Inventarisatie van software, via het netwerk: mag het?

Als je langs de PC loopt en je ziet dat het gebeurd zeg je er toch ook wat van?
Waarom dan niet op deze PC's, het is immers jullie eigendom...

afvalzak schreef op donderdag 16 mei 2013 @ 09:48:
Als je langs de PC loopt en je ziet dat het gebeurd zeg je er toch ook wat van?
Waarom dan niet op deze PC's, het is immers jullie eigendom...

Dat lijkt me niet het juiste argument. Met dit argument zou je ook overal verborgen camera's op mogen hangen. Immers: als je toevallig langs liep, dan zie je het toch ook?

Een gerelateerde vraag is wel eens langsgekomen op security.nl:
https://www.security.nl/a...wareverbod_afdwingen.html

En als je een beetje rondneust in de achtergrond artikelen daar (met name die vragen aan Arnoud Engelfriet) kom je denk ik nog wel meer artikelen tegen over wat wel en niet acceptabel is op het gebied van monitoren in bedrijfssituaties.

Samenvattend:

...er moet een reglement zijn, monitoren moet op anonieme basis en de maatregelen moeten proportioneel zijn en enig privégebruik toelaten.

[ Voor 9% gewijzigd door Orion84 op 16-05-2013 09:58 ]

Ja,maar er hangen volgens mij wel een aantal voorwaarden aan(zie boven)
Hier bij mij op het werk wordt het ook gedaan,voor zover ik weet mag je geen privacy schenden,dus het moet een globale scan zijn,je mag geen kans hebben dat je prive info ziet.Ik zie hier bv alleen wat er geinstalleerd staat en kan zoeken op specifieke .exe bestanden als ik dat wil (bv Itunes).Dingen als documenten/bestanden worden genegeerd,

Lees het stuk van Arnoud Engelfriet dat ik hierboven link eens goed door, incl. het eerdere artikel waar hij naar verwijst.

Monitoren hoort anoniem te gebeuren, pas als er vermoedens zijn dat een persoon de regels overtreedt kan je gericht onderzoek gaan doen en dan nog hoort dat vastgelegd te zijn in het reglement etc.

In mijn ogen zou een redelijk nette aanpak zijn:

- Alle medewerkers nog eens duidelijk wijzen op de regels en aankondigen dat er over X weken een scan uitgevoerd zal worden om te zien of er ongeauthoriseerde software geïnstalleerd is.
- Scan uitvoeren, zonder dat daarbij dus een IT medewerker persoonlijk gedetailleerde uitkomsten gaat zitten doorspitten. Zoals Arnoud aangeeft zou je bijvoorbeeld kunnen scannen, waarbij je, als je wat aantreft, automatisch een bericht naar de betreffende gebruiker stuurt om hem hiermee te confronteren en aan te geven wat de consequenties zijn als de software bij een volgende scan nog steeds wordt aangetroffen.
- Tweede scan uitvoeren en op basis daarvan (en dus de communicatie die eerder is uitgegaan naar overtreders) evt. meer gericht gaan onderzoeken / medewerker aanspreken.

Mag het???????

Vertel er dan nog wel even bij waarom de aangetroffen software niet mag.
Bij uTorrent of Grabbit zal iedereen het wel snappen, maar ik had Teamviewer geïnstalleerd staan om m'n PC thuis over te nemen en snapte daar het probleem niet zo van.

Bottomline: ik werd ook op die wijze gescand en ermee geconfronteerd, maar begreep niet helemaal waarom.

diehardmking schreef op donderdag 16 mei 2013 @ 10:32:
[...]
Bedankt voor je reactie!

Let wel: ik ben geen jurist of zo, mijn post is een combinatie van boeren verstand + mijn interpretatie van de uitspraken van Engelfriet. Dit soort dingen wil je dus ook niet in je eentje als ICT'er op touw gaan zetten. De basis (wat mag wel/niet, welke controle vind plaats, welke sancties) moet goed zijn vastgelegd in een ICT reglement.

PromWarMachine schreef op donderdag 16 mei 2013 @ 10:36:
Vertel er dan nog wel even bij waarom de aangetroffen software niet mag.
Bij uTorrent of Grabbit zal iedereen het wel snappen, maar ik had Teamviewer geïnstalleerd staan om m'n PC thuis over te nemen en snapte daar het probleem niet zo van.

Bottomline: ik werd ook op die wijze gescand en ermee geconfronteerd, maar begreep niet helemaal waarom.

Die discussie wil je helemaal niet aangaan op dat moment. Bovendien is dat helemaal geen optie bij een automatische scan die op alles triggert dat niet op de whitelist staat.

Gewoon de gebruiker op de hoogte stellen dat hij software gebruikt die niet op de lijst met toegestane software staat en uitleggen hoe hij software op die lijst kan krijgen als ie het nodig heeft voor zijn werk. De discussie waarom iets wel of niet wordt toegestaan kan dan in dat certificeringstraject worden gevoerd.

[ Voor 50% gewijzigd door Orion84 op 16-05-2013 10:41 ]

moet er wel bijzeggen dat bij ons als je een pc krijgt/erop moet werken je een papiertje moet ondertekeken + iedere keer bij inloggen de policy te zien krijgt met dit soort dingen erop.

en met globale scan bedoel ik dat er alleen op bv geinstalleerde programma's en op .exe bestanden gescanned wordt.

op andere bestanden mag volgens mij niet gescanned worden omdat dar prive info tussen kan staan,en bij werk pc's kan je er vanuit gaan dat er ook prive opstaat dus moet je er goed op letten hoe je scant.

de reden ervoor is redelijk simpel trouwens : company policy , niet meer en niet minder.

op het moment zijn we erg druk met scannen omdat men(hoger IT) o.a. alle niet goedgekeurde freeware weg wil hebben,dit omdat de license soms niet handig is voor commercial use (iets met verplichting om data vrij te geven en weet ik niet wat) er is geloof ik maar 1 gpl license die commercieel zonder problemen gebruikt kan worden. dat is dus ook eventueel een reden voor een bedrijf om het te verbieden

[ Voor 32% gewijzigd door mrsar op 16-05-2013 10:53 ]