Het freelance (ICT-ers) discussie topic

Ernemmer schreef op maandag 12 oktober 2020 @ 14:44:
[...]


Dan kan je nog eens een projectje toevoegen en een blog met nieuwtje uit je vakgebied bijhouden.

Mijn blogsite draait gewoon een static site hoor.
Nieuwe blog opmaken in markdown en bij een merge naar master wordt er automatisch een CI/CD pipeline gestart die er netjes static HTML van maakt en naar de juiste locatie kopieert.


En ben ik maar een 'IT Boy' en geen developer

ralpje schreef op maandag 12 oktober 2020 @ 14:52:
[...]


Mijn blogsite draait gewoon een static site hoor.
Nieuwe blog opmaken in markdown en bij een merge naar master wordt er automatisch een CI/CD pipeline gestart die er netjes static HTML van maakt en naar de juiste locatie kopieert.


En ben ik maar een 'IT Boy' en geen developer

Ik heb er verder geen verstand van, maar vind mijn WP site ook wel makkelijk om bij te werken en lekker veel keuze uit thema's.
Wel wil ik nu graag wat anders en dat is vast ook heel eenvoudig zonder WP te maken.

Wat gebruiken jullie als mailoplossing? Ik verkoop mijn aandelen van mijn bedrijf en ga op een laag pitje weer als eenmanszaak aan de slag na een sabbatical, maar moet dan toch iets met mail.

Ik kom nu op een domeinnaam bij GoDaddy, zodat ik die kan koppelen aan Microsoft 365. Dan heb ik gelijk weer een Office licentie en ik heb mail via Outlook met een eigen domein. Maar ik weet nog niet of dat de handigste manier is.

O365 met een domein bij TransIP Antagonist

(TransIP is voor m'n homelab)

[ Voor 45% gewijzigd door Hmmbob op 12-10-2020 15:10 ]

Hydra schreef op maandag 12 oktober 2020 @ 11:33:

Members only:

Alleen zichtbaar voor ingelogde gebruikers. Inloggen

Front-ender worden... maar niet weten hoe je schaalbare CSS schrijft of weet wat het verschil is tussen een button en een link.

Ik ken hem natuurlijk niet, dus wie weet is hij wel hartstikke goed. Maar 9 van de 10 keer ben je dan een JavaScript developer en geen front-end developer. [/rant]

Als front-end developer heb ik trouwens ook geen eigen website. Ik ben dit jaar als ZZP'er begonnen en ik heb serieus nog geen tijd gehad om deze te bouwen. Vorige week ben ik met een logo begonnen, maar ik ben onverwachts weer vandaag gestart bij een vorige klant die me nodig had. Dus dat ligt weer stil voorlopig.

O365 met een site en domein bij Neostrada
Ik heb ook al mijn data op Onedrive staan, tot 1Tb zit het bij de prijs in.

[ Voor 48% gewijzigd door Ernemmer op 12-10-2020 15:14 ]

Ik heb transip en een Google Apps free (legacy). Maar ik zou inderdaad anders ook denk iets van office 365 nemen

orf schreef op maandag 12 oktober 2020 @ 15:05:
Wat gebruiken jullie als mailoplossing? Ik verkoop mijn aandelen van mijn bedrijf en ga op een laag pitje weer als eenmanszaak aan de slag na een sabbatical, maar moet dan toch iets met mail.

Ik kom nu op een domeinnaam bij GoDaddy, zodat ik die kan koppelen aan Microsoft 365. Dan heb ik gelijk weer een Office licentie en ik heb mail via Outlook met een eigen domein. Maar ik weet nog niet of dat de handigste manier is.

In principe heb je aan E1 of "Microsoft 365 Business Basic" voldoende. Dat is exclusief Office en kost je minder dan Google Apps. Die laatste zit ik nu maar ben te lui om voor een paar tientjes de overstap te maken.

Freedom Internet had trouwens vorig jaar een interessante aanbieding met eigen domein en mailbox voor €50 per jaar, maar hun "mail only" aanbod staat nu op "binnenkort beschikbaar".

[ Voor 11% gewijzigd door Deveon op 12-10-2020 15:25 ]

Deveon schreef op maandag 12 oktober 2020 @ 15:23:
[...]

In principe heb je aan E1 of "Microsoft 365 Business Basic" voldoende. Dat is exclusief Office en kost je minder dan Google Apps. Die laatste zit ik nu maar ben te lui om voor een paar tientjes de overstap te maken.

Freedom Internet had trouwens vorig jaar een interessante aanbieding met eigen domein en mailbox voor €50 per jaar, maar hun "mail only" aanbod staat nu op "binnenkort beschikbaar".

Ja, maar ik wil gelijk die Office licentie erbij. Ik heb 'm nu via mijn bedrijf, maar dat vervalt.

Als ik bij GoDaddy registreer kan ik tijdens mijn sabbatical af met Microsoft 365 personal, met toch een eigen domeinnaam. Voor €69 per jaar. Dan moet ik alleen wellicht switchen als ik freelance werk ga doen daarna. Dus misschien gelijk Microsoft 365 Business Standard.

O365 BS is imo erg goedkoop en lekker compleet

Mail
Opslag/backup
Office
Teams
Planner
etc.

Voor die paar tientjes zou ik nu gewoon een goed pakket nemen, dan hoef je die niet over een tijdje te upgraden.

[ Voor 37% gewijzigd door Ernemmer op 12-10-2020 15:36 ]

Mijn advies nu: als je O365 wil, koop domein via azure, wil je g-suite, koop je domein via google domains.

orf schreef op maandag 12 oktober 2020 @ 15:05:
Wat gebruiken jullie als mailoplossing? Ik verkoop mijn aandelen van mijn bedrijf en ga op een laag pitje weer als eenmanszaak aan de slag na een sabbatical, maar moet dan toch iets met mail.

Ik kom nu op een domeinnaam bij GoDaddy, zodat ik die kan koppelen aan Microsoft 365. Dan heb ik gelijk weer een Office licentie en ik heb mail via Outlook met een eigen domein. Maar ik weet nog niet of dat de handigste manier is.

Is prima hoor. Waar je je domein host maakt niet zoveel uit (moet uiteraard wel een betrouwbare partij zijn), zolang je de DNS maar zelf kan beheren. Vergeet ook niet om even te kijken naar ATP (Advanced Threat Protection, zie https://www.microsoft.com...urity/office-365-defender)

Ik gebruik G Suite voor mail. Prima GUI, perfecte anti spam. En kost geen drol

c-nan schreef op maandag 12 oktober 2020 @ 16:28:
Ik gebruik G Suite voor mail. Prima GUI, perfecte anti spam. En kost geen drol

G Suite is nu Workspace geworden, per user betalen. Prijzen zijn ook anders dacht ik.

init6 schreef op maandag 12 oktober 2020 @ 16:33:
[...]


G Suite is nu Workspace geworden, per user betalen. Prijzen zijn ook anders dacht ik.

Uit de mail:

Deze wijzigingen hebben geen effect op uw huidige contract. Uw bestaande G Suite-licenties en gerelateerde services blijven werken zoals dat nu het geval is, totdat het tijd is voor de overstap.

Als ik kijk naar de nieuwe prijzen, is het nog steeds 5.20/user.

init6 schreef op maandag 12 oktober 2020 @ 16:33:
[...]


G Suite is nu Workspace geworden, per user betalen. Prijzen zijn ook anders dacht ik.

Toevallig net omgezet naar $6 per maand. Ik gebruik enkel mail.

Hoe zit het nou precies als zzp'er qua pensioenuitkering?

So far weet ik dat ik zelf op een pensioenrekening fiscaal voordelig (binnen de jaarruimte) kan beleggen voor uitkering vanaf pensioengerechtigde leeftijd.

Maar wat dan? Je moet als ik het goed begrijp dan met dat totaalbedrag op je pensioenrekening naar een verzekeraar die jou dat geld periodiek als brutobedrag gaat uitkeren, waar je dan belasting over betaald, zij het minder dan je bij opbouwen uitgespaarde.

Maar wat gebeurt er precies met de waarde van je eigen potje? Gaat het op de grote pensioenpot en krijg je een vast bedrag tot overlijden uitgekeerd en heb je pech als je vroeg overlijd? En wordt jouw geld gebruikt voor uitkeringen aan de mensen die langer leven? Of gaat dan jouw persoonlijke potje nog naar een erfgenaam?

Dus stel je hebt 500k.
-Kies je dan zelf een periodiek bedrag, bijvoorbeeld 20k per jaar en is het geld dan op na 25 jaar?
-Is de standaard een levenslange uitkering, kiezen zij het jaarbedrag en heb je pech/geluk als je vroeg of laat overlijdt?

Als ik het goed begrijp is een werknemerpensioen in principe een verzekering en betaal je een verzekeringspremie. Uit de totale pot heb je dan aanspraak op x bedrag per jaar en eventueel vroeg overlijden na pensioenleeftijd gaat enkel naar andere gepensioneerden die langer dan gemiddeld leven.

Maar hoe zit het met je eigen pot die je opbouwt?

Ernemmer schreef op maandag 12 oktober 2020 @ 14:44:
Dan kan je nog eens een projectje toevoegen en een blog met nieuwtje uit je vakgebied bijhouden.

Dat kun je ook met een static site generator. Mijn blog is gewoon statische AsciiDoc die naar HTML gerenderd wordt.

Hydra schreef op maandag 12 oktober 2020 @ 17:28:
[...]


Dat kun je ook met een static site generator. Mijn blog is gewoon statische AsciiDoc die naar HTML gerenderd wordt.

Alles kan natuurlijk, maar een extra page aanmaken in wordpress lijkt mij makkelijker dan code kloppen(geen ervaring mee)

Hertog_Martin schreef op maandag 12 oktober 2020 @ 17:22:
Maar wat dan? Je moet als ik het goed begrijp dan met dat totaalbedrag op je pensioenrekening naar een verzekeraar die jou dat geld periodiek als brutobedrag gaat uitkeren, waar je dan belasting over betaald, zij het minder dan je bij opbouwen uitgespaarde.

Dat is vooralsnog zo, maar niet gegarandeerd. De overheid toont zich nogal eens onbetrouwbaar in dit soort zaken. Met een toenemende vergrijzing zal de belastingdruk op pensionado's toenemen dus ik ben niet erg hoopvol...

Maar wat gebeurt er precies met de waarde van je eigen potje? Gaat het op de grote pensioenpot en krijg je een vast bedrag tot overlijden uitgekeerd en heb je pech als je vroeg overlijd?

Je kunt met jouw pot een levenslange uitkering kopen (bij een verzekeraar) of het over een vaste periode laten uitbetalen.

En wordt jouw geld gebruikt voor uitkeringen aan de mensen die langer leven?

Dat hangt van de afspraak met de verzekeraar af. Vaak wil je ook een uitkering verzekeren voor je partner.

Of gaat dan jouw persoonlijke potje nog naar een erfgenaam?

Als je de pot in termijnen laat uitbetalen gaat het restant inderdaad naar erfgenaam/erfgenamen.

Hertog_Martin schreef op maandag 12 oktober 2020 @ 17:22:
Hoe zit het nou precies als zzp'er qua pensioenuitkering?

So far weet ik dat ik zelf op een pensioenrekening fiscaal voordelig (binnen de jaarruimte) kan beleggen voor uitkering vanaf pensioengerechtigde leeftijd.

Klopt, je kunt jaarlijks je jaarruimte inleggen. Je stort dat op een geblokkeerde rekening waar je het geld niet af kunt halen tijdens de looptijd. Wil je dat toch? Dan moet je afrekenen met de Belastingdienst (en dat is een erg ongunstige regeling).

Maar wat dan? Je moet als ik het goed begrijp dan met dat totaalbedrag op je pensioenrekening naar een verzekeraar die jou dat geld periodiek als brutobedrag gaat uitkeren, waar je dan belasting over betaald, zij het minder dan je bij opbouwen uitgespaarde.

Je moet met het opgespaarde (belegde) geld een pensioeninkomen aankopen. En daar zitten best wat regels aan. Als je het vóór je AOW-leeftijd opneemt, zijn er bijvoorbeeld regels dat je dit moet laten uitkeren in [aantal jaar tot AOW-leeftijd] + 20 jaar. Je moet een pensioeninkomen aankopen binnen vijf jaar na je AOW-leeftijd.

Over het pensioeninkomen betaal je belasting. Je kunt spelen met de looptijd om die belasting zo laag mogelijk te houden. Aan de andere kant is het lastig te voorspellen wat de schijven voor de inkomstenbelasting zijn over 20 jaar of langer.

Let erop dat het ook lastig kan zijn als je voor je AOW-leeftijd naar het buitenland wil verhuizen. Het kan zijn dat je dan ook moet afrekenen met de Belastingdienst.

Maar wat gebeurt er precies met de waarde van je eigen potje? Gaat het op de grote pensioenpot en krijg je een vast bedrag tot overlijden uitgekeerd en heb je pech als je vroeg overlijd? En wordt jouw geld gebruikt voor uitkeringen aan de mensen die langer leven? Of gaat dan jouw persoonlijke potje nog naar een erfgenaam?

Jouw opgespaarde pot geld is van jou. Bij een verzekeraar kun je kiezen voor levenslange uitkering. Dan kun je pech of geluk hebben. Leef je lang dan krijg je over de looptijd meer geld uitgekeerd dan je pot groot is. Leef je kort, dan heb je pech (kort door de bocht. Je kunt ook nog je partner meeverzekeren zodat het doorloopt). Bij een bank of bijvoorbeeld Brand New Day werkt dit anders. Je krijgt niet tot je overlijden uitbetaald, maar bijvoorbeeld tot 20 jaar na je AOW-leeftijd. Ga je eerder dood? Dan valt dat binnen je erfenis.

Dus stel je hebt 500k.
-Kies je dan zelf een periodiek bedrag, bijvoorbeeld 20k per jaar en is het geld dan op na 25 jaar?
-Is de standaard een levenslange uitkering, kiezen zij het jaarbedrag en heb je pech/geluk als je vroeg of laat overlijdt?

Je kiest zelf de uitkeringsperiode (binnen de regels, want de uitkering mag bijvoorbeeld niet meer dan

Als ik het goed begrijp is een werknemerpensioen in principe een verzekering en betaal je een verzekeringspremie. Uit de totale pot heb je dan aanspraak op x bedrag per jaar en eventueel vroeg overlijden na pensioenleeftijd gaat enkel naar andere gepensioneerden die langer dan gemiddeld leven.

Maar hoe zit het met je eigen pot die je opbouwt?

Let wel: ik ben geen adviseur. Dit is wat ik ervan weet omdat ik dit deels heb uitgezocht voor medewerkers. Zelf doe ik niet aan pensioensparen omdat ik de restricties te groot vindt.

O365 voor 12 euro per maand, werkt echt goed en vrij compleet. Naast mail op eigen domein ook office (word, excel, powerpoint) volledig gelicenseerd. Maar ook onedrive voor storage en teams.

[ Voor 10% gewijzigd door padoempats op 13-10-2020 14:08 ]

padoempats schreef op dinsdag 13 oktober 2020 @ 14:08:
O365 voor 12 euro per maand, werkt echt goed en vrij compleet. Naast mail op eigen domein ook office (word, excel, powerpoint) volledig gelicenseerd. Maar ook onedrive voor storage en teams.

Ik doe het zelfde, maar dan met Google GSuite/Workspace voor 5,20 euro per maand. Vind persoonlijk GMail en Google Docs veel fijner werken. En aangezien ik een Linux gebruiker ben is de Office suite toch kansloos voor mij.

Indien enkel e-mail voldoende is, dan kan je ook kijken naar Amazon WorkMail voor circa EUR 3,40 p/m.

ik gebruik protonmail samen met mijn eigen domein = 5 email adres aliassen voor 48euro per jaar (+ domeinnaamkosten) tot volle tevredenheid.
eigen domein laat ik verder doorverwijzen naar mijn LinkedIn, dus ook meteen een 'website'

Hmmbob schreef op maandag 12 oktober 2020 @ 17:21:
[...]




[...]

Azure DNS != App Service Domains. Als je echter een App Service Domain koopt kun je die wel via azure DNS beheren

Nice, weer iets geleerd. altijd gedacht dat je een domein buiten MS om moest kopen. Prijs is ook wel ok.

Nog een tip voor als je een eigen domein hebt gekocht en (nog) geen website/blog bezit.

Zet je domein URL door naar je LinkedIn profiel. Zo heb ik het voor nu gedaan.

Ik heb geen idee of dit ontopic is. Ik ben sinds kort via een midlance constructie (vast contract) in dienst bij partij Alfa.

Partij Alfa verhuurt mij via detavast constructie voor 1 jaar aan Partij Beta, die mij uitzet bij Partij Sigma.
Partij Beta verzorgt al het personeel (detachering) voor Partij Sigma en regelt daarmee ook toegang tot diverse systemen (Confluence, Jira, Bitbucket, Office 365, etc).

Nu gaat het onboarding proces niet geheel vlekkeloos. De toegang tot systemen is goed geregeld, echter krijg ik geen bedrijfslaptop ter beschikking. Ik moet deze zelf bij Cool Blue kopen die ik in termijnen bij partij Alfa afbetaal. Ook software (Intellij, Office, anti-virus) moet ik zelf aanschaffen, installeren en configureren.
Volgens partij Alfa is dit gangbaar voor externen.

Miin argumenten zijn dat je niet elke gebruikers laptop toegang wil gegeven op je bedrijfsnetwerk vanwege het beveiligingsrisico dat een slecht geconfigureerde laptop met zich mee brengt. Ik krijg toch te horen dat dit vrij normaal is.

Ook ben ik benieuwd of de uren die ik steek in het configureren van mijn Development laptop eigen uren zijn of uren die in rekening van de klant kunnen worden gebracht.

Wat zijn jullie ervaringen? Betaal/configureer je je eigen hardware of krijg je deze van de externe partij?

Bij ons krijgen de fulltime externe inderdaad hardware van de klant vanwege de security eisen, echter de tijdelijke inhuur krachten werken wel op eigen hardware. Blijkbaar is dan security te duur. Het lijkt mij als freelancers of midlancer wel normaal om over eigen hardware en software te beschikken om je werkzaamheden uit te voeren.

In de toekomst verwacht ik steeds meer VDI’s te zien waardoor het uitleveren van hardware aan externe voor lange termijn ook niet meer nodig is. MDM oplossing kunnen ook erg ver gaan in het managen van onbekende apparaten, al twijfel ik altijd hoeveel rechten ik de klant over mijn devices wil geven. Als ze mijn telefoon willen volledig willen kunnen wipen dan lees ik mijn mail wel op mijn laptop.

Als je ingehuurd wordt is het niet vreemd om te eisen dat jij eigen spullen meeneemt, dat staat de bedrijven vrij om onderling af te spreken.

Hoe jij het echter met jouw werkgever regelt is een ander verhaal. Aangezien je gewoon in dienst bent is het logisch dat jouw werkgever die laptop verstrekt.

Bij een midlance constructie is het echter vaak wel weer zo dat dat ten koste gaat van je bonus, maar iets basaals als een laptop zou ik nog wel onder de normale kosten rekenen, die ze maar van de 30% marge moeten betalen. Maar ik vermoed zo dat veel midlance constructies niet uitblinken in goed werkgeverschap, en wettelijk gezien zal het ook vast door de beugel kunnen

Neutrino schreef op donderdag 15 oktober 2020 @ 16:35:
Wat zijn jullie ervaringen? Betaal/configureer je je eigen hardware of krijg je deze van de externe partij?

Ik denk dat iedereen hier zijn eigen hardware koopt. Afhankelijk van de klant wordt er ook gebruik van gemaakt of spelen de kinderen er Fortnite op.

Ik heb mijn eigen hardware nog niet hoeven kopen. Via een citrix, via remote desktop Kan ik bij mijn ontwikkelmachine komen.
Bij alle voorgaande bedrijven waar ik vast in dienst zat, kreeg iedereen (ook inhuur) hardware van het bedrijf.

Wel ga ik mijn eigen laptop kopen omdat ik een nieuwe nodig heb, maar het is niet nodig voor mijn huidige opdracht.

+1 voor hardware van de klant voor werk voor de klant (ivm beveiligingseisen), en een eigen laptop voor de administratie

Heb mezelf ook verwend met een betere headset dan het standaard ding van de klant

Ik heb een dikke XPS gekocht voor ontwikkelwerk en HiDPI, en een lichtgewicht Macbook voor onderweg en voor applicaties die niet op Linux draaien Hardware krijg ik dan weer niet van de klant - alleen de internen krijgen dat. Zou er ook niet echt blij van worden overigens, heb liever mijn eigen hardware naar mijn eigen requirements.

Security-maatregelen zijn er wel, maar dat komt er vooral op neer dat er een SSO-systeem is wat uitsluitend bediend kan worden met behulp van apps op een iOS of Android smartphone. En een idioot streng afgetimmerde Office 365-omgeving.

Een nieuwe MacbookPro "15 I9 32GB 1TB met magic keyboard en mouse van de klant is ook geen straf hoor

Ik heb mijn eigen laptop gekocht. Sowieso wel handig voor front-end development. Soms doe ik een dag een klusje voor een andere klant en de laatste 7 maanden werk ik vanuit huis voor een klant in het buitenland. Maar toen ik nog bij een andere klant op kantoor kwam gebruikte ik deze laptop ook. Het zal ook wel een beetje aan je situatie en specialiteit liggen of je er echt zelf een nodig hebt.

Eigen apparatuur is 1 van de dingen waarmee je zelfstandigheid aantoont. Uiteraard ivm security niet altijd mogelijk, maar daar waar mogelijk lekker op eigen hardware werken.

Ik heb ook mijn eigen apparatuur en ben er blij mee.
Als ik kijk wat er voor troep op de laptops van de internen staat..........

Bij de vorige klant kreeg ik btw een desktop van hun tot mijn beschikking (altijd op locatie) ivm beveiligingsdingen.
Ik heb iets van: ik heb mijn eigen spullen, maar als de klant wilt dat ik hun apparatuur gebruik, prima.

[ Voor 46% gewijzigd door hackerhater op 16-10-2020 08:34 ]

Ik werkt meestal op eigen hardware, ook bij de klanten.

@Neutrino Dit is het freelance topic. Als je werkgever je niet wilt voorzien in een laptop zou ik een andere werkgever zoeken. Daarnaast als de eindklant je een office365 account geeft kan je daarvanuit ook office zelf installeren (ligt aan type licentie maar meestal is dit wel de juiste).

Neutrino schreef op donderdag 15 oktober 2020 @ 16:35:
Wat zijn jullie ervaringen? Betaal/configureer je je eigen hardware of krijg je deze van de externe partij?

Eerlijk gezegd vind ik niet wat 'wij' hier doen erg relevant is voor jou. We zijn zelfstandig; iedereen hier is dus zijn eigen bedrijf. Oftewel Bedrijf Alpha verhuurt zijn enige werknemer aan Bedrijf Beta. Het verschilt heel erg van klant tot klant of ze zelf een machine geven. Het gebeurt vrij vaak (omdat het vaak managed omgevingen zijn) dat ze een eigen machine in bruikleen geven. Maar ik heb ook aardig wat klanten gehad, waar ik gewoon op een eigen machine werk.

Maar jij bent gewoon in loondienst met een variabel deel. En in loondienst is het eigenlijk altijd zo dat je een laptop van je werkgever krijgt. Of je die dan ook daadwerkelijk gebruikt bij klanten is een 2e. Dat jij er zelf een moet kopen, vind ik dus een nogal grote rode vlag. Ik ken best wat van dat soort bedrijven, maar ken er niet een die medewerkers zelf hardware laat kopen. Vind het ook vrij bizar; t.o.v. wat je binnenbrengt is zo'n laptop echt peanuts.

MadEgg schreef op donderdag 15 oktober 2020 @ 20:32:
Ik heb een dikke XPS gekocht voor ontwikkelwerk en HiDPI, en een lichtgewicht Macbook voor onderweg en voor applicaties die niet op Linux draaien Hardware krijg ik dan weer niet van de klant - alleen de internen krijgen dat. Zou er ook niet echt blij van worden overigens, heb liever mijn eigen hardware naar mijn eigen requirements.

Bij m'n vorige klant kon ik gewoon m'n eigen spul gebruiken. Maar bij de meeste banken zul je vaak toch echt met hun dichtgetimmerde (2FA) laptops moeten werken. Als ik mijn eigen laptop inprik op het netwerk heb ik binnen no-time iemand vain CISO aan de lijn.

[ Voor 7% gewijzigd door sverzijl op 16-10-2020 10:14 ]

sverzijl schreef op vrijdag 16 oktober 2020 @ 10:10:
[...]

Bij m'n vorige klant kon ik gewoon m'n eigen spul gebruiken. Maar bij de meeste banken zul je vaak toch echt met hun dichtgetimmerde (2FA) laptops moeten werken.

Hoe gaat dat in zijn werk dan met zo'n dichtgetimmerde laptop? Wat voor besturingssysteem draait daar op? Kun je je eigen workspace aanpassen, je eigen development tools installeren? Of wordt je geacht te werken met (bijvoorbeeld) Windows, Visual Studio Code en Powershell? Want in dat laatste geval denk ik niet dat het een klant voor mij is - dan bied ik geen meerwaarde.

Ik heb een serieuze laptop (Lenovo eXtreme X1 met 32gb geheugen) gekocht, is toch m'n voornaamste tool als zzp'er.

Ben blij dat ik momenteel daar op werk. In loondienst vaak laptops die niet echt volstaan voor data werk. Vooral te weinig geheugen vaak.

Voor sommige dingen dien ik wel even op een remote omgeving in te loggen en toegang tot data zit wel achter 2FA.

Ik hoop dat ik vaak eigen spul kan gebruiken en anders goed spul krijg.
Als ik niet efficiënt kan werken door steeds hangende software door te trage bak dan is dat in nadeel beide partijen. Maar ik snap de overwegingen uit security uiteraard.

MadEgg schreef op vrijdag 16 oktober 2020 @ 10:14:
[...]


Hoe gaat dat in zijn werk dan met zo'n dichtgetimmerde laptop? Wat voor besturingssysteem draait daar op? Kun je je eigen workspace aanpassen, je eigen development tools installeren? Of wordt je geacht te werken met (bijvoorbeeld) Windows, Visual Studio Code en Powershell? Want in dat laatste geval denk ik niet dat het een klant voor mij is - dan bied ik geen meerwaarde.

Eigen tools installeren is tot op zekere hoogte mogelijk. Ben zelf geen developer, maar heb wel wat andere tooling geinstalleerd.
Bij gratie god mag je tijdelijk local admin zijn om iets te installeren, maar daar houdt het ook mee op.

Als developer zal je hetzelfde kunnen doen (en als het hele team het wil gebruiken zal die software ook gescript kunnen worden. Na een maand of 3-4 heb je die software dan wel )

sverzijl schreef op vrijdag 16 oktober 2020 @ 10:10:
[...]

Bij m'n vorige klant kon ik gewoon m'n eigen spul gebruiken. Maar bij de meeste banken zul je vaak toch echt met hun dichtgetimmerde (2FA) laptops moeten werken. Als ik mijn eigen laptop inprik op het netwerk heb ik binnen no-time iemand vain CISO aan de lijn.

Hebben ze niets beters te doen? Hier krijgen untrusted devices gewoon enkel internet toegang

Hydra schreef op vrijdag 16 oktober 2020 @ 09:55:
[...]
Maar jij bent gewoon in loondienst met een variabel deel. En in loondienst is het eigenlijk altijd zo dat je een laptop van je werkgever krijgt. Of je die dan ook daadwerkelijk gebruikt bij klanten is een 2e. Dat jij er zelf een moet kopen, vind ik dus een nogal grote rode vlag. Ik ken best wat van dat soort bedrijven, maar ken er niet een die medewerkers zelf hardware laat kopen. Vind het ook vrij bizar; t.o.v. wat je binnenbrengt is zo'n laptop echt peanuts.

Midlance is natuurlijk geen normaal dienstverband. Het lijkt mij dat dit enkel aanspreekt voor wie enkel het minimale uit dienstverband wilt, maar vervolgens wel zelf invloed wilt over welk project of juist met welke hardware je het werk uitvoert. Als je in midlance een laptop en telefoon van de zaak krijgt en ze een project voor je zoeken dan is het feitelijke gewoon detachering met een bonus op targets.

Ik heb in het voorjaar een Surface book 3 gekocht. Dit is mijn gereedschapskist. Deze gaat altijd mee. Krijg wel eens van klanten hardware, maar neem ook altijd mijn eigen laptop mee.

sverzijl schreef op vrijdag 16 oktober 2020 @ 10:19:
[...]

Eigen tools installeren is tot op zekere hoogte mogelijk. Ben zelf geen developer, maar heb wel wat andere tooling geinstalleerd.
Bij gratie god mag je tijdelijk local admin zijn om iets te installeren, maar daar houdt het ook mee op.

Als developer zal je hetzelfde kunnen doen (en als het hele team het wil gebruiken zal die software ook gescript kunnen worden. Na een maand of 3-4 heb je die software dan wel )

Op die manier klinkt het aardig onwerkbaar voor mij - als een klant dat van mij zou vragen zoek ik wel door naar een andere klant. Als ze hardware willen uitdelen is dat wel prima, maar als ik geen root op mijn eigen Linux-laptop mag zijn is de klant gewoon geld door het toilet aan het spoelen. Dan heb ik liever dat ze dat geld gewoon naar me overmaken in plaats van dat ik de hele dag zit te worstelen met een voor mij onwerkbare workflow. Als men mij inhuurt neem ik mijn eigen gereedschapskist mee. Voor beide zijden prettiger en efficiënter.

Deveon schreef op vrijdag 16 oktober 2020 @ 10:23:
[...]

Hebben ze niets beters te doen? Hier krijgen untrusted devices gewoon enkel internet toegang

Nope, alles voor 'security' hier. Heb zelfs een keer een belletje vanuit CISO gehad omdat ik eoa Putty wrapper had geinstalleerd. Die software stond niet in de authorized software list

Deveon schreef op vrijdag 16 oktober 2020 @ 10:23:
Midlance is natuurlijk geen normaal dienstverband. Het lijkt mij dat dit enkel aanspreekt voor wie enkel het minimale uit dienstverband wilt, maar vervolgens wel zelf invloed wilt over welk project of juist met welke hardware je het werk uitvoert. Als je in midlance een laptop en telefoon van de zaak krijgt en ze een project voor je zoeken dan is het feitelijke gewoon detachering met een bonus op targets.

Wat ik van de midlancers gezien heb die ik ken (selection bias natuurlijk) is dat eigenlijk precies wat 't is. Een variabel deel van je loon, maar verder eigenlijk gewoon detachering. Ben je makkelijk te plaatsen ben je flink billable. Ben je dat niet, dan draag je een deel van dat risico.

Het is dus niet zo iets als een maatschapconstructie als TFG doet. Midlance is gewoon loondienst over 't algemeen. Als je geen werk hebt, krijg je wel salaris. Als je ontslagen wordt, krijg je wel WW.

Hydra schreef op vrijdag 16 oktober 2020 @ 14:12:
[...]


Wat ik van de midlancers gezien heb die ik ken (selection bias natuurlijk) is dat eigenlijk precies wat 't is. Een variabel deel van je loon, maar verder eigenlijk gewoon detachering. Ben je makkelijk te plaatsen ben je flink billable. Ben je dat niet, dan draag je een deel van dat risico.

Het is dus niet zo iets als een maatschapconstructie als TFG doet. Midlance is gewoon loondienst over 't algemeen. Als je geen werk hebt, krijg je wel salaris. Als je ontslagen wordt, krijg je wel WW.

Inderdaad. Loondienst waarbij het grootste deel bestaat uit variabele beloning. Zonder klus is die variabele beloning 0, met klus is die een bepaald percentage (bijv 50-70%) van het uurtarief, of 80% van het uurtarief boven 40 euro. Dat soort regelingen. Hoger naarmate het vaste loondeel lager is.

[ Voor 3% gewijzigd door sverzijl op 16-10-2020 16:35 ]

Neutrino schreef op donderdag 15 oktober 2020 @ 16:35:
Ik heb geen idee of dit ontopic is. Ik ben sinds kort via een midlance constructie (vast contract) in dienst bij partij Alfa.
(...)
Volgens partij Alfa is dit gangbaar voor externen.

Ja, maar je bent geen externe. Je bent gewoon in loondienst bij Alfa. Maar is er iets op papier te vinden hierover?

Neutrino schreef op donderdag 15 oktober 2020 @ 16:35:
Ik heb geen idee of dit ontopic is. Ik ben sinds kort via een midlance constructie (vast contract) in dienst bij partij Alfa.

Partij Alfa verhuurt mij via detavast constructie voor 1 jaar aan Partij Beta, die mij uitzet bij Partij Sigma.
Partij Beta verzorgt al het personeel (detachering) voor Partij Sigma en regelt daarmee ook toegang tot diverse systemen (Confluence, Jira, Bitbucket, Office 365, etc).

Nu gaat het onboarding proces niet geheel vlekkeloos. De toegang tot systemen is goed geregeld, echter krijg ik geen bedrijfslaptop ter beschikking. Ik moet deze zelf bij Cool Blue kopen die ik in termijnen bij partij Alfa afbetaal. Ook software (Intellij, Office, anti-virus) moet ik zelf aanschaffen, installeren en configureren.
Volgens partij Alfa is dit gangbaar voor externen.

Miin argumenten zijn dat je niet elke gebruikers laptop toegang wil gegeven op je bedrijfsnetwerk vanwege het beveiligingsrisico dat een slecht geconfigureerde laptop met zich mee brengt. Ik krijg toch te horen dat dit vrij normaal is.

Ook ben ik benieuwd of de uren die ik steek in het configureren van mijn Development laptop eigen uren zijn of uren die in rekening van de klant kunnen worden gebracht.

Wat zijn jullie ervaringen? Betaal/configureer je je eigen hardware of krijg je deze van de externe partij?

Ik zou zelf iets flexibeler hiermee omgaan, laptopje kopen, paar uur zitten en klaar is ie. Kan je lekker je werk doen bij de eindklant.
Over een jaar merk je dat je zelf ook wel klanten kan vinden en ga je volledig ZZP worden. Nog meer vrijheid en inkomsten.

Zijn er mensen die gebruik maken van de betalingskorting van de belastingdienst? Als je je voorlopige aanslag vooruit betaald krijg je effectief bijna 2% korting (4% over de helft van het bedrag, gerekend vanaf 15 februari. Makkelijker kunnen we het niet maken ). Moet je denk ik wel flink wat reserves hebben om dat voor te schieten.

Uiteraard moet je het geld hebben liggen, maar halverwege het jaar moet je toch de helft al betaald hebben. Dat betekent dat rendement elders meer dan 4% moet betreffen, zonder enige risico.

Daarnaast kan je ook best met wat minder buffer voor handen als je weet dat je de komende maanden niet die +/- 30% aan de Belastingdienst hoeft af te dragen. Zo lang je buffer als kosten per maand berekend in plaats van absoluut bedrag dan valt de impact best mee, maar dat zal voor iedereen een andere berekening zijn.

Enige nadeel is dat je op 1 januari feitelijk meer vermogen privé hebt (discussie kwam een paar pagina’s terug voorbij) en je daar mogelijk VRH over hoort te betalen.

page404 schreef op zondag 18 oktober 2020 @ 11:50:
Zijn er mensen die gebruik maken van de betalingskorting van de belastingdienst? Als je je voorlopige aanslag vooruit betaald krijg je effectief bijna 2% korting (4% over de helft van het bedrag, gerekend vanaf 15 februari. Makkelijker kunnen we het niet maken ). Moet je denk ik wel flink wat reserves hebben om dat voor te schieten.

Ja zeker.

Zulke rendementen haal je tegenwoordig niet met zo weinig risico. Enige risico is dat je het desbetreffende jaar toch niet zo goed draait en je dus wat langer op je geld moet wachten tot je het weer terug krijgt van de Belastingdienst. Wellicht kan je dan wel wat met ze regelen. Geen idee eigenlijk

Dat gedoe met periodieke betalingen heb ik geen zin in, zolang ik het letterlijk kan betalen kiep ik alles in februari over de schutting.

Wellicht ter overvloede, maar daarom heeft het ook zin om je voorlopige aanslag zo goed (hoog) mogelijk in te schatten, want dan krijg je zoveel mogelijk korting.

Als in de loop van het jaar blijkt dat je veel minder gaat omzetten kan je de voorlopige aanslag nog wijzigen, dan krijg je het geld binnen 6 weken terug. Moet je natuurlijk wel (een deel van) je korting weer inleveren.

[ Voor 4% gewijzigd door Aftansert op 18-10-2020 13:53 ]

Hmmmm. Eens zien wat de BD me begin volgend jaar voorschotelt als aanslag. Maar zou me niet verbazen als ze dat volgend jaar pas doen aangezien ze van dit jaar nog geen gegevens hebben.

page404 schreef op maandag 19 oktober 2020 @ 07:08:
Hmmmm. Eens zien wat de BD me begin volgend jaar voorschotelt als aanslag. Maar zou me niet verbazen als ze dat volgend jaar pas doen aangezien ze van dit jaar nog geen gegevens hebben.

Heb je geen btw aangiftes gedaan???

Tylen schreef op maandag 19 oktober 2020 @ 07:26:
[...]


Heb je geen btw aangiftes gedaan???

Aaahh ze gebruiken die info natuurlijk om een schatting te kunnen maken.
Maar het antwoord op je vraag: ja ik heb BTW aangiftes gedaan

page404 schreef op zondag 18 oktober 2020 @ 11:50:
Zijn er mensen die gebruik maken van de betalingskorting van de belastingdienst? Als je je voorlopige aanslag vooruit betaald krijg je effectief bijna 2% korting (4% over de helft van het bedrag, gerekend vanaf 15 februari. Makkelijker kunnen we het niet maken ). Moet je denk ik wel flink wat reserves hebben om dat voor te schieten.

Ja, al een jaar of 10. Ben ik er ook in 1x weer vanaf voor een heel jaar, en nog korting ook. Makkelijker kunnen we het inderdaad niet maken
Korting was afgelopen jaar volgens mij 1,6%. Ik vermoed dat de korting wel weer wat omlaag zal gaan voor volgend jaar, gezien de steeds lagere rentestanden.

[ Voor 11% gewijzigd door sverzijl op 19-10-2020 09:21 ]

page404 schreef op maandag 19 oktober 2020 @ 08:27:
[...]

Aaahh ze gebruiken die info natuurlijk om een schatting te kunnen maken.

Zou dat? Het leken mij gescheiden systemen.... Denk dat het een behoorlijke aanname is dat gegevens van de omzetbelasting gebruikt worden voor je inkomstenbelasting...

Hmmbob schreef op maandag 19 oktober 2020 @ 09:34:
[...]

Zou dat? Het leken mij gescheiden systemen.... Denk dat het een behoorlijke aanname is dat gegevens van de omzetbelasting gebruikt worden voor je inkomstenbelasting...

Ik denk dat ze daar wel een redelijke inschatting van kunnen maken hoor. In omzetbelasting zit namelijk niet alleen je inkomsten maar ook de meeste uitgaves (BTW, voorbelasting).

Wat er dan niet in zit is gebruik van je privé auto, bijtelling, KIA, pensioen, AOV en/of andere privé aftrekposten. Het lijkt mij dan ook stug dat de Belastingdienst dit gebruikt om een voorlopige aanslag voor te stellen.

Zelf heb ik nog nooit een voorlopige aanslag gedaan en dit jaar begonnen als zelfstandige. Over de IB nog geen enkel bericht en wacht af wat mijn boekhouder gaat doen (uitstel aanvragen denk ik). Ondertussen staat er genoeg op de spaarrekening om de IB te betalen.

Tip: Ga maar wel voor de voorlopige aanslag. Of overleg die mogelijkheid even met je boekhouder. Er bestaat nl ook nog zoiets als heffingsrente. En als je spaarpot voor de IB op een priverekening staat, dan heb je daar mogelijk ook nog VRH over te betalen.

Ik denk eerlijk gezegd niet dat de BD een koppeling maakt tussen jouw BTW aangifte en de IB. Misschien mag het niet eens omdat men de dossiers gescheiden moet houden ivm privacywetgeving. Maar het is in veel gevallen een moeilijke correlatie om exact te maken omdat er nog zoveel meer factoren van invloed zijn op hoeveel winst een onderneming heeft gemaakt dan de omzet binnen de BTW.

@staaltje Thanks voor de tip, ik wacht even januari zodat ik niet over de volledige som 4% rente hoef te betalen.

Nou, ik ben in maart begonnen, heb volgens mij alleen BTW aangiftes gecommuniceerd, en nu vragen ze al toeslagen terug die we kregen voor de kinderen (geen idee wat, vrouw regelt prive financien). Mijn vrouw is in december gestopt, en ik zat toen nog in loondienst, dus de belasting kan zonder BTW aangiftes niet inschatten dat we het financieel beter krijgen dit jaar. Dus daar wordt wel degelijk info gedeeld.

Wat heb je bij je inschrijving KvK dan opgegeven? Op dat formulier wordt al een verwacht bedrijfsresultaat gevraagd namelijk, precies voor dit doel voor zover ik weet.

Toeslagen staan los van de belastingaangifte, je moet ze apart vermelden op mijntoeslagen.nl. Pas heel veel verder in de rit wordt er gekeken of je wel recht had op die toeslagen.

Ik denk dat je het kunnen van onze belastingdienst grondig overschat. Er bestaat niet zoiets als "één systeem" wat alle beschikbare info gebruikt.

Mijn kvk inschrijving had ik al langer, daar heb ik niets aan aangepast.

Ik weet dat het niet 1 systeem is, maar dat hoeft ook niet om data te kunnen delen.

sverzijl schreef op vrijdag 16 oktober 2020 @ 10:29:
[...]

Nope, alles voor 'security' hier. Heb zelfs een keer een belletje vanuit CISO gehad omdat ik eoa Putty wrapper had geinstalleerd. Die software stond niet in de authorized software list

Ik ben it security specialist en ik snap dat developers vrijheid blijheid willen, maar begrijp je ook de andere kant van het vakgebied?

Die vrijheid blijheid brengt risico's met zich mee. Wat als jij een software met backdoor of ander troep hebt gedownload omdat de website van putty is gehackt en ze hebben de source of binary gewijzigd.

peak schreef op dinsdag 20 oktober 2020 @ 11:49:
[...]


Ik ben it security specialist en ik snap dat developers vrijheid blijheid willen, maar begrijp je ook de andere kant van het vakgebied?

Die vrijheid blijheid brengt risico's met zich mee. Wat als jij een software met backdoor of ander troep hebt gedownload omdat de website van putty is gehackt en ze hebben de source of binary gewijzigd.

In veel gevallen worden je handen zo op je rug vastgebonden onder de mom van security dat je vrijwel niks meer kan doen, of je productiviteit minstens gehalveerd wordt. Als het aan security afdelingen lag, werkten we met alleen notepad, dat is super veilig.

Maar om op je vraag te antwoorden, ja ik snap het, maar het is voor de "non-security-specialisten" vaak een bron van grote ergernis.

sverzijl schreef op dinsdag 20 oktober 2020 @ 12:00:
[...]

In veel gevallen worden je handen zo op je rug vastgebonden onder de mom van security dat je vrijwel niks meer kan doen, of je productiviteit minstens gehalveerd wordt. Als het aan security afdelingen lag, werkten we met alleen notepad, dat is super veilig.

Maar om op je vraag te antwoorden, ja ik snap het, maar het is voor de "non-security-specialisten" vaak een bron van grote ergernis.

Dat het voor non-security-specialisten een bron van ergernis is ben ik volkomen mee eens. Het is verdomd lastig om dat gevoel bij ze weg te nemen. Merendeel van de tijd ben ik aan het uitleggen waarom we bepaalde maatregelen hebben.

Ik denk dat het ook te maken heeft met bewustwording. Onderstaande voorbeelden zijn algemeen op basis van andere posts in dit topic en hebben geen betrekking op jou.

- Waarom laat je in je eigen huis geen vreemde mensen alleen rondlopen maar op kantoor wel
- Waarom doe je thuis wel de deur op slot maar op kantoor niet (vergrendelen van je pc)
- Waarom geef je je huissleutel niet weg aan een vreemde, maar op werk je digitale sleutels wel (wachtwoord delen met collega's of op andere sites hergebruiken)

Wat ik altijd doe is voor developers een speelomgeving inrichten wat geen enkele verbinding heeft met andere systemen van andere afdelingen. Wil je toch data vanuit een ander systeem? Bouw het maar in je eigen speeltuin.

peak schreef op dinsdag 20 oktober 2020 @ 12:09:
[...]

- Waarom geef je je huissleutel niet weg aan een vreemde, maar op werk je digitale sleutels wel (wachtwoord delen met collega's of op andere sites hergebruiken)

Als het kon ik zou ik het liefst 1 sleutel willen hebben voor mijn auto, huis en fiets

Ik heb alle sleutels aan 1 bos. Raak ik er 1 kwijt, ben ik alles kwijt. Dan liever 1 sleutel voor alles.

Je kan trouwens van een mens niet verwachten dat hij of zij een bos met sleutels krijgt en van ieder sluitel onthoud bij welk gebouw het hoort. Zo kan je dus ook niet verwachten van gebruikers dat ze voor 20 websites een ander wachtwoord gebruiken. Tenzij je ze voorziet van een deftig password manager, maar dat gebeurd ook niet is mijn ervaring.

[ Voor 26% gewijzigd door c-nan op 20-10-2020 12:32 ]

security (beleid) draait om controle op risico en impact.

Als het risico bekend is, de impact bekend is, pas dán maak je de afweging om een deur open te maken, al dan niet met toegangsbeheer (sleutel) met een aanwijsbare eigenaar

(PS: met achteraf governance. Als je het op de juiste manier inricht ga je vooraf bovenstaande bekijken en de juiste wegen/deuren afwegen en mogelijk alternatieven bepalen)

Ik denk en vind overigens wel dat we redelijk afdrijven van het doel van dit freelance topic..

[ Voor 43% gewijzigd door bord4kop op 20-10-2020 13:06 ]

peak schreef op dinsdag 20 oktober 2020 @ 12:09:
[...]


Dat het voor non-security-specialisten een bron van ergernis is ben ik volkomen mee eens. Het is verdomd lastig om dat gevoel bij ze weg te nemen. Merendeel van de tijd ben ik aan het uitleggen waarom we bepaalde maatregelen hebben.

Ik denk dat het ook te maken heeft met bewustwording. Onderstaande voorbeelden zijn algemeen op basis van andere posts in dit topic en hebben geen betrekking op jou.

- Waarom laat je in je eigen huis geen vreemde mensen alleen rondlopen maar op kantoor wel
- Waarom doe je thuis wel de deur op slot maar op kantoor niet (vergrendelen van je pc)
- Waarom geef je je huissleutel niet weg aan een vreemde, maar op werk je digitale sleutels wel (wachtwoord delen met collega's of op andere sites hergebruiken)

Wat ik altijd doe is voor developers een speelomgeving inrichten wat geen enkele verbinding heeft met andere systemen van andere afdelingen. Wil je toch data vanuit een ander systeem? Bouw het maar in je eigen speeltuin.

Je collega's zijn geen vreemden, dat zijn mede professionals.
Je computer lock je niet voor je collega's, maar voor "vreemden".
Je deelt je huissleutels ook met je huisgenoten.

Als developer zijnde hebben wij root rechten op onze machines. Dat is ook noodzakelijk voor het installeren van je tools. Ik sta er niet op te wachten op een discussie aan te gaan waarom ik docker nodig heb.
Of dat ik met verantwoorden waarom ik graag SDKMan installeer om mijn SDK's te beheren.

[ Voor 10% gewijzigd door com2,1ghz op 20-10-2020 13:04 ]

Deveon schreef op dinsdag 20 oktober 2020 @ 13:10:
[...]

Mijn collega's zijn gescreend door de AIVD, maar toch gaat die werkplek op slot.


[...]

Het lijkt mij dat je werkzaamheden voor development gescheiden zijn van je regulier werkplek (intranet, mail, internet, ect), toch?

Ben ik mee eens. Alleen begint men vaak door te slaan wat betreft security en permissies.
Zeker in cloud omgevingen kan dit frustrerend zijn omdat je nooit goed de tool kan leren maar telkens in een hoekje ervan zit.
Tijdens de intake verwachten ze wel dat je alle ins en outs van bijvoorbeeld Azure of AWS kent.

Ik heb zelfs dagelijks een meeting omdat ik op een dashboard moet kijken en rapporteren wat ik daar zie, omdat die teams geen toegang daarop hebben. Zitten we screenshots heen en weer te sturen. Lekker veilig weer.
Een tijdje geleden hadden ze een restrictie dat ze bepaalde bijlagen in e-mails niet gingen toestaan. Krijg je opeens dat mensen PDF'jes met json versturen.

Wil je je deployment pipeline aanpassen door een plugin te installeren. Kan en mag niet, moet door een ander team gedaan worden. Die zien het nut niet in dus zoek het maar uit.

Wat krijg je dan? Allerlei workarounds die mensen, zelfs managers bedenken om er toch om heen te werken.
Zelfs security teams die hun eigen regels tegenspreken en zeggen "je gebruik je gezonde verstand hierbij". Lekker hypocriet weer.

@com2,1ghz Dat klinkt niet als een probleem met Security, maar met de algehele mentaliteit in de organisatie. Security zou hooguit het beleid en voorwaarden mogen bepalen, maar niet inhoudelijk wie waar bij mag. Waarom je anno 2020 nog JSON bestanden rond mailt vind ik wel een bijzondere. Mail is voor communicatie en niet data uitwisselen...

Deveon schreef op dinsdag 20 oktober 2020 @ 13:02:
[...]

Dat is natuurlijk wel erg wij en zij gedacht. Uiteindelijk werk je beide voor dezelfde organisatie. Dat ene tooltje wat voor jou prettig werkt zorgt er misschien wel voor dat de Security afdeling enkele dagen nodig heeft om het te valideren, vaak omdat ze ook de licentie controle voor zich nemen.

Ik heb me er inmiddels net zoals de meeste andere ZZP-ers om me heen bij neergelegd dat de 'security-stroop' hier enorm vertragend werkt. Tooling was maar een klein voorbeeldje, in het grote plaatje is dat nog echter niets.

Deveon schreef op dinsdag 20 oktober 2020 @ 13:26:
@com2,1ghz Dat klinkt niet als een probleem met Security, maar met de algehele mentaliteit in de organisatie. Security zou hooguit het beleid en voorwaarden mogen bepalen, maar niet inhoudelijk wie waar bij mag. Waarom je anno 2020 nog JSON bestanden rond mailt vind ik wel een bijzondere. Mail is voor communicatie en niet data uitwisselen...

Want die chat tool die gebruikt werd hebben ze dichtgetimmerd dat je geen bijlagen mag sturen. Ik heb ook wel eens screenshots ontvangen die de JSON response moeten voorstellen.

Je wordt er op een gegeven moment helemaal ziek van dat je niet meer bezig bent met het oplossen van het probleem maar hoe je bij de resources zoals logs en databases kan komen.
We krijgen een ticket dat onze API waarschijnlijk niet de juiste data geeft. We hebben zelf geen toegang tot die data. En krijg je uiteindelijk weer een situatie dat iemand die daar wel weer bij kan dat dit gewoon via een side channel wordt verstuurd.
Nog een keer een grapjas(trainee) gehad die pastebin een handig tooltje vond om JSON te sturen.

@com2,1ghz Wat is in deze organisatie de officiële tool voor bestandsoverdracht van data uit productie (waar de fout optreedt) en de ontwikkelomgeving? Niet de chat tool, niet E-mail en zeker niet pastebin, toch?

Dit zijn trouwens ook prima vragen om te stellen tijdens een intake. Wat is het beleid mbt installeren van eigen tooling? Welk incident management proces wordt er gebruikt? Doe je in deze DevOps functie ook de Ops voor productie? Dan krijg je meteen een idee of de organisatie wel bij je past. Want inhoudelijk kan het werk nog zo leuk zijn, als de organisatie je alleen maar in de weg zit heb je liever een andere klus lijkt me.

peak schreef op dinsdag 20 oktober 2020 @ 11:49:
[...]


Ik ben it security specialist en ik snap dat developers vrijheid blijheid willen, maar begrijp je ook de andere kant van het vakgebied?

Die vrijheid blijheid brengt risico's met zich mee. Wat als jij een software met backdoor of ander troep hebt gedownload omdat de website van putty is gehackt en ze hebben de source of binary gewijzigd.

Het probleem is niet dat je niet standaard vrijheid krijgt, maar dat het vervolgens te vaak bureaucratisch zoveel tijd kost om soms zelfs een nieuwe versie van reeds geïnstalleerd software te krijgen, dat dat het andere uiterste is (bij de overheid meegemaakt dat de nieuwe versie van notepad++ letterlijk 2 maanden duurde, want dan moest er een nieuwe image gemaakt worden, etc etc. Maar, op de RDP's inclusief productie waarop we ook rechten hadden, hadden we dan weer wel alle rechten zodat we zelf de juiste versies daarop konden installeren

sverzijl schreef op dinsdag 20 oktober 2020 @ 13:29:
[...]

Ik heb me er inmiddels net zoals de meeste andere ZZP-ers om me heen bij neergelegd dat de 'security-stroop' hier enorm vertragend werkt. Tooling was maar een klein voorbeeldje, in het grote plaatje is dat nog echter niets.

Begrijp ik en ben het ook met je eens dat het vertragend werkt. Echter is die vertragende factor van security hetzelfde als 30 dagen wachten tot je factuur betaald is. Zonder beleid en controles gaat het mis. Bij ons is het CAB een drama, maar dat betekent niet dat ik ze ga proberen te omzeilen.

com2,1ghz schreef op dinsdag 20 oktober 2020 @ 13:01:
[...]

Je collega's zijn geen vreemden, dat zijn mede professionals.
Je computer lock je niet voor je collega's, maar voor "vreemden".
Je deelt je huissleutels ook met je huisgenoten.

Als developer zijnde hebben wij root rechten op onze machines. Dat is ook noodzakelijk voor het installeren van je tools. Ik sta er niet op te wachten op een discussie aan te gaan waarom ik docker nodig heb.
Of dat ik met verantwoorden waarom ik graag SDKMan installeer om mijn SDK's te beheren.

Ouch... Ik zal mijzelf dan even beter beargumenteren waarom ik vanuit mijn werk denk dat wat jij nu opnoemt een no go is.

Je locked je computer omdat alleen jij toegang hebt tot de systemen/code/whatever die jij hebt gekregen middels jouw persoonlijke account. Waarom heeft iedereen een eigen account gekregen denk je? Functiescheiding of wellicht heeft die collega van jou geen rechten tot repository Y maar jij wel en dat heeft een reden. Dus nee, je locked je computer omdat je niet wilt dat iemand anders misbruikt maakt van jouw account om wat voor reden dan ook. Ook zal drink je elke week een biertje met die collega.

Hebben jouw huisgenoten ook de sleutel van dingen waar zij niks in te zoeken hebben? Bijvoorbeeld een kluis mocht je die hebben..

Waarom jij docker nodig hebt is wel degelijke een valide discussie. Download en check jij alle containers die je gebruikt? Wie weet zit er weer crypto mining proces op het achtergrond te draaien. Misschien ben je vanwege deze discussie nu wel behoedzamer geworden en dat is ok. Gaat om bewustwording.

Zolang er via jouw systeem geen verdere verspreiding c.q. schade aangericht kan worden aan andere systemen in het landschap, vind ik het prima dat jij meer moet kunnen op je laptop dan anderen. Maar zodra door jouw handelen overige systemen in gevaar komen, ja sorry dan gaat toch echt de deur dicht voor je.

peak schreef op dinsdag 20 oktober 2020 @ 14:38:

Waarom jij docker nodig hebt is wel degelijke een valide discussie. Download en check jij alle containers die je gebruikt? Wie weet zit er weer crypto mining proces op het achtergrond te draaien. Misschien ben je vanwege deze discussie nu wel behoedzamer geworden en dat is ok. Gaat om bewustwording.

Het is anders heel erg lastig om 2 deamons in een docker-container te draaien.
Het kan technisch wel, maar zeer lastig.

Daaraantegen is het niet ongewoon on docker-containers in de IT te gebruiken, al is het maar om test-tools te draaien voor code-style en (ironisch) beveiliging.

Een collega van mij probeert al 3/4 jaar!! een chrome-plugin en docker-runtime goedgekeurd te krijgen zodat ie fatsoendelijk Behat kan draaien.
Beveiliging is belangrijk dat ben ik met je eens, maar het moet niet het werk onmogelijk maken.

peak schreef op dinsdag 20 oktober 2020 @ 14:38:
[...]


Ouch... Ik zal mijzelf dan even beter beargumenteren waarom ik vanuit mijn werk denk dat wat jij nu opnoemt een no go is.

Je locked je computer omdat alleen jij toegang hebt tot de systemen/code/whatever die jij hebt gekregen middels jouw persoonlijke account. Waarom heeft iedereen een eigen account gekregen denk je? Functiescheiding of wellicht heeft die collega van jou geen rechten tot repository Y maar jij wel en dat heeft een reden. Dus nee, je locked je computer omdat je niet wilt dat iemand anders misbruikt maakt van jouw account om wat voor reden dan ook. Ook zal drink je elke week een biertje met die collega.

Hebben jouw huisgenoten ook de sleutel van dingen waar zij niks in te zoeken hebben? Bijvoorbeeld een kluis mocht je die hebben..

Waarom jij docker nodig hebt is wel degelijke een valide discussie. Download en check jij alle containers die je gebruikt? Wie weet zit er weer crypto mining proces op het achtergrond te draaien. Misschien ben je vanwege deze discussie nu wel behoedzamer geworden en dat is ok. Gaat om bewustwording.

Zolang er via jouw systeem geen verdere verspreiding c.q. schade aangericht kan worden aan andere systemen in het landschap, vind ik het prima dat jij meer moet kunnen op je laptop dan anderen. Maar zodra door jouw handelen overige systemen in gevaar komen, ja sorry dan gaat toch echt de deur dicht voor je.

Je punt was duidelijk. Alleen was ik het niet helemaal eens met je voorbeelden(ook een beetje aan het trollen)

Ben het voor de rest mee eens dat het voornamelijk gaat om bewustwording. Echter loop je vaak tegen een dikke muur aan bureaucratie als je iets geregeld wilt krijgen. Ik heb helemaal geen zin om te verantwoorden waarom we een nieuwere Java versie nodig hebben ipv eentje die al out of support is.

Ik wil een volledige integratie met Sonarcube met Jenkins. Heb ik een plugin nodig. Verzoek werd afgewezen.
Ik wil een geautomatiseerd test draaien als onderdeel van de deployment pipeline tegen onze applicatie aan gedurende deployment. Ik krijg de firewalls niet open want tja, geen noodzaak hierin. En nu zitten we de boel handmatig te testen.

Lang leven BYOD toch?

Je doet alles op je eigen systeem. Moet het uiteindelijk landen binnen de organisatie of op een bepaald platform moet je eerst door de security muur heen. Iedereen blij

Docker dicht zetten/niet toestaan omdat je niet weet wat voor een images er binnen komen slaat natuurlijk helemaal nergens op. Je kan Docker prima gebruiken zonder ooit een kant en klaar publiek image gebruikt te hebben. Faciliteer hier als bedrijf dan in en zorg voor base images, een eigen registry en/of image scanner

GrooV schreef op dinsdag 20 oktober 2020 @ 15:57:
Docker dicht zetten/niet toestaan omdat je niet weet wat voor een images er binnen komen slaat natuurlijk helemaal nergens op. Je kan Docker prima gebruiken zonder ooit een kant en klaar publiek image gebruikt te hebben. Faciliteer hier als bedrijf dan in en zorg voor base images, een eigen registry en/of image scanner

Ik denk dat je hier een belangrijk punt aanstipt. Een onbekwame 'security specialist' gooit met blokkades ipv oplossingen te weten. Het kiezen voor blokkades tegenover een werkbare oplossing maakt het verschil tussen een goede een een slechte security specialist?