Kunnen ontwikkelaars makkelijk neuzen in klant-databases?

Het korte antwoord is: Ja.

Wanneer een bedrijf zijn zaken op orde heeft kan dit natuurlijk niet. Ontwikkelaars hebben alleen toegang tot testdata en soms geanonimizeerde productiedata wanneer het echt niet anders kan.

In de praktijk blijkt dat ik als extern consultant regelmatig direct toegang krijg tot de productie databases van mijn klanten en het is alleen mijn persoonlijke discretie die mij tegen houd om die data te pakken, doorzoeken en op een USB stick mee naar huis te nemen. Als dit soort toegang al aan externen wordt gegeven is het met de toegangsbeperkingen voor hun eigen ontwikkelaars meestal een stuk slechter gesteld.

Meestal zijn er geen technische maatregelen om doorzoeken en meenemen van data te voorkomen. Alleen een geheimhoudingsovereenkomst en "dat doe je gewoon niet".

[ Voor 11% gewijzigd door Gerco op 14-03-2012 23:12 ]

In de meeste gevallen wel. In de specifiekere gevallen niet. Bij banken bijvoorbeeld is de beveiliging vaak wel goed op orde; je mag je eigen PC niet meenemen, je kunt USB sticks e.d. niet gebruiken, en je kunt alleen bij databases als de DBA je daar toegang toe geeft. Maar bij het meerendeel van de bedrijven / bedrijfjes zal het wel mogelijk zijn, aangezien ze daar vaak uit gemakzucht en/of gebrek aan kennis gewoon 1 databaseaccount hebben met volledige toegang tot alles.

Als je een bedrijf hebt dat met privégegevens werkt, en je neemt ontwikkelaars aan (voor vast of extern), zorg ervoor dat ze een document ondertekenen waarbij ze de privacy van de gegevens waarborgen; geheimhoudingsplicht en dergelijke.

Het draait uiteindelijk om vertrouwen. Geheimhoudingsplicht is een gerechtelijke stok achter de deur, dwz als ze toch de gegevens meenemen of publiceren dan kun je ze laten berechten, maar anders dan dat... Ja, je kunt technische beperkingen opleggen, maar hoe dan ook is er minstens één iemand die bij de gevoelige gegevens kan.

Je kan afspraken maken over geheimhouding (geheimhoudingsbeding), auteursrechten en databankrecht om juridisch er iets tegen te doen. Technisch is het wat lastiger tegen te gaan en juridisch heb je weinig aan alleen een puur technische oplossing.

[ Voor 95% gewijzigd door Cobalt op 15-03-2012 00:00 ]

ik vraag me eigenlijk ook wel af hoeveel misbruik ervan wordt gemaakt.
In het geval van overheidsinstellingen met extreem gevoelige informatie zou ik er overigens niet teveel zorgen om maken. Zover ik er kennis van heb is dat iig bij de belastingdienst etc allemaal wel beter geregeld. Zo niet in het systeem zelf, dan wel in de protocollen etc.

YopY schreef op woensdag 14 maart 2012 @ 23:15:
[...] Als je een bedrijf hebt dat met privégegevens werkt, en je neemt ontwikkelaars aan (voor vast of extern), zorg ervoor dat ze een document ondertekenen waarbij ze de privacy van de gegevens waarborgen; geheimhoudingsplicht en dergelijke. [...]

Eigenlijk is dat natuurlijk alleen ff opnieuw informeren. Je moet sowieso al zorgvuldig omgaan met privacygevoelige data en volgens mij zijn er al genoeg wetten die het een en andere afbakenen.

[ Voor 44% gewijzigd door Caelorum op 14-03-2012 23:19 ]

Ik zit bij de UK semi-overheid, en wij moeten encryptie toepassen op alles wat het instituut uitgaat waar privedata instaan. Echter, email is gewoon niet te controleren. Uiteindelijk is er een geheimhoudingsverklaring, en is er ook een integriteitsaanname. Maar misbruik is nooit helemaal te voorkomen, beveiliging is zo sterk als de zwakste schakel.

En soms (vaak?) is de gebruiker de zwakste schakel. Ik heb ooit het Outlookbestand van mijn afdelingshoofd/medisch specialist gerepareerd (was Outlook 2000 en >2 GB gegaan, en onze ICT kon er niets mee), en dat was jarenlang van alle email inclusief beoordelingen van mensen, potentieel patientengegevens etc. Ik had ook zijn emailpassword van hem gekregen...

Voor mij was de verleiding niet groot (integriteit staat hoog in het vaandel) maar ik kan niet voor iedereen instaan in zo'n situatie.

[ Voor 41% gewijzigd door gambieter op 14-03-2012 23:23 ]

Sommige bedrijven kunnen zelfs je verzonden SMSberichten + het bijbehorende telefoonnummer en geadresseerde zien

Denk dat het bedrijf achter whatsapp bijvoorbeeld ook zeker tooling heeft waarmee ze alle berichten die het netwerk verstuurt kunnen inzien.

Ik weet dat bij ons (biomedisch bedrijf) een beperkt aantal mensen toegang heeft tot het schema van de applicatieowner in de db. Dat betekent dat onze serverbeheerder (HP) bijvoorbeeld wel het SYS account heeft, maar niet het applicatieowner account. Ze kunnen dus in de database, maar niet in de gegevens, slechts in het sys schema, wat vooral beheertabellen bevat. Het enige wat ik niet weet is of ze als sys een user kunnen aanmaken die een kloon is van het schema van de applicatieowner. In dat geval kunnen ze met een omweg alsnog overal bij, maar dan kunnen wij iig zien dat ze dat gedaan hebben. Ik kan me voorstellen dat database leveranciers als oracle wel over dat soort oplossingen hebben nagedacht. Nogmaals, ik mis de specifieke kennis om dit een heel hard punt te maken, maar als ik als SYS inlog op onze productie database dan zie ik echt nauwelijks iets van de data in de applicatie. Maar dat is de beheer kant.
We hebben ook een ontwikkelaar hier lopen die af en toe even iets komt klussen en die kan alleen in de development omgeving. (We hebben development, validatie, productie en disaster omgevingen). Nou zijn wij een vrij klein bedrijf, maar het kan dus zeker. Als je een developer in validatie en productie laat omdat je zelf te lui bent om oplossingen te valideren en implementeren dan roep je een lek over jezelf af.

In principe zijn de database-beheerder en de ontwikkelaar verschillende mensen, dus als de ontwikkelaar de gegevens ge-encrypt in de database opslaat (dus de encryptie/decryptie gebeurt in de applicatie) kan de database-beheerder nog niks met de gegevens in de database.

Maar in theorie kan je er altijd bij, anders kan jij als eindgebruiker je eigen gegevens nooit inzien

Verwijderd schreef op woensdag 14 maart 2012 @ 23:51:
Op een ander forum gaf een gebruiker (hij is ontwikkelaar/adviseur bij een software-bedrijf) met minimale gegevens uit een profiel de adresgegevens te kunnen vissen uit een database. Waar hij naar zeggen toegang toe heeft.

Als je toegang hebt tot een database en je weet iemand zijn inlognaam, dan kun je al zijn gegevens in die database opzoeken.
Bij een webwinkel zou je dan de adresgegevens en wat je gekocht hebt kunnen vinden, op een forum zou je alle posts en prive berichten kunnen lezen van de gebruiker.

In de 10 jaar dat ik nu in de IT aankloot heb ik precies één project gezien waarbij tot op een zekere hoogte audits werden toegepast. Het gros van de bedrijven waar ik gewerkt heb kon ik zonder problemen de hele klantenbrut naar mijn eigen machines scp'en, het is inderdaar het morele "dat doe je toch niet?" wat ontwikkelaars tegenhoudt.

Mijn huidige werkgever is wat stricter, via het crm kunnen we van alles inzien, maar alle wijzigingen worden bijgehouden op gebruikerniveau. ivm PCI compliance zitten de financiele systemen nog veel dichter, een dump maken van alle klanten/cc gegevens kan dus niet.

In veel gevallen zijn dev/test omgevingen tot op een zeker hoogte voorzien van productie-like data, de mate waarin dat onbruikbaar wordt gemaakt is ook per bedrijf verschillend

Ja wij maken dat bv helemaal niet anoniem. Het is gewoon productie data, alleen het is jaren oud en door de karakteristieken van de data zelf kan je er toch geen klap mee, maar ik kan me voorstellen dat dat met persoonsdata anders ligt. Als je een jaren oud klantenbestand hebt dan is de kans groot dat je er nog steeds 80% accurate data uit kan halen.

Als ik er puur even vanuit het ontwikkelaars-oogpunt naar kijk dan is het een spanningsveld tussen fysieke geheimhouding en makkelijker ontwikkelen.

Theoretisch kan je het voor ontwikkelaars helemaal afschermen, over het algemeen hebben de ontwikkelaars zelf niet direct toegang tot de productie-dbase (als het een beetje geregeld is ), maar slechts tot een kopie of een test-dbase en worden de daar geproduceerde dingen pas na testen live gezet. Die kopie of test-dbase valt perfect te anonymiseren.

Nu echter de praktijk, de ontwikkelaars moeten wel een reele kopie of test-dbase hebben
- iets kan flitsend snel zijn op een dataset van 1000 records, maar als er in productie 1 miljard records zijn dan is het hopeloos ontwikkelen (zelfde geld voor inhouden van velden etc, je kan niet alle velden vullen aaaaaaa, je moet op de een of andere manier een reele afspiegeling proberen te creeeren). Een reele afspiegeling creeeren die geanonimiseerd is is in de praktijk giga-veel werk.
- Daarnaast heb je nog dingen als bugs / meldingen etc. Als je een bug hebt dat iemand niet kan zoeken op woorden met een ' dan wens ik de gebruiker veel succes die die bug mag indienen als hij niet het gezochte woord mag vermelden (dat wordt dan iets van : Soms kan ik niet zoeken, maar soms ook weer wel ) daarmee lekt dus ook al data weg
- Dan heb je nog dingen als debug-meldingen etc die ook input/data kunnen bevatten.
- Op het moment dat echt de applicatie crashed en corrupte data gaat veroorzaken, dan wil je veelal toch hebben dat de ontwikkelaar de data kan herstellen.

Wat ik vrij veel zie is dat als het een grotere klant wordt dat de ontwikkelaars dan wel een test-dump van de productie hebben staan, of die nu 1 jaar is of 5 jaar dat is qua privacy veelal niet interessant. En dat er een nood-lijntje is waarop de ontwikkelaars bij de productie data kunnen "if the shit hits the fan", bij een beetje net bedrijf zit dit nood-lijntje wel standaard dicht en moet het handmatig opengezet worden...

Kettrick schreef op donderdag 15 maart 2012 @ 00:02:
Mijn huidige werkgever is wat stricter, via het crm kunnen we van alles inzien, maar alle wijzigingen worden bijgehouden op gebruikerniveau. ivm PCI compliance zitten de financiele systemen nog veel dichter, een dump maken van alle klanten/cc gegevens kan dus niet.

Oh, the blissful ignorance. Logging is enkel maar dat je iemand de schuld kan geven als het overduidelijk iets aanwijst. Als ik normaliter 100 klanten per week bekijk en ik zoek 1 interessante klant op dan ziet niemand dat, bewaar ik die gegevens een maand en geef ik ze dan pas vrij dan is de kans vrij groot dat er nog 30 anderen diezelfde gegevens hebben geraadpleegd.

Geen dump kunnen maken is compliancy technisch / op papier leuk. Maar veelal gaat het enkel maar om de krenten in de pap, niet om de 99,9999% oninteressante data.

Kettrick schreef op donderdag 15 maart 2012 @ 00:02:
In veel gevallen zijn dev/test omgevingen tot op een zeker hoogte voorzien van productie-like data, de mate waarin dat onbruikbaar wordt gemaakt is ook per bedrijf verschillend

Veel plezier met een goed genormaliseerde db onbruikbaar te maken zonder de karakteristieken van de db te veranderen

MrAngry schreef op donderdag 15 maart 2012 @ 00:07:
Ja wij maken dat bv helemaal niet anoniem. Het is gewoon productie data, alleen het is jaren oud en door de karakteristieken van de data zelf kan je er toch geen klap mee, maar ik kan me voorstellen dat dat met persoonsdata anders ligt. Als je een jaren oud klantenbestand hebt dan is de kans groot dat je er nog steeds 80% accurate data uit kan halen.

Bevat jullie data persoonsnamen? Want dan zit je vanwege koppelingen en additonele data die er uit je db te extraheren is al heel snel persoonsdata.
Bijv een webshop die het klantenbestand anonimiseert maar leveringsadressen van pakketjes wel intact laat, tja zoveel moeite is het dan niet meer om het klantenbestand zelfstandig op te bouwen.

[ Voor 17% gewijzigd door Gomez12 op 15-03-2012 00:20 ]

Sjah, ik heb als freelancer ook toegang tot db's van meerdere kleine tot middelgrote bedrijven. Dus ja, ik zou daar als ik kwaad in de zin had gegevens uit kunnen halen. Ik weet zeker dat er zo duizenden freelancers/medewerkers zijn die gegevens uit een bedrijfsmatige db kunnen halen, en of je dat nou als dump kunt doen of handmatig, als de data genoeg waard is dan kan het sowieso. Ook is, wat Gomez12 hierboven al zegt, logging/auditing van beperkte waarde in dat geval. Ik kan ook prima met frontend inlogdata requests faken, zodat mijn dumps niet opgemerkt worden.

ohja: @TS: de persoon op dat forum is blijkbaar een blaaskaak die direct ontslagen moet worden. Ik zou er dan ook niet over twijfelen om zijn gegevens, met informatie over zijn daden, door te spelen aan het bedrijf waar hij voor werkt. Via het forum kan je misschien achter zijn IP komen, maar probeer in ieder geval door te geven aan het bedrijf dat er iemand werkt die de ethiek niet hoog heeft zitten.

[ Voor 26% gewijzigd door Wokkels op 15-03-2012 00:23 ]

Ja.

Op mijn werk hebben we een aantal hele grote klanten, die databases van Nederlanders (en buitenlanders) heeft, waar een journalist trots op zou zijn.
Exact de reden waarom ik heb moeten tekenen voor geheimhouding, en de grap die ik maandag maakte ("met 1 klik ben je straks alles kwijt man!" tegen m'n baas) me op de reactie "Met 1 klik ben jij werkloos en vind je in dit vak voorlopig ook geen werk meer" kwam te staan.

Je werkt voor een bedrijf, dat betekend geheimhouding, inclusief wachtwoorden, gegevens, etc. waar jij toegang tot hebt. En de meeste developers hebben toegang tot meer prive-gegevens dan de overheid, is mijn gevoel eigenlijk.
Afhankelijk van de bedrijven waar je voor werkt.

Die geheimhoudingsplicht is dan ook niet zo maar even "je mag niets zeggen" maar er staat bij mij in ieder geval een boete op die me teveel is om uberhaupt over het risico na te denken.

Afgezien van dat ik de behoefte totaal niet heb, is iemand die die behoefte wel heeft eerder verkeerd bezeg dan iets anders. Er zijn zelden uitzonderingen op te bedenken op de regel "Hou je mond"

[ Voor 26% gewijzigd door Firesphere op 15-03-2012 00:32 ]

Firesphere schreef op donderdag 15 maart 2012 @ 00:27:
Op mijn werk hebben we een aantal hele grote klanten, die databases van Nederlanders (en buitenlanders) heeft, waar een journalist trots op zou zijn.
Exact de reden waarom ik heb moeten tekenen voor geheimhouding, en de grap die ik maandag maakte ("met 1 klik ben je straks alles kwijt man!" tegen m'n baas) me op de reactie "Met 1 klik ben jij werkloos en vind je in dit vak voorlopig ook geen werk meer" kwam te staan.

Het probleem is enkel dat als je baas zo'n tegenreactie kan geven en dat jij er op reageert, je nog niet tot de goede dbases toegang hebt

Met de juiste combinatie van tijd en dbases valt elke geheimhoudingsplicht weg (bijv een ahold die een jumbo wil overnemen en jij die toegang hebt tot de financiele gegevens van jumbo, dan werk je maar niet meer in de IT, de waarde van die gegevens (in die tijd) kan je zo ongeveer de rest van je leven op een tropisch eiland zetten) en blijft enkel maar de moraal (/wetgeving) over.

Die geheimhoudingsplicht (en de daarbij behorende boete) is veelal een lachertje. Als jij bij een miljardenbedrijf werkt en je hebt een boetebeding van 500k dan is er vast wel een concurrent te vinden die dat voor jou betaalt. Enkel de civielrechtelijke / strafrechtelijke consequenties, die zijn dan veelal geen kattepis meer.
Aan de andere kant heb ik nog nooit gehoord van mensen die om 1 klant-gegeven het volle boetebeding moesten betalen (wel wat agenten die ontslagen zijn dacht ik als ik me de krant goed herinner)

Het probleem is dat het zo'n dunne scheidslijn is. Aan de ene kant heb je de "onschuldige" lookups voor een vriend / kennis / lolletje. Aan de andere kant heb je de civielrechtelijke / strafrechtelijke gevolgen als je echt aan profi bedrijfsspionage etc gaat doen.

Op me oude stage naast een stageovereenkomst ook een geheimhoudingsovereenkomst moeten tekenen. Ze zaten in de financiële applicaties waar gebruikers hun persoonlijk financiële plaatje konden invoeren. Je kan er zo bij maar je hebt wel wat meer te doen dan in een database rond te gaan snuffelen. En daarnaast is het breken van de geheimhoudingsovereenkomst geen pretje en zeker niet als een stagiair, dan kan je vrachtwagenchauffeur worden.

Ik heb bij elk bedrijf/klant al een geheimhoudingsclausule moeten tekenen.

Maar vaak moet je wel ingelogd zijn om de database te kunnen inzien.
In een beetje fatsoenlijk bedrijf houden ze dat allemaal wel bij.

Ach ... er zijn zoveel beroepen waar men zaken geheim moet houden: boekhouding, juridisch, geneeskunde, ordehandhaving, banken, ...

Maar ik zou toch graag weten waarom de TS deze vraag stelt.
Want aan de gegevens kunnen wil niet zeggen dat je er ook iets mee gaat doen.

Edit:
Bv. Meeste bankbedienden kunnen aan al de rekeninggegvens van mensen aangesloten bij hun bankkantoor - die kunnen dus echt heel specifieke info te pakken krijgen - nu, ik verwacht/hoop wel dat dat allemaal geregistreerd/gelogd wordt.

[ Voor 19% gewijzigd door chime op 15-03-2012 09:14 ]

Tja ik weet regelmatig veel meer dan ik zou willen weten.....maar goed het is voor veel bedrijven toch erg lastig om alles in goed gescheiden en geanonimiseerde OTAP te krijgen.


Offtopic:

S950 van AKAI S950?

Wat ik als ontwikkelaar in het MKB regelmatig tegen kom is dat er twee systemen bestaan: de eerste voor het primaire bedrijfsproces, ook wel het ERP genoemd. In die database staat alles dat nodig is voor een correcte financiele en operationele bedrijfsvoering.

Daarnaast wordt er nog een klein systeem naast gebruikt (vaak Exact) dat afgeschermd is van zowel interne als externe medewerkers. Hier worden de privacy gevoelige gegevens als salarissen mee beheert.

Het varieert van bedrijf tot bedrijf, maar ik heb (als freelancer) bij diverse bedrijven (ook hele grote) gewerkt, waarbij er ook zaken in productie uit moesten worden gevoerd/gecontroleerd/etc. en ik dus toegang had tot alle bedrijfsgegevens, zowel commercieel als privacy gevoelig.

Voor mij is er maar één ding belangrijk: ik beschouw mijzelf als een professional. Kloten met of opvragen van gegevens van je klant is gewoon onprofessioneel, of je dat nu voor de lol doet of er echt kwaad mee wil doen. Als een klant besluit om mij toegang te geven tot een database met 6 miljoen klanten, doen ze dat omdat ze vertrouwen op mijn professionaliteit, en dat vertrouwen beschaam ik niet, ook al weet ik wat dit soort informatie waard is voor mogelijke concurrenten.

En besef heel goed: als zoiets uitkomt en aan jouw naam blijft kleven, dan blijkt het IT-wereldje in Nederland ineens heel erg klein te zijn en kom je nergens meer aan de bak.

NLxAROSA schreef op donderdag 15 maart 2012 @ 22:18:
En besef heel goed: als zoiets uitkomt en aan jouw naam blijft kleven, dan blijkt het IT-wereldje in Nederland ineens heel erg klein te zijn en kom je nergens meer aan de bak.

Dat zeggen meerdere mensen in dit topic, maar is dat wel zo? Ik ken persoonlijk helemaal niemand / weet geen namen van iemand die ooit voor een dergelijke overtreding op straat is geflikkerd. Of heb ik de digitale-schandpaal-voor-ICT-eikels gemist?

Bedrijven vragen een VOG, een wassen neus, want hoe groot is de kans dat er daadwerkelijk een strafrechtelijke veroordeling komt voor het overtreden van dit soort geheimhoudingsregels. Kortom: ik denk dat er veel te gemakkelijk en gemakzuchtig omgegaan wordt met beveiligingsrisico's door bedrijven en overheidsinstellingen.

Ik werk als freelancer met Oracle technologie voor grote industriële partijen, telco's, banken, verzekeraars, pensioeninstellingen, defensie en overheidsinstellingen met (zeer) gevoelige data die ongetwijfeld duur verkocht kan worden

JaQ schreef op donderdag 15 maart 2012 @ 22:39:
[...]

Dat zeggen meerdere mensen in dit topic, maar is dat wel zo?

Mensen die jouw CV moeten beoordelen tikken je naam in in Google/LinkedIn/Facebook/Wieowie/etc. Als er ook maar ergens iets is te vinden, komt het naar boven. En ook al is dat niet zo, dan zijn er wel mensen die jou kennen of op andere manieren in jouw netwerk zitten (ook al doe je daar zelf niet actief aan). Referenties worden echt wel gecontroleerd, zeker voor wat zwaardere functies. En heb je die niet, dan is dat op zijn zachtst gezegd apart. En je zal moeten gaan liegen op/over je CV. Lastig om dan het hele plaatje consistent te houden.

Gomez12 schreef op donderdag 15 maart 2012 @ 00:44:
[...]

Het probleem is enkel dat als je baas zo'n tegenreactie kan geven en dat jij er op reageert, je nog niet tot de goede dbases toegang hebt

Mijn baas weet niet waar ik toegang toe heb Dat weet m'n projectmanager wel.

JaQ schreef op donderdag 15 maart 2012 @ 22:39:
Dat zeggen meerdere mensen in dit topic, maar is dat wel zo? Ik ken persoonlijk helemaal niemand / weet geen namen van iemand die ooit voor een dergelijke overtreding op straat is geflikkerd. Of heb ik de digitale-schandpaal-voor-ICT-eikels gemist?

Ik lees vaak dat bedrijven security breaches, waaronder ook diefstal van data, vaak niet melden bij de politie om reputatieschade te voorkomen. In de praktijk zal het met die schandpaal dus wel meevallen.

Kortom: ik denk dat er veel te gemakkelijk en gemakzuchtig omgegaan wordt met beveiligingsrisico's door bedrijven en overheidsinstellingen.

Hoe zou er dan mee omgegaan moeten worden? Als je niet op een VOG kunt vertrouwen houdt het snel op. Of wil je de gangen van elke sollicitant door een privedetective laten nagaan?

Ik werk als freelancer met Oracle technologie voor grote industriële partijen, telco's, banken, verzekeraars, pensioeninstellingen, defensie en overheidsinstellingen met (zeer) gevoelige data die ongetwijfeld duur verkocht kan worden

Daar twijfel ik dan weer aan. Voor een technologiebedrijf zal dat best waar zijn. Het ontwikkelen van nieuwe technologie is duur en tijdrovend, en dat maakt bedrijfsspionage interessant.
Maar wat moet een verzekeringsmaatschappij met de klantinformatie van een andere verzekeraar? Het is misschien wel interessant maar (meestal) niet belangrijk genoeg om er iets strafbaars voor te doen. Bovendien kan degene die jou die database wil verkopen ook best eens een journalist op zoek naar een verhaal zijn.

Daarnaast: Als ik met een copy van een "gevoelige" database naar een concurrent stap, is de kans waarschijnlijk groter dat die concurrent direct mijn baas (of de politie) waarschuwt, dan dat ie een serieus bod op die database doet.

Verwijderd schreef op woensdag 14 maart 2012 @ 23:06:
Bestaat die mogelijkheid?
Is dit juist?

Het antwoord is ja.

Bij ons hebben zowel ontwikkelaars en testers volledige toegang tot klantendatabases. Wij kunnen alles inzien, behalve de geëncrypteerde wachtwoorden van de gebruikers. In de geheimhoudingsverklaringen en contracten staat natuurlijk dat de data niet aan derden doorgegeven mogen worden.
Elke bug of vraag over de weergave of berekening in onze software kunnen wij lokaal naspelen op de data van de klant om de klant zo volledig mogelijk te helpen. Wij testen onze software ook met gegevens die van de klanten af komen om het aantal bugs en onvoorziene omstandigheden zo veel mogelijk te verkleinen.

Indien het in je op komt om query's te gaan maken over omzet-en winstgegevens, schaadt dat in de vertrouwensrelatie en mag je je spullen pakken....

NLxAROSA schreef op donderdag 15 maart 2012 @ 22:57:
Mensen die jouw CV moeten beoordelen tikken je naam in in Google/LinkedIn/Facebook/Wieowie/etc. Als er ook maar ergens iets is te vinden, komt het naar boven. En ook al is dat niet zo, dan zijn er wel mensen die jou kennen of op andere manieren in jouw netwerk zitten (ook al doe je daar zelf niet actief aan). Referenties worden echt wel gecontroleerd, zeker voor wat zwaardere functies. En heb je die niet, dan is dat op zijn zachtst gezegd apart. En je zal moeten gaan liegen op/over je CV. Lastig om dan het hele plaatje consistent te houden.

Hier ben ik het niet mee eens.

Ik weet van verschillende (freelance) ICT-ers die uit projecten zijn geflikkerd omdat het technische keuzen zijn (pardon for my french). Die gasten hebben wel iedere keer weer nieuwe klussen en niet enkel bij onbenullige tenten voor slechte tarieven. Als je hun namen gaat googleen, dan vind je helemaal geen slechte verhalen. Wel linked-in profielen met veel ervaring, want veel verschillende klanten. Iets wat er helemaal niet slecht hoeft uit te zien voor een interim werknemer. Kortom: ik ken geen digitale schandpaal waar data-dieven op gemarkeerd zijn, anders dan een register bij justitie.

Wat bedoel je met zwaardere functie? We hebben het toch over ontwikkelaars (en ik neem al een uitstap naar DBA-ers, die typisch al beter gecontroleerd worden).

downtime schreef op donderdag 15 maart 2012 @ 23:20:
Hoe zou er dan mee omgegaan moeten worden? Als je niet op een VOG kunt vertrouwen houdt het snel op. Of wil je de gangen van elke sollicitant door een privedetective laten nagaan?

Als DBA hoef je de data niet te kunnen lezen om een omgeving te kunnen beheren (en zelfs tunen). Kwestie van investeren in de juiste producten. Voorkomen is beter dan genezen. Zelfde geldt voor het maken van goede (geanonimiseerde) testdata. Typisch iets wat niet gebeurt "om tijd en geld te besparen".

downtime schreef op donderdag 15 maart 2012 @ 23:20:
Daar twijfel ik dan weer aan. Voor een technologiebedrijf zal dat best waar zijn. Het ontwikkelen van nieuwe technologie is duur en tijdrovend, en dat maakt bedrijfsspionage interessant.

Door inzicht in een proces kan je fraude plegen. Iedereen kent de geruchten over afrondingscenten (toch?) maar als jij weet hoe een bank aan fraude bestrijding doet, dan kan jij iets met die kennis. Zelfde geldt voor verzekeraars (fraude met vergoedingen). Delen van gegevens van veiligheidsinstanties of justitie aan derden is ook niet ondenkbaar. Denk ook aan het natrekken van het vriendje van je dochter, dat soort onzin, bijvoorbeeld omdat je "toevallig" bij een deurwaarderskantoor werkt en in het GBA kan rondneuzen. Of het tegenhouden van bekeuringen omdat je in Driebergen of Leeuwarden zit. Er zijn voldoende scenario's te bedenken.

Wel ben ik met je eens dat je met een export (of dump) niet zomaar geld kan verdienen door naar de directe concurrent te gaan. Gelukkig zijn de meeste mensen ook ten goede trouw die met gevoelige gegevens werken, althans: in die illusie leef ik

[ Voor 38% gewijzigd door JaQ op 15-03-2012 23:35 ]

JaQ schreef op donderdag 15 maart 2012 @ 23:26:
Wel ben ik met je eens dat je met een export (of dump) niet zomaar geld kan verdienen door naar de directe concurrent te gaan. Gelukkig zijn de meeste mensen ook ten goede trouw die met gevoelige gegevens werken, althans: in die illusie leef ik

Dat ligt ook maar net aan wat voor gegevens het zijn. Ik kan als externe meestal bij klanten bij alle data (ook financieel en personeel) en sommige data zal voor bepaalde figuren best geld waard zijn. Jaar of 10 terug liep ik bijvoorbeeld met een complete hr-database dump van een grote politie regio in nl rond op mijn laptop. Daar zullen bepaalde criminelen best geld voor over hebben gehad gok ik.

Ik heb ook nog nooit meegemaakt dat data geanonimiseerd is op ontwikkel en testsystemen. Zelfs niet bij overheden of bedrijven waar je alleen binnen komt met de zwaarste veiligheidsscreenings. Alles is op basis van vertrouwen en persoonlijke integriteit (gecombineerd met al dan niet een geheimhoudingsverklaring). Er zal denk ik in 99% van de gevallen ook nooit misbruik van worden gemaakt en van die andere 1% hoor je nooit. Dat is mijn illusie .

Dus als antwoord op TS: ja daar kan je bij en dat gebeurt ook wel. Meestal als lolletje. Ik heb ooit van een collega te horen gekregen wat mijn banksaldo was toen hij een opdracht had bij mijn bank .

Danfoss schreef op vrijdag 16 maart 2012 @ 00:15:
[...]
Dus als antwoord op TS: ja daar kan je bij en dat gebeurt ook wel. Meestal als lolletje. Ik heb ooit van een collega te horen gekregen wat mijn banksaldo was toen hij een opdracht had bij mijn bank .

Dat is echt een slecht verhaal. Je gaat je direct afvragen waar die nog meer in heeft zitten neuzen.

Als je je onwikkelars niet kunt vertrouwen, waarom laat je ze dan een stuk software voor je bouwen?

1 regeltje code en elke call wordt ook ergens anders heen gestuurd.

Je kunt imho beter je developers ondersteunen in plaats ze voorbarig 'eng' te vinden.

JaQ schreef op donderdag 15 maart 2012 @ 23:26:
[...]

Hier ben ik het niet mee eens.

Ik weet van verschillende (freelance) ICT-ers die uit projecten zijn geflikkerd omdat het technische keuzen zijn (pardon for my french). Die gasten hebben wel iedere keer weer nieuwe klussen en niet enkel bij onbenullige tenten voor slechte tarieven. Als je hun namen gaat googleen, dan vind je helemaal geen slechte verhalen. Wel linked-in profielen met veel ervaring, want veel verschillende klanten. Iets wat er helemaal niet slecht hoeft uit te zien voor een interim werknemer. Kortom: ik ken geen digitale schandpaal waar data-dieven op gemarkeerd zijn, anders dan een register bij justitie.

Wat bedoel je met zwaardere functie? We hebben het toch over ontwikkelaars (en ik neem al een uitstap naar DBA-ers, die typisch al beter gecontroleerd worden).

Neem aan dat je kneuzen bedoelt. Mijn ervaring met prutsers is juist tegenovergesteld, en al helemaal in het freelance wereldje. Zeker als mensen grote profielen hebben met veel ervaring, veel klanten en veel connecties is het heel makkelijk controleren of het plaatje wel klopt. Als ik een CV beoordeel kijk ik altijd of ik iemand ken (wiens professionele mening ik waardeer) die die persoon kent. Vaak geeft dat de doorslag, en niet zozeer het profiel. En andersom werkt dat vaak ook zo (klanten vragen aan andere mensen wat voor vlees ze met jou in de kuip hebben). Digitale schandpaal is er inderdaad niet (en lijkt me ook niet zo nuttig, zeker bij conflicten).

Dat veel bedrijven niet goed controleren geloof ik graag. Wat ook niet meehelpt is het enorme tekort aan techneuten, dit zorgt er ook voor dat ook 'lutsers' nog aan het werk blijven.

We hebben het inderdaad over ontwikkelaars, maar in de praktijk is die scheidslijn niet zo heel duidelijk. Bij de meeste klanten doe ik een mix van informatie/software architectuur, development, project management en soms ook beheer/support.

JaQ schreef op donderdag 15 maart 2012 @ 23:26:
Gelukkig zijn de meeste mensen ook ten goede trouw die met gevoelige gegevens werken, althans: in die illusie leef ik

Ik zelf ook, en op lange termijn zorgt die professionele instelling ervoor dat je altijd werkt hebt, ook in crisistijd.