Come controllare i siti dove navigano gli utenti aziendali ??
mt
Abbiamo un abbonamento internet alice con telecom adsl senza ip statico ( o
con non ricordo) utilizzando un router da loro fornito e gestito in centrale
Il router da un lato is becca il cavo telefonico e dall'altro va nella rete
locale a mezzo switch; i pc configurati con il gateway e il dns server
corretti possono navigare in internet.
Vorremmo controllare il traffico dall'azienda verso internet ossia
controllare i siti web ove navigano gli utenti aziendali diciamo per motivi
di sicurezza (non beccarsi virus o altro ed evitare che ad esempio un utente
acceda a materiale porno o magari metta in rete video particolari o altro
...)
Come fare ????
mettere un box tra il router e lo switch che intercetta tutte i pacchetti
che vanno verso o provengono da Internet ?
che prodotto ?
Grazie
Luca Sasdelli [MVP]
> Vorremmo controllare il traffico dall'azienda verso internet ossia
> controllare i siti web ove navigano gli utenti aziendali diciamo per motivi
> di sicurezza (non beccarsi virus o altro ed evitare che ad esempio un utente
> acceda a materiale porno o magari metta in rete video particolari o altro
Si puo' usare un proxy, che oltre a poter fornire una comoda cache per
i dati ricorrenti, permette di tracciare le informazioni che ti
servono.
Attenzione alla legge sulla privacy: e' necessario preparare una
dichiarazione che illustri le modalita' di monitoraggio della
navigazione e farla firmare per presa d'atto a tutti i dipendenti che
verranno monitorati. In questo modo, oltre a mettersi al riparo da
eventuali denunce, il traffico "anomalo" cala gia' di suo di un bel po'
:-)
Ciao
Luca
--
Luca Sasdelli
Microsoft MVP - Server, Security
mt
suggerisci un proxy. Potresti indicarmi un modello adatto al nostro scopo
(ci sono circa 20 postazioni) ?
è corretto il tipo di installazione: adsl - router telecom - proxy - rete ?
Saluti
"Luca Sasdelli [MVP]" <myn...@sasdelli.it> ha scritto nel messaggio
news:mn.bab37d7b2...@sasdelli.it...
Luca Sasdelli [MVP]
> suggerisci un proxy. Potresti indicarmi un modello adatto al nostro scopo (ci
> sono circa 20 postazioni) ?
Potresti installare IPCop www.ipcop.org oppure pfSense www.pfsense.com:
sono entrambi firewall con un modulo proxy; naturalmente poi devi poter
estrarre i dati relativi alla navigazione.
In linea di massima puoi pensare ad una distribuzione linux con i
pacchetti squid e sarg; se installi una Debian puo' far comodo anche
squid-prefetch, che precarica le pagine a partire dai link mostrati.
Sarg prepara un report web con tutti i dettagli del traffico.
Il tutto puo' stare su un PC minimale, anche di recupero, con due
schede di rete.
> è corretto il tipo di installazione: adsl - router telecom - proxy - rete ?
Si', esatto.
mt
"Luca Sasdelli [MVP]" <myn...@sasdelli.it> ha scritto nel messaggio
news:mn.bade7d7b4...@sasdelli.it...
bubu07
>
> Attenzione alla legge sulla privacy: e' necessario preparare una
> dichiarazione che illustri le modalita' di monitoraggio della
> navigazione e farla firmare per presa d'atto a tutti i dipendenti che
> verranno monitorati. In questo modo, oltre a mettersi al riparo da
> eventuali denunce, il traffico "anomalo" cala gia' di suo di un bel po'
> :-)
>
> Ciao
> Luca
>
visitati. come scoraggiamento si :-)
ciao
bubu07
r3lative
>ah PFSense ora ha anche Squid a bordo ? Interessante !
modulo aggiuntivo, scaricabile ;)
Luca Sasdelli [MVP]
> non è sufficente, in nessun modo è tollerato il controllo dei siti
> visitati. come scoraggiamento si :-)
Non mi risulta: ci sono gia' state sentenze in cui l'uso di internet e'
stato riconosciuto come bene strumentale di proprieta' dell'azienda, e
come tale soggetto al controllo. L'importante e' non mettersi nella
condizione di "spiare" i dipendenti a loro insaputa.
bubu07
>
> Non mi risulta: ci sono gia' state sentenze in cui l'uso di internet e'
> stato riconosciuto come bene strumentale di proprieta' dell'azienda, e
> come tale soggetto al controllo. L'importante e' non mettersi nella
> condizione di "spiare" i dipendenti a loro insaputa.
>
> Ciao
> Luca
>
incollo quello che so:
I datori di lavoro pubblici e privati non possono controllare la posta
elettronica e la navigazione in Internet dei dipendenti, se non in
casi eccezionali. Tale assunto espresso dal Garante era già menzionato
in molte norme e leggi dello Stato, non ultime quelle previste dallo
Statuto dei Lavoratori e dal codice penale.
Le linee guida riprendono un concetto ormai pacifico, e cioè che
spetta al datore di lavoro definire le modalità d'uso di tali
strumenti tenendo conto dei diritti dei lavoratori e della disciplina
in tema di relazioni sindacali (si vedano, art. 4 statuto dei
lavoratori e diverse sentenze della Cassazione in materia penale e di
lavoro)
Le esigenze di sicurezza informatica e telematica hanno imposto alle
aziende un controllo puntuale e meticoloso del traffico e dei flussi
informatici. Ciò ha consentito il monitoraggio di una mole di dati
(connessioni WEB, email, file di log) direttamente riconducibili ai
lavoratori. L'utilizzazione di tali dati o l'accesso a postazioni
informatiche dei lavoratori ha portato a qualche segnalazione al
Garante e ad alcune denunce penali. Vedremo come si sono conclusi
alcuni processi.
L'utilizzo per finalità private o per scopi ludici (non aziendali)
della posta elettronica (aziendale) o la connessione a siti web (non
istituzionali e/o lavorativi) ha determinato il proliferare di dati
personali e soprattutto sensibili.
Dall'analisi dei siti web visitati si possono trarre informazioni
anche sensibili sui dipendenti e i messaggi di posta elettronica
possono avere contenuti a carattere privato.
Partendo dal presupposto del concetto di bene aziendale e pertanto
strumentale al raggiungimento degli scopi lavorativi si sta cercando
una soluzione al problema del controllo di fatto sull'attività
lavorativa del dipendente. Una delle soluzioni è la prevenzione e
l'adozione di rigorose policy interne.
La comunicazione e l'informazione a tutti i dipendenti delle regole e
della policy dovrebbe portare ad una corretta ed equilibrata soluzione
del problema.
"Occorre prevenire usi arbitrari degli strumenti informatici aziendali
e la lesione della riservatezza dei lavoratori" (Garante per la
protezione dei dati personali) .
L'Autorità prescrive innanzitutto ai datori di lavoro di informare con
chiarezza e in modo dettagliato i lavoratori sulle modalità di
utilizzo di Internet e della posta elettronica e sulla possibilità che
vengano effettuati controlli.
Il Garante vieta poi la lettura e la registrazione sistematica delle e-
mail così come il monitoraggio sistematico delle pagine web
visualizzate dal lavoratore, perché ciò realizzerebbe un controllo a
distanza dell'attività lavorativa vietato dallo Statuto dei
lavoratori.
si dice in casi eccezzionali!! ma quali sarebbero i casi eccezionali??
poi dice che non si puo' assolutamente ma di adottare delle policy
restrittive ecc. ecc.
da questo si deduce che l'azienda non può proprio far nulla se non
intimidire il lavoratore dipendente.
per poi non parlare di sistemi di videosorveglianza e di controlli su
telefonate...altrimenti non ne veniamo piu' fuori.
se hai informazioni contrastanti a quanto ho detto , fammelo pure
presente, cosi' posso documentarmi ancora in merito.
ciao
bubu07
Luca Sasdelli [MVP]
> I datori di lavoro pubblici e privati non possono controllare la posta
> elettronica e la navigazione in Internet dei dipendenti, se non in
> casi eccezionali.
Esatto: per la posta elettronica e' pari pari come per la posta
cartacea: puoi leggere il destinatario sulla busta, ma non il
contenuto.
> Le esigenze di sicurezza informatica e telematica hanno imposto alle
> aziende un controllo puntuale e meticoloso del traffico e dei flussi
> informatici.
Questo e' un elemento molto importante: se non posso controllare l'uso
che viene fatto di internet, rischio che qualcuno mi porti in azienda
degli agenti virali informatici che possano compromettere il lavoro e/o
i beni stessi dell'azienda. Pertanto e' lecito avere questa attenzione.
> lavoratori. L'utilizzazione di tali dati o l'accesso a postazioni
> informatiche dei lavoratori ha portato a qualche segnalazione al
> Garante e ad alcune denunce penali. Vedremo come si sono conclusi
Certamente, cosi' come e' vietato spiare i dipendenti ad es. con
telecamere, anche se il motivo ufficiale e' la sicurezza sul lavoro,
perche' si potrebbe fare un uso distorto dello strumento.
> L'Autorità prescrive innanzitutto ai datori di lavoro di informare con
> chiarezza e in modo dettagliato i lavoratori sulle modalità di
> utilizzo di Internet e della posta elettronica e sulla possibilità che
> vengano effettuati controlli.
Perfetto.
> Il Garante vieta poi la lettura e la registrazione sistematica delle e-
> mail così come il monitoraggio sistematico delle pagine web
*Sistematico* e' cosa diversa da *saltuario*, per cui un controllo a
campione ha senso, mentre analizzare continuamente i dati movimentati
da un dato dipendente cade nella violazione della sua privacy.
> da questo si deduce che l'azienda non può proprio far nulla se non
> intimidire il lavoratore dipendente.
Piu' che intimidire: informare e controllare come detto. Io azienda ti
fornisco uno strumento per svolgere il tuo lavoro, come un cacciavite o
un raccoglitore di documenti; se con il cacciavite ti diverti a forzare
le auto dei colleghi, o se usi il raccoglitore per appiccare il fuoco
all'armadio delle paghe, debbo essere in grado di impedirtelo per
evitare che ci vadano di mezzo tutti. Cio' non significa che conto i
giri di vite o i fogli che inserisci.
> per poi non parlare di sistemi di videosorveglianza e di controlli su
> telefonate...altrimenti non ne veniamo piu' fuori.
Col VoIP uno dei vantaggi maggiormente sbandierati dai produttori e'
proprio il controllo sulle telefonate e parecchi software permettono di
registrare intere conversazioni in modo automatico; credo sia vantaggio
di tutti cercare le formule migliori per evitare gli abusi e aumentare
il beneficio dato da questi strumenti.
Per andare alle note pratiche, alcuni miei Clienti hanno voluto la
limitazione dei siti web visitabili con un proxy, mentre altri operano
un blocco a fasce orarie su alcune postazioni abilitate all'uscita.
Giovine
wrote:
>in effetti su questo discorso potremmo dibatterci anni ed anni, cmq
>incollo quello che so:
>
>I datori di lavoro pubblici e privati non possono controllare la posta
>elettronica e la navigazione in Internet dei dipendenti, se non in
Basta chiarire il fatto, al'assunzione del dipendente, che quella li'
NON e' la posta elettronica o la navigazione "DEL DIPENDENTE", ma
dell'azienda. Evitiamo di dare NOME.C...@AZIENDA.IT ma
REPA...@AZIENDA.IT
Darti le chiavi della cassetta postale dell'azienda per andare a
recuperare la posta in giacenza, non mi sembra uguale a dichiarare che
quella posta e' tua.
Omero
> Questo è il nostro problema
ore mensili e mega di up/down a utente con autenticazione su proxy,
tutti i siti che servono per lavoro (solo portali aziendali) aperti
mentre il resto (compreso google) va a tempo e a mega, un bel firewall
con antivirus e blocco pagine pornografia (costa annualmente ma serve
su reti medio grandi), blocco di tutte le porte dall'interno verso
l'esterno tranne la 80 solo per il server proxy e le varie vpn.
Antivirus centralizato con policy specifiche per settore (macchine
operatrici o pc per ufficio), questo secondo me non è male, poi se uno
non vuole impiegare un 2003 per fare da proxy puo sempre comprare un
router firewall con autenticazione utente e gestione utente.
Ciao
bubu07
>
> Basta chiarire il fatto, al'assunzione del dipendente, che quella li'
> NON e' la posta elettronica o la navigazione "DEL DIPENDENTE", ma
> REPART...@AZIENDA.IT
> Darti le chiavi della cassetta postale dell'azienda per andare a
> recuperare la posta in giacenza, non mi sembra uguale a dichiarare che
> quella posta e' tua.
son circa d'accordo con te ma vorrei vedere una mail d gruppo del tipo
ufficio-...@azienda.xx
oppure ufficio-paghe ecc ....se non ci sono casini x la privacy del
dip:-)
saluti
bubu07
Valerio Vanni
wrote:
>son circa d'accordo con te ma vorrei vedere una mail d gruppo del tipo
>ufficio-...@azienda.xx
>oppure ufficio-paghe ecc ....se non ci sono casini x la privacy del
>dip:-)
Che casini ci devono essere? Quella non è una mail personale.
Se l'amante scrive una lettera d'amora a ufficio-...@azienda.xx
deve aspettarsi che la leggano in varie persone.
--
Ci sono 10 tipi di persone al mondo: quelle che capiscono il sistema binario
e quelle che non lo capiscono.
bubu07
> On Mon, 26 Nov 2007 08:30:16 -0800 (PST), bubu07 <bub...@gmail.com>
> wrote:
>
> >son circa d'accordo con te ma vorrei vedere una mail d gruppo del tipo
> >oppure ufficio-paghe ecc ....se non ci sono casini x la privacy del
> >dip:-)
>
> Che casini ci devono essere? Quella non è una mail personale.
voglio vedere te che comunichi qualcosa di personale al responsabile
del
personale (magari qualcosa di salute) e poi qualsiasi persona facente
parte di quel gruppo la sa e tantopiu'
l'admin. E nelle aziende per quanto privacy ecc.. le parole corrono e
sempre piu' dai risponsabili
o colleghi dell'ufficio del personale.
>
> Se l'amante scrive una lettera d'amora a ufficio-person...@azienda.xx
> deve aspettarsi che la leggano in varie persone.
esempio non troppo azzeccato, l'amante scrive sulla webmail
personale :-)
bubu07
Giovine
wrote:
>voglio vedere te che comunichi qualcosa di personale al responsabile
>del
>personale (magari qualcosa di salute) e poi qualsiasi persona facente
>parte di quel gruppo la sa e tantopiu'
>l'admin.
Perche' vuoi veder(lo/mi) usare in maniera impropria l'email
aziendale? Per le cose personali e "segrete" esiste com'e' sempre
esistita la comunicazione diretta verbale e/o quella scritta,
indirizzata e in busta chiusa. Io piuttosto proprio non mi vedo andare
a comunicare qualcosa di "personale (magari qualcosa di salute)" via
email.
>> Se l'amante scrive una lettera d'amora a ufficio-person...@azienda.xx
>> deve aspettarsi che la leggano in varie persone.
>
>esempio non troppo azzeccato, l'amante scrive sulla webmail
>personale :-)
webmail personale che quindi sara' in grado di usare anche per tutto
il resto che non vuole sia letto dentro l'azienda...
bubu07
> On Tue, 27 Nov 2007 00:04:42 -0800 (PST), bubu07 <bub...@gmail.com>
> wrote:
>
> >voglio vedere te che comunichi qualcosa di personale al responsabile
> >del
> >personale (magari qualcosa di salute) e poi qualsiasi persona facente
> >parte di quel gruppo la sa e tantopiu'
> >l'admin.
>
> Perche' vuoi veder(lo/mi) usare in maniera impropria l'email
> aziendale? Per le cose personali e "segrete" esiste com'e' sempre
> esistita la comunicazione diretta verbale e/o quella scritta,
> indirizzata e in busta chiusa. Io piuttosto proprio non mi vedo andare
> a comunicare qualcosa di "personale (magari qualcosa di salute)" via
> email.
>
dell'azienda
per cui lavoro ed a volte sinceramente faccio fatica a dare
spiegazioni.
a volte hanno ragione ed a volte mi metto dalla parte del titolare che
in un certo senso non è piu' padrone in casa sua.
La posta cartacea credo che ormai la si utilizzi solamente per dare le
dimissioni!! e le mail d gruppo in certe realta non sono proponibili
sopratt
per chi tratta in maniera continuativa dati sensibili. cmq quello che
intendi e
chiaro e la vedo esattamente come te.
ciao
bubu07
Valerio Vanni
wrote:
>> Che casini ci devono essere? Quella non è una mail personale.
>
>voglio vedere te che comunichi qualcosa di personale al responsabile
>del
>personale (magari qualcosa di salute) e poi qualsiasi persona facente
>parte di quel gruppo la sa e tantopiu' l'admin.
Se un ufficio riceve comunicazioni riservate bisogna ridurre le
persone che leggono quella casella.