentný farebný „stav“. Nie objekty. Používať „orientačné“ označenia je preto veľmi ťažké.
A už môžete ísť na Funny.sk
zly admim zly
pekna osveta – este par dielov o zbytku a vydam to interne (samozrejme s tvojim autorstvom a suhlasom :-) ) ako povinne citanie pre svojich userov… a voci podpisu… :-)
Zatial robim osvetu priebezne, podla toho, co zivot prinesie, ale uz je asi cas udriet naplno :-) Zatial vediem s nimi tichu vojnu – vzdy som pozadu s blokovanim porna na firewalle – nestiham tak rychlo blokovat, ako oni objavuju nove weby :-)))
[2] toto je presne ukážka, prečo ľudia nemajú radi adminov. Ty ako admin si nekompetentný rozhodovať o priebežnej osvete! To je v kompetencii ich priameho nadriadeného. Ten im má zadávať prácu a kontrolovať ich činnosť. S POMOCOU ADMINA napríklad, ak ide o prácu na počítači s pripojením do siete. Tento vzájomný postoj si musia ujasniť admini ale aj riadiaci manažéri. Potom jednoduchý pracovník ľahko pochopí, že na niektoré stránky sa nedá ísť, pretože to nabáda k zanedbávaniu pracovného času.
Ono stačí, aby sa počas firemnej schôdze riadiaci manažér postavil pred podriadených a povedal: „Na môj príkaz budú uplatňované nasledovné pravidlá z dôvodu lepšieho hospodárenia s pracovným časom a prostriedkami firmy. Presné detaily vám vzápätí vysvetlí náš admin“ A teraz sa môžete realizovať a garantujem vám, že budete milé, príjemné, tolerantné, rozumné, inteligentné a príťažlivé osobnosti s neočakávanou charizmou s vysokými hodnotovými charakteristikami.
Celý tento spot je o firemnej kultúre a preto je potrebné, aby firemnú kultúru dodržiavali aj admini. Treba nechať čo je manažérske manažérom a administračné adminom. Pri dodržaní firemnej kultúry by podriadený mal vprvom rade vysvetliť svôjmu šéfovi, prečo potrebuje k práci neblokovať niektoré prílohy mailov.
ad perex: Pobavila ma veta: …budú mať doma kľud… Z logov mojich stránok a eShopu je krásne vidieť to DOMáCE používanie ;;;-)
A vôbec: Zamysleli sa manažéri nad tým prečo má prístup na web a k e-mailom pracovník, ktorý to k práci nepotrebuje? A tí, ktorý to k práci potrebujú, boli preškolený na používanie tejto pracovnej pomôcky tak, ako je samozrejmé zaškoliť na používanie pokladne pokladníčku v hypermarkete? Myslím, že webový prehliadač a e-mailový klient má viac prepínačov ako pokladňa, ale akosi samozrejme sa predpokladá, že to všetci zvládajú. Vrátane etiky na webe.
[2] http://dansguardian.org/?page=introduction
a si v suchu ;-)
ad Interny dokument: toto je prilis rozvlacne, nieco ako „Dievcenska prirucka k vareniu“ v praxi je cielom dokument o dlzke 2 normostran.
[3] k poslednemu odstavcu by som ti povedal nieco konkretne z praxe ale interne ;-)
95 percent ludi a 95 percent pouzivania inetu NIE JE PRACOVNE. A nech mi kto chce co chce tvrdi.
Preto dost nalieham aj po inych linkach na rozsirovanie domaceho pripojenia k internetu. A preto ta poznamka v perexe.
[4] ako u koho – tu treba rozlisit ludi, ktori priamo s internetom pracuju, ako ja, a potom zvysok, ktory ma pristup ale potrebuje tak email + zapnut prehliadac raz denne (ale vyuziva ho viac).
[5] myslene v beznych korporaciach. U ludi, ktorych praca s internetom suvisi sa to neda ani poriadne rozlisit.
[3] 1. zasadne neblokujem prilohy, ohrozenie z tohoto smeru eliminuje kvalitny email klient a antivir
2. nie si nahodou nejaky skolitel modernych manazerov ;-) to su slova podla ISO 9000, alebo akeho? Lebo si trochu odtrhnuty od praxe. Mna ako admina vobec nezaujima, co hovoria poucky o spravnom postupe vo vztahu podriadeny/nadriadeny – ked ako admin zistim, ze niektory user mi lezie na porno weby, pripadne ine potencionalne nebezpecne, pripadne s dosahom na traffic, blokujem ich – nepobezim z kazdou blbostou za jeho nadriadenym, proste inkriminovane weby zablokujem.
Aby bolo jasno, neblokujem im obecne vsetko, co nesuvisi s pracou – to je ich svedomie, nie moje, ak chodia na funn a pod., blokujem im, co moze potencionalne ohrozit siet, pripadne stanice, pripadne traffic – a od toho si nebudem pytat povolenie od jeho nadriadeneho, bloknem na FW a hotovo – bezpecnost a funkcnost siete je v mojom popise prace, nebudem na kazdy krok pytat povolenie alebo zvolavat poradu. Co moze a nemoze, je pouceny na zaciatku, dalej uz len bez slova konam…
Admin sa musi zmierit s tym, ak ho radi nemaju – poznam par sieti, kde svojich adminov miluju (taky mily cloviecik to je a dobraaaacisko), ale zaroven maju na staniciach takmer stale problem s virmi a inym svinstvom…
[4] viem, ze to je rozvlacne a user by to necital, chcel som naznacit, ze sa mi paci, ako si to spisal.
[4] este na web content filteringom zatial rozmyslat nemusim – na FW blokujem klucove slova v URL, to je zatial pomerne ucinne, raz za tyzden preleziem logy, na podozrive adresy mrknem, ak porno, zablokujem konkretnu adresu – zatial sa tomu nemusim venovat natolko, aby som musel rozmyslat, ako do systemu zakomponovat content filtering, ale postupom casu sa tomu urcite nevyhnem – akurat, ze ten tvoj typ bezi na inych OS ako ja :-)
[8] jo dik, ved som tam napisal, ze som uzasny ;-)
pokial text pochopi ten, koho oslovuje spravne, tak zisti, ze ide o rady ako „odrbat“ deklarovanu prisnost podmienok ;-) a v druhom slede ide o demaskovanie strasiakov firemnych opatreni v sucinnosti s poukazanim na mylne predstavy, ktore je uzitocne pre lepsiu pohou odstranit.
Ja by som ako administrator informoval ludi stroho, strucne, vecne. Nesmiete sklznut do podrobneho vysvetlovania, je to taktika neunavit citatela hned na zaciatku „vysvetlovanim“. Je neuprosne pravidlo: prvy „neznamy“ termin a pozornost klesa na polovicu. Nesmiete ocakavat, ze preskocia comu nerozumeju a dalej pozorne sleduju text. Proste okamzite po najdeni nezrozumitelnej pasaze koncia. ;-) Podavat im viac ako potrebuju je tiez nedobre.
Piki ma pravdu v tom, ze zakladne body urcuje vedenie. Realizacia ide uz prislusnym tokom ;-)
[4] ano je to tak, 95% použivania internetu nie je pracovne a strasne ma udivuje, ze sa to trpi. Ani nie tak to surfovanie, ale že ľudia nie sú zavalený prácou tak, aby na to surfovanie a blbiny neostával čas. Možno je to aj o tom, že sú to práve tí ktorí by to mali sledovať, čo toľko mimopracovne… Potom je život komplikovaný.
[7] hej, mam skusenosti s manažérskych pozíc vo veľkej korporátnej firme. A aj v rámci malého kolektívu. Tie žvásty ostávajú žvástami preto, že 80% ľudí po tých školeniach to nechá vyfučať a nenechajú si poradiť, alebo sa aspoň inšpirovať. Ale to som už off topic.
[11] O com pises (este i v [3]) je sice spravne a tak by to malo byt, ovsem nie vsetko sa da realizovat, pripadne je to len teoria. Z rozpravania poznam, ze hlavne v zahranicnych firmach a hlavne v dcerskych spolocnostiach, ked je napr. pobocka cez VPN prepojena na matku, tak admini maju velmi obmedzene prava, vo vsetkom podstatnom su odkazani na hlavneho admina v „matke“ a oni su len „spravcovia kabelaze“ :-) Takyto admin potom samozrejme nemoze robit nic a je mu prikazane spravat sa, ako si popisoval.
Ovsem, skutocny admin, teda ten, ktory ma pod svojou spravou uplne vsetko, cize nie je nad nim „matka“, musi mat iste pravomoci, treba si uvedomit, ze castokrat spravuje data, ktore maju pre firmu nedoziernu cenu (ani len unik „obycajneho“ uctovnictva by nebola urcite sranda) a potom bezzuby admin je nanic admin (nemyslim osobu ako taku, ale jeho poziciu).
Pises, ze ako „admin som nekompetentny rozhodovat o osvete“. A kto je viac kompetentnejsi, ak nie admin? On pozna vsetky rizika, on vie, ako sa ma user bezpecne chovat, on pozna specifika svojej siete, on pozna, co vsetko sa mu na serveroch vala a ci ide o citlive zalezitosti alebo nie. Jedine admin je kompetentny rozhodovat a vykonavat osvetu – a nepotrebuje k tomu suhlas vedenia. Vedenie mu dalo do ruk spravu a zdopovednost za siet, servery a stanice a musi mat kompetencie k tomu, aby userov poucoval, pripadne napominal a musi mat i „povolení zabíjet“ :-) (nepisem teraz o kvazi-adminoch na pobockach s VPN na matku, ktori spravuju len kabelaz a pokazene klavesnice a mysi)
[10] jasne, user pochopi len strucne veci – ovsem tu je riziko, ze strucne podane vysvetlenie nepostihne vsetky aspekty problemu. Velmi vela krat nemam dobry pocit zo strucne podaneho vysvetlenia, user sice pochopi, ze toto a toto nesmie, ale potom sa stane to, ze neskor z nejakeho ineho kanala sa mu do usi dostane informacia, ktoru som z dovodu strucnosti vynechal, pre danu chvilu a danu situaciu nebola vobec potrebna, ale neskor podana tretou osobou, ma ten vysledok, ze: „a toto mi nas admin vobec nepovedal, vidis ten je ale blby, vidim, ze ty to poznas lepsie“.
[12] myslene je to takto: pokial SEFOVI nevadi, ze si uzivatelia hraju cez den miny, potom ty nemozes povedat nic a povazovat to za sucast firemnej kultury.
Pokial ale sef povie: toto a toto sa pouziva na toto a toto, priklad: „kazdy mail musite zacat oslovenim, poprianim pekneho dna a ukoncit ho touto standardnou hlaskou, nesmiete pouzit nadavky“, tak to je to, co urcuje sef. Zaroven moze urcit aj to, akym sposobom komunikujes v prilohach:
napriklad u nas je prisny zakaz nevyplnat v mailoch subject a posielat 4 riadky textu v prilohach (poznate to, manik ma word, tak v nom pise absolutne vsetko, takze aj maily robi tak ze napise vo worde a posle ako prilohu).
Je jasne, ze par ludi si so subjectom nerobi starosti: napise zvycajne jedno slovo, takze mate obcas inbox plny rovnakych subjectov s ramcovym slovom „projekt“.
Ale toto rozhodnutie vychadza od sefa (je jedno ci je to predstavenstvo nadnarodnej firmy, sk firmy alebo malej firmy).
Takisto „blokovanie“ – pripravili sme pre predstavenstvo material o prilohach v maili, navrhli sme opatrenia, prijali sa. Je to sice „moj“ napad ale rozkaz vydalo predstavenstvo. Ja mam svedomie ciste v tom, ze vidim komunikaciu v globalnom pohlade a aj ked chapem jednotlivca, po scitani tvoria extremne cisla, ktore sa proste musia obmedzovat aj napriek jednotlivcovej predstave, ze on nic „strasne“ nerobi a „firma ma kupit rychlejsie pocitace“ ;-)
Takze je najlepsie ramcovo sefovi predlozit projekt/riesenie/navrh, podlozit ho odhadmi, analyzami, stavmi. No a do toho zakomponujes aj prirodzene „sietove“ pravidla spravania sa ludi (vid. moj priklad so subjectom – nas sef pochopil prirodzenou cestou, ze subject je prakticka vec a prilohy zdrzuju).
Takze dnes sa smejem ked mi pred rokmi aj niektori ADMINI posielali divne maily, preco blokujeme prilohy, co ma nasa firma malo penazi na silnejsiu linku a podobne zvasty. Dnes ma vacsina z nich blokovace tiez. Niektori s tym zacinaju a posobia trosku amatersky a my uz frcime na plodoch vlastnych skusenosti.
[13] ved som uviedol v [7], ze ak uzivatelia chodia na funn (alebo sa zabavaju na PC inak), ja to neobmedzujem, obmedzujem len to, co ma neblahy vplyv na technicke prostriedky, vyuzitie pracovneho casu nie je moja, adminova, zalezitost. To fakt nech si kontroluju sefovia. A to co blokujem (samozrejme nie samoucelne, ale odovodnene), nekonzultujem s vedenim, nastastie mam „povolení zabíjet“ :-)
Rovnako nekonzultujem s vedenim, ako ma napr. vyzerat mailova komunikacia, oni to totiz sami nevedia (kym im to nepoviem), ja som admin, ja sa mam v tom vyznat, ja mam poznat netiketu a teda ja urcujem (resp. diktujem), ze treba vyplnat subject a pod. a pravidla obecne.
Admin musi mat istu doveru od vedenia a musi mat moznost posobit samostatne. Je uz vyhradne na mne, ci si obhajim, ak nieco zavediem a stretne sa to s nesuhlasom, ale k zavedeniu nejakeho pravidla obecne suhlas od vedenia nepotrebujem. Mam moznost urcovat, co a ako, ak sa proti tomu protestuje, je moj problem, ci to na vrchnosti obhajim, ale mam tu moznost posobit pruzne a nedavat vsetko na schvalovaci proces.
nemôžem inak, len sa pridať k príspevku č.3 od pikiho. Sám som taký „poloadministrátor“, ktorý je blokovaný hlavným. Mám s ním celkom dobré vzťahy, ale pozorujem u neho „miernu bohorovnosť“, tak ako aj v tomto článku. Súhlasím so všetkými obmedzeniami, ktoré sú opodstatnené a ak vedenie rozhodne, že sa e-mail úplne zruší, tak nech sa zruší. Ale NEMôŽEM súhlasiť s vymazaním e-mailu bez akejkoľvek stopy, čo tu u nás svojvoľne zaviedol náš admin. Niektoré prílohy, do ktorých napr. antivírový skener nevidí, sprosto vymaže a nedá hlášku o vymazaní ani odosielateľovi ani adresátovi. Pričom je mu jedno, či ide o súkromný alebo pracovný obsah. Že to nejde rozoznať chápem. Ale
1) načo je mail, u ktorého si nie ste istý, či ho po ceste niekto nevymazal
2) ako si niekto môže dovoliť svojvoľne vymazať pracovnú korešpondenciu
.. samozrejme, že nikoho neinformoval o svojich nastaveniach servera a keď som s tým chcel hromadne oboznámiť ostatných kolegov, tak sa mi začal sprosto vyhrážať (informatika samozrejme nemá vypracovaný bezpečnostnú politiku, alebo ako sa to volá..).
[15] vidim to z mojej stranky:
ja mam zavedene, ze bez vystrahy sa vymazavaju vsetky maily identifikovane ako zavirene a v poslednej dobe aj so spustitelnymi prilohami (iba prichadzajuce).
Zaroven sa selektivne vymazava to, co zostane v antispamovej sieti (cize robim sluzbu ludom, tretostupnovym filtrovanim), dalej co nie je mozne odhalit aky typ prilohy to je (nie pripona, datovy typ) – co je ale skoro to iste ako spam.
Dalsie typy zachytavanych e-mailov su notifikovane ale z nich nie su pustane dnu maily podla ich povahy (phishing, extremne „blbosti“).
Pre mna bohorovnost znamena aj tolkoto: ak komukolvek „povolim“, tak je to presne ako ‚podaj prst…‘.
Zvycajne ludia za adminom doliezaju a „skemraju“ o taketo „vynimky“ ale ak to admin urobi, musi si uvedomit, co z toho bude sam mat (rozumej nic). Malokedy som pocul, ze by admin doliezal za veducou skladu, aby mu dala o 4 ceruzky viacej ;-) alebo hajzlak naviac, ktory si zoberie domov ;-)
Musime si povedat, ze na e-mailovu komunikaciu by mali v kazdej serioznej firme, ktora komunikaciu s klientami berie vazne, stanovene prisne pravidla pre prilohy. Konkretna realizacia je uz nad tymto ramcom, pricom je velmi takze v hierarchii firmy „diskutovat“ o opravnenosti – pokial to pouzivatelom podas ako „restrikciu“ tak to budu chapat ako utok na nich. Co samozrejme nie je. Oni tie opatrenia su vlastne obrana voci sustredenemu utoku pouzivatelov (sice casto nevedomemu…).
Pre reptajucich ludi mam vzdy protiotazku: ok, ked Vam povolim filter, budete osobne zodpovedat, za bezporuchovost svojho pocitaca? Zodpoviete si pripadnu virusovu nakazu, ktora sa rozsiri z Vasho pocitaca? Budete zodpovedat za zvysene riziko poskodenia systemu, ktore hrozi niektorymi prilohami (prilis velke, prilis vela, ved viete)? V ten moment su takmer vzdy poziadavky „ad-acta“. Pretoze za spravny chod pc zodpoveda IT a ti v pripade problemu „nabehnut“. Ak budete mat „vynimku“ znamena to castejsie „nabiehanie“.
Len obcas na to dostanem odpoved: tak mi to nejako vyrieste, aby mi mejly chodili ale bez tych virov ;-) Joj, zlati moji, keby to slo… ;-)
Idealne je v takej hierarchii ako mas ty, ked admin nad tebou ta na rovinu informuje, tu je to a to. Tu je ale oficialne vysvetlenie, ktorym budes odpovedat ludom. (vzdy sa v nom nachadza slovo „zlepsenie“ ;-) )
.. akurát že som písal trošku o niečom inom – nemal som na mysli žiadne výnimky.
Nikto nedokáže zaručiť 100% spoľahlivosť ochrany .. resp. naopak, nie je vylúčené, že sa nezavírený mail s bezúhonným obsahom označí ako závadný. A vy mi ho vďaka tomu vymažete bez stopy. V mojom prípade myslím, že išlo o zaheslovaný excelovský sheet, ale to nie je až také podstatné. V našej súčasnej ochrane (a vidím, že aj vo vašej) mi chýbajú dva prvky:
1) aby sa povedzme prijímateľ (to je asi technicky jednoduchšie) dozvedel, že dostal nejaký mail od „xy“ a ten bol vymazaný, lebo „niečo“… (hoci aj súhrnne povedzme raz za den). Myslím si, že nie je odveci, aby sa môj e-mailový partner odo mňa mal šancu dozvedieť, že má zavírený počítač a chodia mi od neho zavírené maily.
2) reštrikčné pravidlá by mali byť verejné a nie tajné (najlepšie na intranete). Je dobré vedieť, že mi nesmie nikto posielať zaheslovaný sheet, lebo mi nemusí prísť. Je dobré to vedieť DOPREDU, a nie až po týždni čakania. A to neviem koľko iných mi neprišlo predtým, kým sme to metódou pokus-omyl nezistili.
[17] tiez ma napadlo, ze by moja konzola na „rucne vymazavanie“ mohla mat tlacitko „informuj“ o vymazani. Ja mam software, ktory moze mazat ale mam radsej, ked dava VSETKO do karanteny a mazem rucne. To zavirene som spomenul v zmysle: to co je v zavirenej karantene sa maze vsetko – mozno pred 100 rokmi platilo, nahodou ten mail mal aj hodnotu, dnesu uz je to 100%ne virus a nic ine.
k bodu 1) velmi tazko sa dopatram k skutocnemu povodcovi nakazy, podla Received by velmi hmlisto, existuju moznosti ako upozornit spravcu toho servra ale vseobecne je to „strielanie vedla“ ako priamo tomu hoviadku, co si zavirilo pocitac.
2) restrikcne pravidlo je jedno: mailujte pracovne, mame system pre kontrolu priloh podla ich obsahu, pokial Vam bude systemom mail pozastaveny, reagujte na prislusne hlasenie podla textu v tele hlasenia. Hotovo :-)
Problem „admini zaviedli filtrovanie a preto ma to obmedzuje“ je skor vyhovaranie sa ako realny fakt. Stacilo by totiz, aby tych 95 percent pouzivatelov zrusili 95 percent mailovania. A uz by prestali problemy so „stracanim“ pracovnych mailov ;-) Dovolim si tvrdit, ze dokonale ;) Ja viem, ze obcas na to „miznutie“ nadavaju ludia, ktori mailuju „iba pracovne“.
už len posledná poznámka(y):
1) nepochopil som text „reagujte na prislusne hlasenie podla textu v tele hlasenia“ .. ja neviem, že mám na niečo reagovať. Nedostanem do schránky nič! Vymaže sa komplet celý mail, nie iba attachment – tak ako keby mi nikto nič neposlal.
2) nič nie je na 100% (a ani nikdy nebude)
prajem pekný deň (viď. von :-)
[19] moj system umoznuje pomerne zosiroka ponat konfiguraciu jeho spravania, jedna z moznosti je poslat pri kazdej udalosti nad mailom – zaradenie do karanteny resp. vymazanie – tu to funguje, ze vyhovie pravidlam a padne „do foldra“ a vo foldri je sada „akcii“ – vymazanie, ponechanie, odovzdaj dalej, notifikacia (mailom, ci inak)…)
Takze v 1) je to tak, ze ked sa mail umiestni do karanteny, spusta sa akcia „notifikacia“ a jedna z nich je „email odosielatelovi resp. prijemcovi“ so znenim, ktore si samozrejme formulujem pri konfiguracii filtrov.
To, ze ty to mas inak je sposobene tym, ze nemas taky soft ako ja ;-)
2) to mi nevadi, kedze nic nemaze automat. ale je dobre mat vo firme havarijne postupy: napr. ti vypadne na pobocke pripojenie, tak musia vediet, ako komunikovat nahradnymi kanalmi. cize ak mam robotu co suri na sekundy a system nie je schopny splnit tuto poziadavku, tak nemailujem ale telefonujem atd.