Security Professionals - ipfw add deny all from eindgebruikers to any

Verzamelen meet gegevens

10-02-2011, 12:13 door Anoniem, 10 reacties
Goedendag beste lezer,

ik heb heb eens een vraag over het verzamelen van meet gegevens.

wij voeren beheer uit voor verschillende bedrijven. wij kunnen ook remote in hun servers etc.
nu willen wij management en performance tools gaan gebruiken binnen al deze organisaties.
maar nu is mijn vraag welke regels, wetten etc. zijn hier van op toepassing. bijv. mag ik zomaar performance gegevens verzamelen en wat mag ik hiermee etc?

onder performance mogelijkheden wordt o.a. gekeken wat is de cpu usage, disk usage maar ook naar wat de gebruiker deed op het moment van de crash (geheugen dumps etc).

kan iemand mij hier verder mee helpen of eventueel verwijzen naar artikels hierover.

m.vr.gr.

ivo maas
Reacties (10)
12-02-2011, 21:26 door Bitwiper
Door Anoniem: wij voeren beheer uit voor verschillende bedrijven. wij kunnen ook remote in hun servers etc.
nu willen wij management en performance tools gaan gebruiken binnen al deze organisaties.
maar nu is mijn vraag welke regels, wetten etc. zijn hier van op toepassing. bijv. mag ik zomaar performance gegevens verzamelen en wat mag ik hiermee etc?
Buiten de algemene privacywetgeving ben ik me niet bewust van wetten op dit punt (maar ik kan me vergissen).

Gangbaar is dat organisaties die bedrijven zoals het jouwe inhuren voor het uitvoeren van werkzaamheden, vooral als het daarbij gaat om toegang tot de meest gevoelige informatie (privacy en/of zakelijk), een geheimhoudingsverklaring laten tekenen. Ook als ze dat nalaten en jullie lekken dergelijke gegevens, dan maken jullie bij een rechter vermoedelijk een goede kans om ongelijk te krijgen (het kost je in elk geval minstens 1 klant). Van een systeembeheerder mag immers redelijkerwijs worden verwacht dat deze zich integer gedraagt.

Kortom, als je gegevens gaat verzamelen, maak daar vooraf goede afspraken over, en geef aan waarom je die gegevens verzamelt. Mocht je die willen publiceren (bijv. op je website om aan te geven hoe jullie een bepaalde situatie verbeterd hebben) vraag daar dan expliciet toestemming voor. Zo voorkom je teleurstellingen.

wat de gebruiker deed op het moment van de crash (geheugen dumps etc).
Laat de betreffende bedrijven in elk geval hun personeel informeren dat dit tot de mogelijkheden behoort ivm de privacywet. Als zo'n crash plaatsvindt als gevolg van het starten van malware zoals een Facebook-worm (of opgedrongen een foute porno-site), kun je juridisch gedonder verwachten als die gebruiker daarop wordt aangesproken terwijl hij/zij er niet vooraf op gewezen was dat de apparatuur van de baas daar niet voor bedoeld is.

Als jullie het ICT beheer doen bij bedrijven kun je je afvragen of de directies van die bedrijven zich voldoende bewust zijn van rechten en plichten op ICT gebied; jullie kunnen ze daarover adviseren. Het is verstandig om personeel erop te wijzen dat er regels zijn waar ze zich aan moeten houden, maar ook dat er gemonitord wordt of kan worden (zoals het checken van mailserver en firewall logs, het analyseren van crashdumps zoals je aangaf, maar ook het uitmesten van besmette PC's).

Een voorbeeld van een "gedragscode internetgebruik" (ook bekend als AUP = Acceptable Use Policy) kun je o.a. vanaf deze pagina downloaden: http://www.arboarchitecten.nl/themas/overig/voorbeelddocumenten/gedragscode-internetgebruik/.
13-02-2011, 08:23 door Syzygy
Als jullie al beheer doen dan heb je natuurlijk al een Non -Disclosure Document getekend want jullie hebben (afhankelijk van wat je beheert allemaal) al kennis over Passwords, een account met redelijk veel rechten zo niet Admin rechten, IP adressen, type apparatuur, versies software, wellicht instellingen van de Firewall en noem maar op wat voor gevoelige informatie nog meer .

Als daar info over data traffic en cpu load bijkomt staat dat natuurlijk niet in verhouding (qua gevoeligheid) met bovenstaande info die je al hebt.

Als de klant gevraagd heeft de performance te bekijken heb je dus al een goedkeuring maar als je het wil doen om een bepaald probleem op te lossen vraag dan in ieder geval toestemming en dan wel "op papier" , voor zover er nog papier aan te pas komt ;-) (via de Project Manager of zo)

Het verbaast me echter dat jullie dat nog niet doen met zoveel bedrijven. Als een bedrijf aan het reorganiseren was deed ik standaard altijd van die metingen om te zien hoe de boel er voor stond maar ook om gezeur van gebruikers/managers te pareren door ze feiten te kunnen laten zien. En bij de directie scoren die gegevens, mits mooi met veel kleurtjes en taarten gepresenteerd, ook altijd wel goed.

Dus altijd de zaak even afdekken door toestemming te vragen.
Helemaal als je de gegevens op je bedrijft gaat verzamelen, dus SNMP via het Interweb. (richt het wel een beetje goed in dan ;-)

Succes ermee
13-02-2011, 16:59 door Brian
even uit mijn hoofd, volgens mij mag je data vezamelen die niet herleidbaar is tot een natuurlijk persoon.
leg de vraag anders voor aan Arnoud.
14-02-2011, 07:16 door Syzygy
Door Brian: even uit mijn hoofd, volgens mij mag je data vezamelen die niet herleidbaar is tot een natuurlijk persoon.
leg de vraag anders voor aan Arnoud.
even voor de goede orde:

Je meet dus o.a. processor belasting, disk belasting etc etc., in geval van netwerk app, aantal pakketjes dat gepasseerd is, aantal dat gedropt is etc etc.. dus geen inhoudelijke data van de klant.
14-02-2011, 08:18 door Above
Door Anoniem:

onder performance mogelijkheden wordt o.a. gekeken wat is de cpu usage, disk usage maar ook naar wat de gebruiker deed op het moment van de crash (geheugen dumps etc).

kan iemand mij hier verder mee helpen of eventueel verwijzen naar artikels hierover.

m.vr.gr.

ivo maas

De meetgegevens kunnen de privacy van de gebruiker schaden.
14-02-2011, 11:37 door Syzygy
@ above

We hebben het hier natuurlijk over servers en netwerk apparatuur, wie is dan "de gebruiker" ??
14-02-2011, 11:41 door Above
Door Syzygy: @ above

We hebben het hier natuurlijk over servers en netwerk apparatuur, wie is dan "de gebruiker" ??

Hij geeft zelf aan, "maar ook naar wat de gebruiker deed op het moment van de crash".
Hij heeft het dus zelf over een gebruiker. Hij zal de systeembeheerder bedoelen die in de serverruimte zit te chatten :-0
14-02-2011, 14:16 door Anoniem
ik heb even een mailtje gestuurd naar de heer engelfried m.b.t. tot deze kwestie.

natuurlijk hebben wij een overeenkomst waarin staat dat wij hun gegevens beheren. maar ik wou nu eens even weten hoe dit wettelijk geregeld is. want niet elke overeenkomst is rechtsgeldend. een overeenkomst mag namelijk nooit in strijd zijn met de wetgeving van een land.

maar bij deze het mailtje:


Dit lijkt me iets om contractueel vast te leggen bij uw opdrachtgevers dat u dit mag. Zo kunnen zij niet zeggen dat u bedrijfsspionage pleegt.

Verder moet u opletten dat u géén gegevens over de gebruiker verzamelt waarmee hij geïdentificeerd kan worden. Dus liever geen WIndows usernames, e-mailadressen of iets dergelijks. Indien die onvermijdelijk toch vergaard worden, dan graag zo snel mogelijk anonimiseren. Dit op grond van de privacywet.

Met vriendelijke groeten,

Arnoud Engelfriet
14-02-2011, 14:29 door Syzygy
Door Above:
Door Syzygy: @ above

We hebben het hier natuurlijk over servers en netwerk apparatuur, wie is dan "de gebruiker" ??

Hij geeft zelf aan, "maar ook naar wat de gebruiker deed op het moment van de crash".
Hij heeft het dus zelf over een gebruiker. Hij zal de systeembeheerder bedoelen die in de serverruimte zit te chatten :-0

Als ze alle gebruikers ook nog eens willen gaan monitoren op hun clients (via SMNP dan), dat is niet te doen (stel je hebt 300 users of meer).
Maar je hebt ook nog je log files (events) alleen bij harde crash wordt er dan niks meer weggeschreven dus kan je alleen maar terug naar de tijd even daarvoor.

Ik gebruik(te) daar altijd Solarwinds voor, kan ik iedereen aanraden.
15-02-2011, 13:32 door Anoniem
Door Syzygy:
Door Above:
Door Syzygy: @ above

We hebben het hier natuurlijk over servers en netwerk apparatuur, wie is dan "de gebruiker" ??

Hij geeft zelf aan, "maar ook naar wat de gebruiker deed op het moment van de crash".
Hij heeft het dus zelf over een gebruiker. Hij zal de systeembeheerder bedoelen die in de serverruimte zit te chatten :-0

Als ze alle gebruikers ook nog eens willen gaan monitoren op hun clients (via SMNP dan), dat is niet te doen (stel je hebt 300 users of meer).
Maar je hebt ook nog je log files (events) alleen bij harde crash wordt er dan niks meer weggeschreven dus kan je alleen maar terug naar de tijd even daarvoor.

Ik gebruik(te) daar altijd Solarwinds voor, kan ik iedereen aanraden.

kunt u mij wat meer vertellen over solarwinds? zoals waar gebruikte u het voor, hoe is de prkatijk ervaring hiermee etc.
u kan mij bereiken via het e-mail adres ivomaas_8@hotmail.com

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.