Uvijek sam se pitao kako firme olako prihvaćaju da administratori mogu pristupiti svim podacima. S jedne strane se uvode silni sigurnosni postupci a sa druge se ne provjeravaju ljudi koji su administratori.
Slično je sa čistačicama, kartica od čistačice otvara sva vrata :p
Administrator mora imati takav, apsolutan pristup. Problem nije u pristupu, nego ljudima.
Trebali bi znači uvesti kontrolore koji kontroliraju admine ,slično unutrašnjoj kontroli ,i stvar riješena.Educirati kadar za to,i t je to(troškovi rastu->neisplativo=možda kratkoročno).
Naravno tada ulazimo u domenu politike i antidemokracije i špijunjiranja...i sve se vrti u krug...za to nema rješenja i kako kaže već gore
nx u postu ljudi ,ljudi i samo ljudi....ljudske grešeke koje netko skupo plati.
Uvijek sam se pitao kako firme olako prihvaćaju da administratori mogu pristupiti svim podacima. S jedne strane se uvode silni sigurnosni postupci a sa druge se ne provjeravaju ljudi koji su administratori.
Slično je sa čistačicama, kartica od čistačice otvara sva vrata :p
Problem je u ljudima, ali još ima mjesta za promjene u pristupu, odnosno za bitno otežavanje pristupa osjetljivim podacima čak i adminu.
Svaka vrata se mogu probiti, pa i najjača blindirana od trezora, ali treba puuno više truda i vremena a to znači i rizika da će ga otkriti (eksplozivi, dugotrajno rezanje specijalnim rezačima). Cilj je dakle gadno otežati probijanje, tako da se ukupan trud za to ne isplati.
A ako je adminu sve servirano na pladnju bez ikakve zaštite, naravno da će zaviriti i pročitati plaću i slične povjerljive informacije.
Npr. zašto osjetljivi podaci kao što su iznos plaće u bazi podataka nije kriptiran?
Svaki db admin zato može lijepo napraviti SELECT * from PLAĆE i vidjeti sve što ga zanima, a da je kriptirano ne bi mogao.
Oracle ima standardno rješenje upravo za to: dba dmini mogu raditi backup i sve što treba, ali ne mogu vidjeti podatke.
Slično postoji i za datoteke u dijeljenim mapama ili mapama na vašim računalima. Programi koji kriptiraju datoteke ili cijele mape snažnim algoritmima
i admin to ne može čitati. Tada mu probijanje nije nimalo jednostavno i zahtijeva puuuno puuuno više truda i vremena i neće se tako lako odlučiti na to.
Postavljanje keyloggera na svako računalo koje ga zanima, pa filtriranje logova i traženje šifre pa probavanje - dosta više muke i rizika nego sada.
Te mjere smanjile bi broj slučajeva adminove zloupotrebe za 99.9%
Pfju, ove savjete bih trebao naplaćivati :)
Sve nešto kužim da su ekonomisti, tj. oni koji vode brigu o plaćama i takvim podacima, informatički nepismeni - kako ovdje kod nas, tako i vani. Tako da neke opcije koje govore o kriptiranju i drugim teškim intelektualnim oblicima rada sa računarima teško mogu proći.
stvar je vrlo jednostavna. evo da ispricam iz prve ruke..
tamo davne 99te bio sam admin u jednoj od ajmo reci banaka.. i digao sam poslovnicu na noge, sve poinstalirao, postavio sve sljaka ..security ovo ono.. i kada sam odlazio na drugi posao reko sam svome sefu da definitivno treba zaposliti pravog covjeka na mojem mjestu sto implicira neke ljudske kvalitete kandidata... Ipak se radi o banci sa jako puno confidental podataka... naravno ako oces dobrog i pametnog covjeka to košta! Naravno da su zaposlisli prvog mulca sa ulice i platitli mu neku sicu, a taj isti mulac je ADMIN. dakle BOG. Kasnije im je bilo jako zanimljivo....
Ako je covjek odgovoran za sve podatke, kao i za securiti za svih podataka i ako se malo potrudi moze procitati sto god oce... onda ga i platis! Jer ako si i firma i gledash to samo i iz svoje perspektive OPET ti je u interesu da takvog covjeka platis!..
Price/performance/security baby....:)
Da, ja se slažem da admin treba imati pristup svemu. Jer on je odgovoran kad taj isti SELECT * from placa ,ne radi ili sl.
Iz svoje ruke mogu reći kako imam pristup povjerljivim podacima, koji su na serveru, a i onima koji su na korisničkim računalima. Ne privatnim naravno.
Treba naći odgovornog čovjeka na takvo mjesto, i platiti ga i imati prema njemu ljudski odnos.
Na kraju će se taj IT svesti na vjerovanje. Danas SharePoint, sutra cloud-computing. I morat ćete im vjerovati.
Administrator mora imati takav, apsolutan pristup. Problem nije u pristupu, nego ljudima.
OVO JE SAMO DIO DALEKO VEĆE PRIČE.
Pa proizvođači telekomunikacione opreme već čitav vijek imaju nadzor nad čitavim telekomunikacionim sistemima zemalja.
npr. Nokia proizvodi i centrale i bazne stanice i telefone, a sve i jedan operator u Hrvatskoj, zbog tehničke podrške, daju apsolutni pristup sistemima inžinjerima iz Nokia-a. Isto je i za Ericsson i za Huawei, ali i za Srbiju, Mađarsku, Tajland...
OVO JE SAMO DIO DALEKO VEĆE PRIČE.
Pa proizvođači telekomunikacione opreme već čitav vijek imaju nadzor nad čitavim telekomunikacionim sistemima zemalja.
npr. Nokia proizvodi i centrale i bazne stanice i telefone, a sve i jedan operator u Hrvatskoj, zbog tehničke podrške, daju apsolutni pristup sistemima inžinjerima iz Nokia-a. Isto je i za Ericsson i za Huawei, ali i za Srbiju, Mađarsku, Tajland...
Pfju, ove savjete bih trebao naplaćivati :)
Na kraju će se taj IT svesti na vjerovanje. Danas SharePoint, sutra cloud-computing. I morat ćete im vjerovati.
Administrator mora imati takav, apsolutan pristup. Problem nije u pristupu, nego ljudima.
OVO JE SAMO DIO DALEKO VEĆE PRIČE.
Pa proizvođači telekomunikacione opreme već čitav vijek imaju nadzor nad čitavim telekomunikacionim sistemima zemalja.
npr. Nokia proizvodi i centrale i bazne stanice i telefone, a sve i jedan operator u Hrvatskoj, zbog tehničke podrške, daju apsolutni pristup sistemima inžinjerima iz Nokia-a. Isto je i za Ericsson i za Huawei, ali i za Srbiju, Mađarsku, Tajland...
prilika čini lopova
Administrator mora imati takav, apsolutan pristup. Problem nije u pristupu, nego ljudima
a da nije u robotima?
Evo zašto je važno paziti koga se zapošljava. Postoje testovi koji mogu, općenito uzevši, ugrubo utvrditi karakter osobe i čemu je tra osoba sklona. Nekorumpirani i nepotkupljivi ljudi danas sve više vrijede, ali ima ih sve manje. Kamo ide ovaj svijet?
OVO JE SAMO DIO DALEKO VEĆE PRIČE.
Pa proizvođači telekomunikacione opreme već čitav vijek imaju nadzor nad čitavim telekomunikacionim sistemima zemalja.
npr. Nokia proizvodi i centrale i bazne stanice i telefone, a sve i jedan operator u Hrvatskoj, zbog tehničke podrške, daju apsolutni pristup sistemima inžinjerima iz Nokia-a. Isto je i za Ericsson i za Huawei, ali i za Srbiju, Mađarsku, Tajland...
jedan od najboljih načina da imaš apsolutnu lojalnost ljudi na najodgovornijim funkcijama u firmi je da im daš velike plaće, beneficije, i najvažnije, dovoljno veliki paket dionica ne bi li imali osjećaj da i oni posjeduju dio biznisa, te kao takvi ne čine ništa što bi detrimentalno djelovalo na profit, koji je i djelom njihov.Nitko ne želi oštetiti samog sebe, naročito financijski.
Po staroj, koliko para toliko muzike.Ako čovjeku daš, od čovjeka ćeš i dobiti.Pa čak i kad je taj netko administrator. Najsmješniji su mi poslodavci koji očekuju da će mu čovjek raditi korektno, biti lojalan, neće zabušavati, a raditi će budzašto, za kikiriki, titulu i slične gluposti.Ako me cijeniš pokaži mi to preko tekućeg, a ne sa apgrejdanjem titula, usmenim zahvalama i parolama, demagogijama i sličnim.Ako zlorabiš radnika, budi siguran da će ti se to obiti o glavu, prije ili kasnije, na ovaj ili onaj način, a ako ne cijeniš najodgovornije ljude kao što su administratori, koji održavaju za poslove vitalan sustav, e onda bufi siguran da će te to prije ili kasnije opako zaboliti.
Nema potrebe za ovakvim tonom: "Al lupaš ... nemaš pojma". Radim za telekom pa vidim šta se radi. Proizvođači i integratori imaju daleko veći pristup sistemu nego mi (mogu brisati logove, skrivene komande, password se mijenja jednom u milion godina). Ma niko od radnika ništa ne pazi, svi gledaju samo da odu na doručak, popiju kafu i u 4 kući, a integrator i tehnička podrška u toj slici su crnci koji će im to i omogućiti.
Naxeem... Kada bi nekom reko da odrzavam servere i imam remote na svaki komp (neki kompovi su na udaljenim lokacijama), dosta ljudi bi me pitalo dali citam drugima mailove i dali pratim tko sta radi. Da ti budem iskren hebe se meni ko kome sta pise i ko sta radi na kompu. Imam ja i svog posla i bez tih gluposti.
Slazem se sa tobom, admin treba biti profesionalna i odgovorna osoba. Ali takodjer radi istog trebalo bi ih za to i platiti te bi admini u tom slucaju davali svoj puni potencijal.
