it-swarm.dev

Uso del computer aziendale da casa: quanto possono vedere sul desktop?

Ho una società fornita di computer che uso da casa. Accedo a VPN (Cisco AnyConnect) quando devo accedere all'e-mail aziendale o ai siti interni dell'azienda.

In passato la società è stata in grado di "prendere il controllo" del mio desktop per effettuare aggiornamenti del software (dopo che gli ho consegnato il potere). Un collega - anche fuori sede - ha ricevuto un'e-mail dalla società in cui affermava che il suo disco rigido interno era pieno per oltre il 90% e le consigliò di eliminare i file che non erano più necessari per evitare un possibile guasto del disco rigido.

Quindi la mia domanda è: quanto possono vedere? Ovviamente se ho effettuato l'accesso a VPN possono tracciare i siti in cui mi trovo, ma che dire se dovessi accedere alla mia banca per verificare un saldo o pagare una fattura?

O anche la mia cronologia di navigazione quando non si è connessi alla VPN? che ne dici di un'area sul computer in cui potrei conservare le password per vari siti (tutto, dalle informazioni di accesso di Facebook agli account delle carte di credito)?

10
John

Gli strumenti sono disponibili per consentire a un'azienda di raccogliere molte informazioni su come utilizzare il computer fornito dal lavoro. È disponibile un software in grado di registrare ogni sequenza di tasti, completare la cronologia di navigazione, persino scattare periodicamente foto con la webcam o l'audio dal microfono. La tua azienda potrebbe non avere questo genere di cose installate, ma è un buon consiglio supporre che qualsiasi cosa tu faccia su quel computer, o anche a portata di vista o udito di quel computer possa essere registrata.

In molti casi la legge non è particolarmente chiara su quali informazioni le aziende possono usare, storicamente le società possiedono e hanno i diritti su qualsiasi cosa tu faccia sulle loro apparecchiature, anche se non sei stato registrato. Le persone sono state licenziate dal loro lavoro e dagli studenti sono stati espulsi a causa di informazioni sui sistemi quando non erano al lavoro o a scuola.

In altre parole, non usare il tuo PC di lavoro per nulla che non vorresti che il tuo datore di lavoro vedesse o sentisse.

15
GdD

Se devi porre la domanda, non fare ciò che pensi di fare su computer, reti o apparecchiature aziendali. Non solo devi preoccuparti della società, ma se la tua azienda diventa parte di un contenzioso o di un problema di conformità normativa, qualsiasi cosa tu abbia fatto su di essa verrà raccolta e diverrà un record pubblico.

Quindi, alla mia affermazione originale ... Se devi chiedere o fermarti a pensare "dovrei" - allora non farlo.

4
Tek Tengu

La risposta è davvero ... dipende.

È impossibile rispondere a questa domanda senza sapere esattamente quale tipo di software ha installato la tua azienda sul tuo computer. Tuttavia, per placare le tue paure, dai un'occhiata al contratto che hai firmato. Ciò dovrebbe indicare in modo esatto quale tipo di dati l'azienda può raccogliere da te.

3
user10211

Dalla mia risposta a na domanda correlata :

Se sei davvero preoccupato per la tua privacy personale, non utilizzare le risorse aziendali per scopi personali. La maggior parte delle aziende ha incluso nella propria Politica sull'uso accettabile o documentazione simile, una clausola che afferma specificamente che si può essere soggetti a monitoraggio e non avere alcuna aspettativa di privacy durante l'utilizzo dei propri sistemi. In molte giurisdizioni, ciò significa che possono fare tutto ciò che vogliono osservare e registrare le tue attività con o senza il tuo esplicito consenso (generalmente, il tuo consenso è dato implicitamente sul tuo accordo con l'AUP) e/o conoscenza - causando qualsiasi tentativo retroattivo di la privacy personale è futile e inefficace.

Caso in questione: in un ex posto di lavoro, ho sentito parlare di un utente che ha deciso di fare un po ', diciamo, una navigazione web "molto personale" su un laptop aziendale mentre era sulla sua rete domestica. Apparentemente era illuso che qualunque cosa facesse con l'hardware dell'azienda non era di loro preoccupazione se lo faceva sulla sua stessa connessione Internet. Per sicurezza, però, sono sicuro che avesse un buon software per la pulizia della storia installato e in uso. Era anche abbastanza esperto dal punto di vista tecnico che probabilmente faceva periodicamente una sua pulizia manuale.

Quello che non sapeva era che la società aveva un software di monitoraggio installato localmente e funzionante in background. Questo software registrava le sue attività su Internet in qualsiasi momento e inoltrava i registri ai server aziendali ogni volta che il laptop era collegato alla rete Intranet. Potete immaginare le azioni disciplinari che ne conseguono quando ciò si è verificato.

Per farla breve: se non si tratta di affari, non farlo/tenerlo su un computer aziendale.

Anche indipendentemente da ciò che stanno vedendo o raccolgono in tempo reale, resta il fatto che dovrai eventualmente restituire l'apparecchiatura - per un aggiornamento dell'hardware o come parte del tuo separazione dal loro impiego - e potresti non avere necessariamente il controllo su quando e come ciò accada. A quel punto, avranno accesso a tutto ciò che hai archiviato non crittografato (o crittografato con strumenti forniti dall'azienda) sul sistema. Se utilizzano keylogger o altri software di monitoraggio, potrebbero persino essere in grado di penetrare nelle cose che crittografate.

Ricorda anche che un insider malintenzionato può ancora scegliere di fare queste cose anche se la legge o la politica aziendale lo proibiscono. Se la società ha gli strumenti per monitorare la tua attività, ma è generalmente impedita dalla legge o dalla politica di farlo senza motivo, un amministratore di sistema dannoso può scegliere di ignorare tali restrizioni e curare qualunque cosa stia facendo sul sistema, indipendentemente. In uno scenario ancora più estremo, è sempre possibile che un amministratore di sistema dannoso possa farlo con i propri strumenti anche se la società stessa non è attrezzata per farlo.

Se non è il tuo sistema, non fidarti dei tuoi dati personali.

2
Iszi

Pur essendo a casa. Sono andato su un sito Web e per errore ho scaricato un trojan. Ho ricevuto un'e-mail dal dipartimento di sicurezza. Non sono ancora sicuro di quale sia l'entità del loro monitoraggio. Immagino che lo abbiano notato subito perché Nella loro e-mail hanno menzionato : il nome del file era OSX.Trojan.Gen e relativo nella directory di /users/username/downloads/..., timeStamp, il mio ID e l'ID di visualizzazione (suppongo che sia il nome del mio laptop). L'unico che non c'era era l'SSN di mia nonna, che mi dissero che lo avrebbero spedito presto se non avessi scansionato il computer e inviato uno screenshot di pulizia del macBook

  • The email's attachment:

enter image description here

0
Honey

Dipende dal software che installano sul computer. Molti keylogger sono in grado di tracciare sequenze di tasti/password digitate, siti Web visitati, conversazioni in chat e acquisire schermate del desktop. Quindi tutte le tue attività potrebbero essere monitorate dal software spia.

0
TheKeyloggers

Guarda il tuo contratto di lavoro e le politiche di utilizzo del computer delle aziende, se ne ha uno.

Ho lavorato in luoghi in cui world of warcraft era installato sui desktop aziendali e le persone giocavano durante le ore di pranzo/dopo il lavoro poiché la politica di utilizzo del computer non diceva che gli utenti non potevano installare lì i propri programmi sui dispositivi aziendali.

Altri luoghi in cui tutto ciò che hai fatto, ogni pagina Web visitata, messaggio e-mail e voce del registro eventi è stato salvato, caricato e analizzato in tempo reale o quando il dispositivo è tornato sulla rete.

Come altri hanno già detto, è possibile monitorare tutto, anche altamente improbabile al di fuori dell'ambiente sicuro in quanto richiede tempo e denaro. Molto probabilmente se lavori da casa tramite un dispositivo fornito dall'azienda avrà controlli di sicurezza e programmi di base come AV, forse la gestione delle risorse software e qualche forma di meccanismo di aggiornamento dell'azienda (SCCM, Alteris, ecc.) Che comunicherà a casa Rete. È anche possibile che mentre sei fuori dalla VPN il tuo traffico web possa essere monitorato tramite Cisco Umbrella o un sistema simile.

Se in ogni caso cerchi le politiche aziendali, a seconda di dove ti trovi nel mondo alcune leggi locali potrebbero avere la precedenza, quindi dovresti anche controllare quelle.

0
Gawainuk

L'unico modo in cui è possibile eseguire il monitoraggio è avere un software caricato sul sistema, non c'è modo di farlo solo attraverso una connessione VPN.

Se il sistema è stato reinstallato con le impostazioni di fabbrica e tutti i programmi sono stati caricati dall'utente e non ha installato alcun programma di tracciamento, non è possibile tenere traccia dell'utilizzo.

0
InQuestion