giovedì 15 marzo 2007

Sempre colpa degli imprenditori

Ipotesi A
Dalla rete aziendale vengono svolte attività illegali, che so associazione sovversiva, pedopornografia, hackeraggio di siti ecc.
Arriva la polizia, non so indicare chi sia stato e vengo condannato io in quanto responsabile della rete.

Ipotesi B
Metto dei filtri e dei controlli che tracciano le attività della mia rete verso internet.
Arriva il garante della privacy, mi dice che non posso controllare i dipendenti e mi condanna.

Ipotesi A/1
Il mio responsabile commerciale improvvisamente si ammala, gli ordini si accumulano nella sua email.
Non li posso leggere perché in mezzo potrebbe esserci il messaggio della chiesa xy che gli dice che la riunione di venerdì è spostata a giovedì (e quindi saprei che lui è un adepto) e il garante della privacy su arrabbia.

Ipotesi A/2
Dal un telefono al mio interno partono telefonate di insulti.
La polizia arriva e mi condanna se non so indicare chi è stato

Ipotesi A/3
Metto un sistema di controllo del traffico telefonico.
Il garante della privacy arriva e mi dice che io non posso controllare e mi condanna.

Ma siamo proprio sicuri che nel 2007 la cosa più conveniente per le aziende debba essere chiudere la rete interna a internet e avere un indirizzo di posta elettronica unica con un sistema di smistamento in ricezione e spedizione e un centralino per chiamate entranti e uscenti?

Tralasciando il fatto che, se mi si permette, dovrei poter controllare cosa fa una persona con materiale mio, mentre la sto pagando (e per il telefono a mie ulteriori spese).

12 commenti:

Fabrizio ha detto...

Nessuno ti vieta di controllare le email dei dipendenti, tu ovviamente avvertirai preventivamente gli stessi che vi possono essere controlli sulle email aziendali, loro pertanto eviteranno di usare il loro indirizzo aziendale per rispondere ad annunci di scambio coppie o feticisti.
Inoltre se la tua azienda è in regola con le (barocche) normative sulla privacy, avrà dotato ogni pc di accesso mediante autenticazione in modo tale che ogni persona debba lasciare una traccia univoca ogni volta che usa un pc.

Anonimo ha detto...

le solite puttanate imposte alle imprese.
Ma hanno mai visto come è ridotta la pubblica amministrazione?
se entri in un Comune puoi vedere tranquillamente faldoni di documenti lasciati lì alla mercè di chicchesia (esperienza personale...ma credo possa capitare facilmente a chiunque).
Zener

Anonimo ha detto...

In più tramite il firewall posto a protezione della rete aziendale puoi benissimo sapere quale IP interno ha effettuato eventuali collegamenti illeciti. E siccome, come ha detto ceccoman, la normativa sulla privacy impone l'uso di password su ogni PC, puoi avere un collegamento diretto tra pagina illegale, PC che l'ha richiesta e utente che usava quel PC.

Anonimo ha detto...

no, non è possibile controllare le mail, e non è possibile nemmeno il traffico internet, nemmeno avvisando preventivamente.
era una pratica di dubbia validità prima, er ora è stata definitivamente vietata.
è possibile mettere dei blocchi a priori però.

roberto

Unknown ha detto...

Mi occupo di sicurezza informatica all'estero, probabilmente nella prima e piu' grande azienda di sicurezza IT al mondo.
Siamo gialli... :)


Non so se quanto dico sia applicabile in Italia, ma cosi' si fa in tutte le aziende degne di essere definite Enterprise.



Ipotesi A

con semplici sistemi non di filtro ma solo di auditing la polizia e' autorizzata a controllare i logs, ma non tu... i sembra piu' che giusto.
E' molto difficile, e cmq da evitare, che la responsabilita' della rete sia dell'imprenditore.


Ipotesi B

Cosa vuoi analizzare della attivita' su internet nello specifico?
non puoi controllare la gente, ma rendere disponibili i dati se succede qualcosa.
Vuoi prevenire? metti i blocchi in partenza e non in mezzo... Stare in mezzo ad "ascoltare" o leggere non e' giusto, e nemmeno permesso.


Ipotesi A/1

Se ti avvali di bravi amministratori di rete, si puo' automaticamente rigirare la posta in arrivo ad un'altra casella, di una persona autorizzata dall'assente a leggere la sua posta.



Ipotesi A/2

Prevenire con VoIP. :)


Ipotesi A/3

Ancora una volta, puoi fare auditing e pure registrare se chiedi le giuste autorizzazioni *prima*. Poi se succede qualcosa puoi rendere i dati disponibili, ma non puoi farne uso.

Anonimo ha detto...

siete gialli?
avete l'itterizia o siete cinesi?:)
zener

Fabrizio ha detto...

@roberto: sei sicuro? ci sono parecchie sentenze che hanno permesso licenziamenti per giusta causa, in quanto dal controllo delle email si è potuta verificare l'infedeltà del dipendente (spionaggio a favore di concorrenti).

Poi anche il garante prescrive che si informino i dipendenti sui controlli, comunque possibili, qui:

http://www.altalex.com/index.php?idstr=38&idnot=10689

Anonimo ha detto...

Ho seguito, in azienda, la gestione di questa problematica, le mail non si possono MAI leggere (ma d'altra parte non si potrebbe neppure rubare). Cosa può fare una azienda senza, appunto, cadere in procedure bizantine? Prima cosa è dotarsi di una policy interna relativamente all'uso degli strumenti in oggetto, ovversia il dipendente deve sapere chiaramente ciò che l'azienda permette di fare con tali strumenti come intende gestire le informazioni, se esistono procedure di raccolta e/o backup e chi può gestire e/o accedere a tali informazioni (matrice delle responsabilità). Nel caso che l'azienda decida di vietare assolutamente qualsiasi tipo di utilizzo di questi strumenti per fini non aziendali è consigliabile che vengano attivata delle alternative. Esempio, se è vietato utilizzare i telefoni aziendali per chiamare gli amici, la morosa etc. e allo stesso tempo non è permesso l'uso del telefono cellulare personale (cosa che più che un divieto mi sembra una banale applicazione del buon senso) è buona cosa che vi sia almeno un telefono non "controllato" da potersi utilizzare in momenti ben precisi ad esempio durante la pausa caffè. Ma allora come può tutelarsi una azienda dagli abusi? Perchè credo che a nessun imprenditore dotato di un briciolo di senso critico voglia veramente vietare tutto il vietabile, il problema è che c'è sempre qualcuno che se ne approfitta. L'imprenditore non può leggere le mail ma può effettuare controlli sulle dinamiche dell'uso degli strumenti ossia se io durante una giornata produco un flusso di mail talmente elevato ma soprattutto non giustificato dai miei incarichi aziendali è chiaro che non sto certo svolgendo i miei incarichi, bene è solo questo che, di primo acchito, l'imprenditore mi può contestare ossia l'uso dello strumento ma non i contenuti. E se dovesse vedere una mia mail con oggetto, chessò, :" ti invio documentazione tecnica relativa al progetto xxx", con un destinatario che non è assolutamente tra quelli previsti? Può fare denuncia alle autorità competenti, che saranno poi loro ad appurare chi e come e con quali strumenti ha comesso il fatto.

Anyway, l'uso del buon senso sia parte dei dipendenti che dell'impresa è necessario per evitare terrorismi, alibi, ed inutili bizantinismi nello svolgimento dei propri incarichi. I problemi dovrebbero sempre e solo di natura "tecnica" quando diventano di natura relazionale e/o procedurale l'azienda è già là sulla strada di diventare un posto da cui andarsene.

Bene, adesso mi preparo che è ora che mi dedichi al mio lavoro

Saluti
Omar

Omar

Anonimo ha detto...

@ceccoman: sì, è una sentenza uscita di recente. non so darti i riferimenti perché l'ho letto sul giornale di sfuggita e non mi sono informato oltre. (anche se è il mio mestiere ma... colpa mia!)

sostanzialmente il senso è che tu come azienda sei obbligato (sic!) a dare a disposizione la mail a un dipendente. al limite gliene puoi consentire una personale privata non controllabile, e una di lavoro che eventualmente puoi controllare.
per il traffico web invece è assolutamente vietato controllare.
però è lecito impedirlo o limitarlo.

in questo modo l'azienda può scaricarsi ogni responsabilità riguardo la casella postale privata del dipendente e controllare quella lavorativa.

trovo ridicolo comunque in generale che un dipendente possa disporre per uso personale degli strumenti di un'azienda.
come se, non so, un operaio addetto ad una macchina da taglio si mettesse a tagliarsi dei ciondolini per la sua fidanata non so.

roberto

Anonimo ha detto...

Non posso non notare un eccesso di bizantino spirito cavilloso: se c'é l'ipotesi A alloora sei colpevole, se c'é l'ipotesi B.... quasi a lasciar credere che da qualche parte ci possa essere una ipotesi Z in cui non sei colpevole. Sei cittadino? Bene, sei colpevole.
;-)

Unknown ha detto...

Noto con piacere che la mia provocazione ha evidenziato: da un lato l'incertezza legislativa (tutti dicono cose diverse) dall'altro l'assurdità di certe regole.

So bene (e uso, sia chiaro) che si possono usare accrocchi e modi per evitare il grosso dei problemi (ma non tutti) ma non tutti possono permettersi di insallarli e manutenerli. E mica voglio spiare sempre i dipendenti ma può capitare di voler controllare alcune cose.

Matia, lavori all'estero non hai idea di come siano complesse le leggi in Italia. E voi gialli con cosine che ogni tanto zoppicano non ci aiutate.

Grazie a tutti per il dibattito.

Etienne tu fai l'avvocato sai che alla parola "cittadino" del tuo messaggio se sostituisci "imprenditore" la massima è valida moltiplicata per x e a prescindere.

La verità è che alla fine vengono premiati quelli che se ne sbattono e al solito mazziati quelli che vorrebbero fare le cose secondo le regole.

Unknown ha detto...

COMODA SEMPRE DARE LA COLPA AGLI IMPRENDITORI.....

METTIAMOCI UN ATTIMO NEI LORO PANNI.....

E COMUNQUE GUARDATE UN PO QUANTE INIZIATIVE FA LUI!!!

http://www.tizianomotti.com/