Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Thuiswerken op eigen computer

Pagina: 1
Acties:

Acties:
  • 0Henk 'm!

  • .Vii
  • Registratie: juli 2014
  • Laatst online: 06-02 15:39
Ello allemaal,

Ik zit momenteel met een dilemma waar ik niet heel goed weet hoe ik daar op moet handelen. Momenteel bieden we medewerkers aan om thuis te werken dit gebeurd nu met een laptop van de zaak waar ik de beveiliging kan garanderen door via policy's ed. alles af te sluiten en alleen een Cisco Anyconnect cliënt te laten draaien.

Deze starten ze op > logen er op in > starten een RDSH sessie op en ze zitten op het centrale netwerk.

Nu zijn er enkele medewerkers bij mijn bureau geweest met de vraag of ze ook thuis kunnen werken maar dan niet met een laptop van de zaak maar met hun eigen thuis computer. Nagevraagd bij het management en deze hebben hier nog geen standpunt in genomen en ik moet hier met een advies in brengen.

Wat is jullie mening over mensen die thuiswerken op hun eigen computer, ik zelf kan niet de veiligheid van die computers garanderen ondanks dat er met een Cisco AnyConnect cliënt wordt gewerkt en daardoor de beveiliging wel aanwezig naar het bedrijfsnetwerk.

Hoe zien jullie dit?

Acties:
  • 0Henk 'm!

  • sypie
  • Registratie: oktober 2000
  • Niet online
En dan als bedrijf ook de afschrijving van de privé computers moeten betalen? Het lekken/verliezen van gegevens omdat mensen de boel niet beveiligd hebben zoals de zaak dat heeft?

Nee. Als je als bedrijf mensen thuis laat werken geef ze dan ook jouw spullen om mee te werken, dat is de verplichting die je als werkgever hebt: zorgen dat je personeel z'n werk kan doen met de spullen die jij hen biedt.

Een kok neemt toch ook niet zijn eigen pannen mee van huis?

Heb ik je vraag opgelost? Doneer me een Gulden via mijn avatar.


Acties:
  • 0Henk 'm!

  • Fiber
  • Registratie: maart 2008
  • Laatst online: 06:26

Fiber

Beaches are for storming.

quote:
sypie schreef op zaterdag 02 mei 2015 @ 11:04:
[...]

Een kok neemt toch ook niet zijn eigen pannen mee van huis?
Toch zijn er steeds meer bedrijven met een BYOD beleid...Wikipedia: Bring your own device

Aan de andere kant zijn (waren...?) er ook bedrijven waar je met de laptop van de zaak nog niet eens op je eigen thuis wifi mag werken maar een (separaat) bedraad netwerk moet gebruiken...

Keep your wits sharp, your heart open and your gun loaded.


Acties:
  • 0Henk 'm!

  • Umbrah
  • Registratie: mei 2006
  • Laatst online: 11:17

Umbrah

The Incredible MapMan

Tsja, het is zonder inzicht te hebben in het soort werk, haast onmogelijk een uitspraak hierover te geven:
* Is het kantoorwerk? Gekoppeld aan Sharepoint-stijl omgevingen? In dat geval is het uiteraard mogelijk maar moet je opletten op de licenties: hebben je medewerkers legale software en staat je bedrijfslicentie sharepoint naar 'buiten toe' toe?
* Zijn er webportals? Zoja: hoe zijn die in hun eigen authenticatie beveiligd? Heb je certificaten + een goede implementatie van technieken zoals SAML, of zit je rechtstreeks X.500 te praten met je services?

Naast de beveiliging van hun computers, moet je dus ook nadenken over je interne infrastructuur: ADFS omgeving náást de Cisco omgeving kan een hoop vereenvoudigen; zelfs naar office365 gaan kan een hoop ontzorgen maar zonder te weten of dat álles is (beetje SAP systeem lult gewoon naar buiten toe tegenwoordig en weet 100% zeker dat je gebruiker je gebruiker is met je eigen ADFS implementatie...), valt er echter weinig te zeggen: houwtje touwtje custom-built wat puur HTTP username + password stuurt is zelfs met een VPN client (mag je die vanuit je licentie bij iedereen neerzetten?) potentieel een risico als je medewerkers aan publieke WIFI netwerken bij de starbucks gaan lopen lurken. Tevens wil je het virus-risico uiteraard beperken... je zou het aantal devices kunnen limiteren en er eisen aan stellen (ja, zelfs voor de macceraars wil je een virusscanner om 'doorsturen' te beperken)...

TL;DR:

* Weet eerst wát je naar buiten wilt aanbieden (want dit is naar buiten...)
* Weet vervolgens óf je het naar buiten mag aanbieden
* Weet 100% zeker waar de grensen ophouden: piratebay kopietjes MS Office wil je niet laten 'bijdragen' aan je sharepoint omgeving
* Vertrouw je clients, en voorzie in een trust platform (2FA, ADFS combinatie) die versterkt is door beleid (ja, het mag, maar je moet op je droids dit installeren, op je macs dit, en op je windows dat)

Het kán enorm krachtig zijn; mijn werkgever heeft een sharepoint omgeving, een SAP systeem, en "standaard office" naar buiten openstaan; en een legio andere zaken die voor een groot gedeelte aansluiten op ADFS; een beetje nog via Forefront TMG (sharepoint/intranet omgeving), en een 'acceptatie' dat we nooit vanaf onze eigen laptops zullen kunnen printen. We zitten via 'web' standaarden op alle systemen aangesloten, niet via lagere netwerk tiers. De werkgever heeft overigens wel office365 'afgekocht' (hetgeen ook weer via ADFS authentiseert).

De voorwaarde ís en blijft echter: data beleid, informatie beleid, en documenten gaan niet op privé machines staan, en voor sommige projecten mag het niet (encrypted laptops 100% verplicht).

Umbrah wijzigde deze reactie 02-05-2015 11:18 (3%)


Acties:
  • 0Henk 'm!

  • Gamebuster
  • Registratie: juli 2007
  • Laatst online: 20-02 10:03
Ik werk vanuit huis voor een bedrijf op mijn eigen systeem. 2-3 andere collega's doen hetzelfde, alleen op hun werk PC.

Mijn rede: Mijn eigen PC is factor x sneller dan werk PC's. Wel werd mondeling aangegeven dat ik op de beveiliging moest letten. Schijfencryptie enzo. Wel heb ik zonder pardon gewoon toegang tot productie data, ook op mijn prive systeem.

Het gaat hier overigens om allemaal Apple systemen. Met Windows zou ik iets huiveriger zijn.

Appel appel appel


Acties:
  • 0Henk 'm!

  • Jester-NL
  • Registratie: januari 2003
  • Niet online

Jester-NL

The key to joy is disobedience

Bij voorgaande werkgever 1: thuiswerken was mogelijk middels een inlog op een Citrix-omgeving. Ergo: het maakt (in wezen) geen moer uit wat de host-PC draait. Alles wat nodig is, is een werkende Citrix-client en een token.
Voorgaande werkgever 2: de 'thuiswerk'-omgevnig was een virtuele omgeving die naadloos aansloot op de desktop-omgeving. Deze pakte ook gewoon openstaande programma's over. Wederom: alles wat nodig was, was een RDP-client.

In beide gevallen waren er nauwelijks eisen aan de thuisomgeving. Als medewerker met de wens om thuis te werken was je er eigenlijk alleen voor verantwoordelijk dat de Citrix- of RDP-client geinstalleerd was.
En de kosten beperkten zich voor de werkgever(s) tot het correct inrichten van externe toegang en een token.
Werkgever 1 werkte sowieso al met een Citrix-omgeving, en werkgever 2 had de luxe dat ze de hele omgeving (in verband met een rigoreuze herstructurering van het bedrijf) volledig op de schop aan het gooien waren, waarbij de externe toegang de eerste ervaring met de nieuwe omgeving was ;)

Huidige situatie/werkgever: Ik werk volledig thuis, en dat eigenlijk alleen via een (aantal (beveiligde)) website)s). In combinatie met de nodige certificaten en vertrouwen dat ik geen gekke dingen doe op mijn werk-PC.

All-in-all lijkt het me, gezien de keuze om kosten te maken (laptops met policies zijn niet gratis ;)) het overwegen waard om RDP te bekijken.

Take life too serious and it ceases to be fun
me @ last.fm


Acties:
  • 0Henk 'm!

  • Question Mark
  • Registratie: mei 2003
  • Nu online

Question Mark

Moderator SWS/WSS en WOS

F7 - Nee - Ja

quote:
Jester-NL schreef op zaterdag 02 mei 2015 @ 17:48:
All-in-all lijkt het me, gezien de keuze om kosten te maken (laptops met policies zijn niet gratis ;)) het overwegen waard om RDP te bekijken.
Dat doen ze al....
quote:
.Vii schreef op zaterdag 02 mei 2015 @ 10:59:
Deze starten ze op > logen er op in > starten een RDSH sessie op en ze zitten op het centrale netwerk.
RDSH = Remote Desktop Session Host

On topic:

Ik zou adviseren richting management dat:
  • Gebruikers zelf verantwoordelijk gesteld worden voor het adequaat beveiligen van hun prive pc.
  • De RDP sessie zelf voldoende beveiligt moet zijn/worden. Dat doen jullie nu al met Cisco VPN software, dus eigenlijk is dat al geregeld.
  • Verder zou ik adviseren dat het redirecten van het clipboard, lokale printer en drives dichtgezet wordt voor thuiswerkers. Daarmee voorkom je (een beetje) dat bedrijfsdata weglekt. Wees je er wel van bewust dat men alsnog bedrijfsdata naar zichzelf kan mailen, het is dus een schijnveiligheid.
Bovenstaande (en wellicht nog wat mee regels) moet het management gaan verwoorden in het bedrijfsbeleid. Dat is hun taak.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


Acties:
  • 0Henk 'm!

  • emnich
  • Registratie: november 2012
  • Niet online

emnich

kom je hier vaker?

quote:
Question Mark schreef op zondag 03 mei 2015 @ 12:42:
  • Gebruikers zelf verantwoordelijk gesteld worden voor het adequaat beveiligen van hun prive pc.
Dat klinkt leuk maar in de praktijk is dat maar (zeer) weinig waard. De meeste gebruikers hebben er gewoon te weinig verstand van en nog minder interesse in. Als het dan toch fout gaat dan kan je niet eens een claim bij de werknemer neerleggen want de werkgever blijft gewoon verantwoordelijk tenzij de werknemer echt grof nalatig is geweest.Dat grof nalatig moet echt veel verder gaan dan geen virusscanner/firewall.

Acties:
  • 0Henk 'm!

  • gambieter
  • Registratie: oktober 2006
  • Niet online

gambieter

Narf! Poit! Egad! Zort!

Wij combineren ook VPN met RDP naar je eigen werk PC. De VPN is een keyfob of een Android/iOS app, je hebt een PIN-code nodig + de VPN-app code die elke minuut verandert, en als je daarop ingelogd bent, kun je dan RDP doen naar PCs waar je voor gemachtigd bent (en waar je kunt inloggen). Na max 8 uur wordt j eruit gegooid.

VPN+RDP kan in principe vanaf elke willekeurige PC.

++?????++ Out of Cheese Error. Redo From Start.


Acties:
  • 0Henk 'm!

  • .Vii
  • Registratie: juli 2014
  • Laatst online: 06-02 15:39
Iedereen heeft dus ook echt zijn eigen mening hoe of wat er voor nodig is om men op hun eigen thuis computer te laten werken. Wat ik wel altijd mee krijg is dat het lastig is om te gaan met het feit dat men thuis werkt om hun eigen computer en dat er door de medewerker iets van een verklaring ondertekend dient te worden dat hun thuis computer goed beveiligd is.

Wat Umbrah ook aangeeft sommige informatie mag van mij wel naar buiten via een thuis verbinding andere projecten wil ik dat absoluut niet hebben, ik denk dat ik hier dan ook iets moet verzinnen dat zodra ik zie dat er een VPN actief is bepaalde folder directories niet bereikbaar zijn.

Dank voor jullie reacties hiermee kan ik met een goed advies richting MT treden :-)!

Acties:
  • 0Henk 'm!

  • gambieter
  • Registratie: oktober 2006
  • Niet online

gambieter

Narf! Poit! Egad! Zort!

Even uit interesse: wat is de rationale van de medewerkers die het op de eigen computer willen kunnen doen? Zijn dat de mensen die nu niet thuis kunnen werken, of mensen die een laptop van de zaak hebben? :)

++?????++ Out of Cheese Error. Redo From Start.


Acties:
  • 0Henk 'm!

  • Question Mark
  • Registratie: mei 2003
  • Nu online

Question Mark

Moderator SWS/WSS en WOS

F7 - Nee - Ja

quote:
.Vii schreef op zondag 03 mei 2015 @ 17:49:
Wat Umbrah ook aangeeft sommige informatie mag van mij wel naar buiten via een thuis verbinding andere projecten wil ik dat absoluut niet hebben, ik denk dat ik hier dan ook iets moet verzinnen dat zodra ik zie dat er een VPN actief is bepaalde folder directories niet bereikbaar zijn.
Dat betekend dat je een vorm van data-classificatie wilt gaan doen. Dat is in de meeste gevallen een project op zich. En dat project zal ook vanuit de business gedragen moeten worden, het is immers hun data. Dit zijn vaak lastige trajecten.
quote:
emnich schreef op zondag 03 mei 2015 @ 12:52:
[...]


Dat klinkt leuk maar in de praktijk is dat maar (zeer) weinig waard. De meeste gebruikers hebben er gewoon te weinig verstand van en nog minder interesse in. Als het dan toch fout gaat dan kan je niet eens een claim bij de werknemer neerleggen want de werkgever blijft gewoon verantwoordelijk tenzij de werknemer echt grof nalatig is geweest.Dat grof nalatig moet echt veel verder gaan dan geen virusscanner/firewall.
Klopt, maar het is beter dan hier helemaal niets over opnemen in je beleid. Verder gaat het niet zozeer om claims neer te kunnen leggen, maar meer om het creëren van een stukje awareness bij de eindgebruikers.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


Acties:
  • 0Henk 'm!

  • ChicaneBT
  • Registratie: november 2000
  • Niet online

ChicaneBT

.:Porsche:.

Gewoon niet toestaan. Je hebt een zakelijke laptop die moet je dan ook maar gebruiken. De beveiliging van gegevens van het bedrijf staat voor mij boven het gemak van gebruikers.

....911....


Acties:
  • 0Henk 'm!

  • Umbrah
  • Registratie: mei 2006
  • Laatst online: 11:17

Umbrah

The Incredible MapMan

quote:
ChicaneBT schreef op maandag 04 mei 2015 @ 12:14:
Gewoon niet toestaan. Je hebt een zakelijke laptop die moet je dan ook maar gebruiken. De beveiliging van gegevens van het bedrijf staat voor mij boven het gemak van gebruikers.
Mee eens, en dat zou de kern moeten zijn van elk bedrijf... een hoop schandaaltjes zouden zo voorkomen kunnen worden. Maar de vraag is: waar trek je de grens. Een goed informatiebeleid wat breed gedragen kan worden kan veel pragmatischer zijn dan desktops met 'stotterende' 2FA, en een wachtwoordenbeleid wat mensen dwingt tot 'gele post-its aan de monitor'.

Tevens is niet elke sector hetzelfde. Concurrentiegevoelige gegevens van een beursgenoteerd bedrijf, defensie, of patientgegevens hebben een heel andere 'gevoeligheid' dan data betreffende foldertjes... en zo dient er ook mee om gegaan te worden.

Er zijn tevens sectoren waar een consistent arbeidstekort in is, en daar dient óók meegewerkt te worden. De ICT sector (sowieso een unieke sector... véél zeer sterk gepolariseerde meningen daar) kwam vorig jaar in Nederland 35.000 man te kort: oftewel, 35.000 vacatures die NIET vervuld zijn. Eenieder die actief is hier én z'n mailadres ergens heeft staan én vindbaar is op LinkedIn kent het verschijnsel van de 10 recruiters/week met geen enkele vakkennis die je benaderen voor een bakje koffie (o.a. info hier: http://www.computable.nl/...ort-aan-ictpersoneel.html). Feit is: er is concurrentie om de (goede) werknemers die er zijn binnen te halen, en binnen te HOUDEN.

Net zoals dat er véél (te) veel ZZP-ers zijn in deze sector die zelf bepalen wat kan/mag, is een zekere 'bevoorrechtheid' wel gezet binnen deze sector. Ik heb nu twee detacheer-bedrijven gehad als werkgever, en bij beiden was ik localadmin, en had ik min of meer een vrije hand: er was wel een informatiebeleid maar dat was óf lastig te vinden, óf niemand deed er iets mee... waar ik nu zit gaat dat beter. Maar dan kom je bij een klant, en dan is het ineens 'normaal' dat er lockdown is, dat er over software licenties wordt nagedacht, en dat er alleen via een netwerk van VPN's en wachtwoord policies gewerkt kan worden. Puur om het bedrijf te behoeden (olie en gas industrie vooral is daar sterk in). Zou je echter zo'n beleid binnen een ICT bedrijf uitvoeren, dan zou jij op moeten letten hoe snel de 'exodus naar de concurrent' begint... arrogant van die ICT-ers, maar tsja, zo werkt dat nou eenmaal. Per contract wordt overigens wel vaak wat geregeld... "consultants" binnen defensie moeten bijvoorbeeld zonder camerafoon naar binnen en werken met 100% bitlocked werkplekken met slechts zéér beperkt internet.

Om terug te komen op je quote: het is helaas niet zo zwart-wit. Ik ben het met je stelling eens, maar er spelen meer factoren hierin...

Acties:
  • 0Henk 'm!

  • Harsh Critic
  • Registratie: juni 2010
  • Laatst online: 18-02 18:58
Niet doen. Ik weet niet voor welk bedrijf je werkt maar als daar privacy gevoelige gegevens een rol spelen moet je dit niet willen. BYOD is juist weer aan het teruglopen. In het begin van de 'trend' (rond 2012) zag je dat er een enorme lobby was van managers die dit wel een leuke manier vonden om de jaarlijkse bonus binnen te halen door kostenbesparing. Echter, je ziet nu dat BYOD een stille dood aan het sterven is omdat er te veel beveiligingsrisico's aan plakken + dat het eigenlijk meer kost om alle lokale problemen bij de gebruikers te verhelpen dan het kost om gewoon laptops uit te leveren aan alle medewerkers. Voor de grote bedrijven is dit sowieso 'not done', voor de kleine bedrijven begrijp ik het enigzins nog wel door beperkte resources maar zou je het eventueel toch niet willen. Één verkeerde medewerker die zijn computer vol met malware heeft staan en je hebt een enorm probleem als bedrijf.

Acties:
  • 0Henk 'm!

  • Umbrah
  • Registratie: mei 2006
  • Laatst online: 11:17

Umbrah

The Incredible MapMan

yup... zo hadden we laatst een collega op een mac (nota-bene) die het voor elkaar had gekregen een aangepaste hosts file te krijgen... gelukkig voor het bedrijfs 'slechts' alle banksites die er in stonden, niks van ons, en een windows user (gelukkig niet op een overheidscontract) die dmv. een zelf-geinstalleerde java update alle URL's die hij benaderde in de cloud van ask.com aan het zetten was...

Acties:
  • 0Henk 'm!

  • CAPSLOCK2000
  • Registratie: februari 2003
  • Laatst online: 20-02 17:47

CAPSLOCK2000

zie teletekst pagina 888

Ik ben niet zo bekend met rdp/rdsh maar ik neem aan dat je het zo kan configureren dat je alleen de remote desktop functionaliteit kan gebruiken en dus het delen van files, clipboard en dergelijken kan uitschakelen. Daarnaast neem ik aan dat je VPN zo is geconfigureerd dat thuiswerkers alleen met de RDSH-host mogen communiceren en niet met de rest van het netwerk.

In dat geval lijkt het me acceptabel. Ik zou dan wel zorgen voor 2FA. Normaal gesproken is de tweede factor dat je op kantoor moet zijn. Thuis (of bij de Starbucks) moet je dan een andere tweede factor hebben.

Het ligt wel erg aan het soort bedrijf/gegevens waar het om gaat, een hoveniersbedrijf is anders dan het leger.

Afspreken dat de medewerker zelf verantwoordelijk is voor de veiligheid van z'n apparatuur is een goed plan maar vertrouw er niet op, de meesten missen de kennis om goed met veiligheid om te gaan (tenzij je een IT-beveiligings-bedrijf runt ;) Je kan als bedrijf wel een beetje helpen door bv een virusscanner aan te bieden voor thuis.

Je kan wel goed afspraken maken over zaken waar "gewone" mensen wel controle over hebben. Bijvoorbeeld dat zakelijk webbrowsen altijd via de remote desktop gaat en dus niet via de lokale browser.

This post is warranted for the full amount you paid me for it.


Acties:
  • 0Henk 'm!

  • Reacher
  • Registratie: januari 2001
  • Laatst online: 08:39

Reacher

oldschool

Er zijn verschillende oplossingen. ik neem aan dat je al een RD web access gebruikt. Je kan hier een appliance voorzetten die endpoint vpn kan verzorgen (liefste SSL VPN). Lekker vanuit de browser, niet moeilijk doen voor de eind gebruiker. (Gemiddelde oplossing kan ook 2factor ondersteunen als je dat nodig vind).

Thuiswerken is iets van nu. Ondersteun het dan ook, je collega's hebben valide redenen om hier om te vragen en je werkgever gaat blij zijn met proactieve houding.

Reacher wijzigde deze reactie 04-05-2015 13:23 (14%)

but I don't like you in that way
the best things in life are illegal
born to do porn!


Acties:
  • 0Henk 'm!

  • Umbrah
  • Registratie: mei 2006
  • Laatst online: 11:17

Umbrah

The Incredible MapMan

quote:
Reacher schreef op maandag 04 mei 2015 @ 13:21:
Er zijn verschillende oplossingen. ik neem aan dat je al een RD web access gebruikt. Je kan hier een appliance voorzetten die endpoint vpn kan verzorgen (liefste SSL VPN). Lekker vanuit de browser, niet moeilijk doen voor de eind gebruiker. (Gemiddelde oplossing kan ook 2factor ondersteunen als je dat nodig vind).

Thuiswerken is iets van nu. Ondersteun het dan ook, je collega's hebben valide redenen om hier om te vragen en je werkgever gaat blij zijn met proactieve houding.
Als het maar op RD blijft, en op SSL blijft, en bij voorkeur dan ook met zoiets er voor: http://solutions.3m.com/w.../Tips-Resources/Selector/

Je kan een hele hoop zeggen maar in m'n tijd in London (Canary Wharf, 3jr gewoond/gewerkt in die hoek) heb ik een hoop dingen gezien die ik niet zou mogen zien, een hoop sticks/schijven onbeheerd in de starbucks zien liggen terwijl een 'thuiswerker' even koffie ging halen met mogelijk een schandaal in de making, en een lading "password voor intranet over HTTP" scenarios van het niveautje: amehoela. En dan niet denken dat SSL-over-public-wifi met een 'username-password-only' gezonde beveiliging is, absoluut niet.

Bedenk je de worst case scenario eens in wat er gebeurt als ik met jouw data in handen sta. Wat kan ik doen? Aandeelhouders beinvloeden? Koers beinvloeden? Als concurrent er mijn voordeel mee doen? Te weten komen waar je medewerkers wonen en je zo een kostenpost veroorzaken in de vorm van een rechtzaak?

Ik denk dat je dit wat te licht opvat, maar wederom: super-veilig hoeft niet super-lastig te zijn. Het hangt er vanaf wát voor werk je doet; ben je die-hard CAD user maar werk je wel met érg geheime tekeningen dan valt RD al eigenlijk af door de gebrekkige 3D-acceleratie. De kosten om met technieken als HP-RGS te gaan werken zijn dan wel een factor tegen het absurde aan; waardoor je dan kan denken: wat als m'n users op hun eigen vol-met-spyware zijnde laptops die tekeningen neerzetten...

2015 zou het jaar moeten worden van 'geen wachtwoorden meer'. Ik ben daar een voorstander van, want hoe complexer beveiliging wordt, hoe meer mensen er uit praktische overwegingen omheen gaan werken (waar het wachtwoord-op-een-postit concept nog wel heet meest veelvoorkomende is, als variant van pincode op de pinpas).

Ik werk op het moment op een klantlaptop én een zakelijke laptop, en die klant vertrouwt mij dat ik 250.000 namen en adressen van burgers NIET lek. Laat ik het eens omdraaien: zou ik jou als collega willen?

Overigens: thuiswerken is idd op een retour (de 2-3 die we hebben heeft niemand een beeld van wie het zijn, 'see and be seen'), mede door de beveiliging, uiteraard, maar ook door de communciatie. Ik ben er wel voor, maar met beleid. En dat is JUIST (erg lastig op tweakers) niet een 100% exclusieve IT-kwestie.

ALS ik de TS een advies zou geven (.Vii, lees je nog?) dan zou dat zijn:
* Begin met informatie beheer & beleid
* Vervolg met sorteren van je informatie aan 'wel buiten domein' en 'niet buiten domein'
* Classificeer beveiligingsniveaus (100% encrypted domeinlaptop zonder USMD drivers met privacy folie en 30sec screensaver met 2FA lockout over TPM zal een vervolg zijn voor de thuiswerkers als hoog niveau, met een virusscanner loze mac met rotte hosts file als laagste niveau voor de PR documentjes) die garant staan aan de waarde (!!! bedrijfskundige kwestie!!!) van je data
* Wees bereid om je gebruikers teleur te stellen!

Acties:
  • 0Henk 'm!

  • Reacher
  • Registratie: januari 2001
  • Laatst online: 08:39

Reacher

oldschool

Typisch iets voor een ICT-er om zich druk te maken over iets wat je niet controleren en beheersen.
Het grootste risico is de mens zelf. Ongeacht wat jij daar aan zaken om heen kan fabrieken...
Dat wil niet zeggen dat je geen maatregelen moet treffen, maar de basis ligt in vertrouwen.

Het is een bewuste keuze die gemaakt moet worden door bedrijfsleiding en moet passen in de organisatie en je HR beleid etc. De ICT afdeling moet adviseren en controleren op de zaken binnen het bereik van de afdeling en verantwoordelijkheden, ICT is een enabler voor een organisatie, je moet je zelf niet opwerpen als een disqualifier.

En met vertrouwen bedoel ik ook dat je vertrouwen moet hebben in de mensen die hier wel besluiten kunnen en willen in de organisatie. Als de organisatie er voor kiest om onder de juiste voorwaarden dit wel te willen ondersteunen is dat niet goed of slecht, net zoals ze er voor kiezen om dat juist niet te doen als ze beslissen op basis van de correcte informatie.

Reacher wijzigde deze reactie 04-05-2015 13:45 (22%)

but I don't like you in that way
the best things in life are illegal
born to do porn!


Acties:
  • 0Henk 'm!

  • .Vii
  • Registratie: juli 2014
  • Laatst online: 06-02 15:39
Veel verschillende meningen komen er alsnog naar voren. En allemaal hebben wel één ding gemeen en dat is het feit dat het eigenlijk helemaal niet bij de IT afdeling moet liggen. Helaas is dit wel het geval en moet ik hier ook een mening van uit gaan brengen.

Helaas als IT'er heb ik 0,0 vertrouwen hoe iemand zijn thuis laptop in regelt en beveiligd. Dan mag hij nog zo'n IT hobbyist zijn of IT Guru van een andere organisatie die een andere kant op slaat en andere werkzaamheden buiten de IT gaat doen. Het feit blijft uit eindelijk is de IT verantwoordelijk voor hoe de beveiliging is en wat de gevolgen er van zijn als er niet aan voldaan wordt.

Nu is het zo dat de medewerkers standaard toegang hebben om informatie op te vragen uit de Gegevens Basis Administratie wat dus de nodige privacy gevoelige informatie met zich meebrengt. En zeker om die reden alleen al vind ik een BYOD idee helemaal niks. Merendeel ook door wat jullie allemaal aangeven en ook omdat ik er 0 controle over heb wat er mee gebeurd.

Nu gebruiken we gelukkig wel 2 factor authenticatie (Pincode + sms code) + auto lock van VPN na 2 minuten (Waardoor je dus de pincode opnieuw moet invoeren, en dan is het wel alleen de pincode). Maar dat laat nog het nodige toe.

Daarnaast ben ik zelf ook van mening dat niet elke positie binnen het bedrijf toestaat om thuis te werken. (Qua werkzaamheden voornamelijk) en dat ben daar ook begrip voor moet hebben. (Daarvoor moet ik nog wel het MT achter me zien te krijgen).

Ik ga wel ieder geval een advies uitbrengen om thuiswerkers met een eigen laptop een No-Go te geven om diverse redens die hier in dit topic genoemd zijn :-).

Mocht het nu zijn dat ze het alsnog wel toegestaan dan ga ik er wel voor pleiten dat er goede voorwaardes komen als het gaat om het gebruik van eigen computer voor de zaak. (Er is nu al wel een email & data reglement dus het bedrijf is er wel mee bezig).

Acties:
  • 0Henk 'm!

  • stefanass
  • Registratie: juli 2005
  • Laatst online: 11:03
Nog een optie die ik bij een vorige werkgever ben tegengekomen is dat het wordt toegestaan, maar pas nadat de betreffende PC door de IT afdeling is gescand op security etc en op die PC ook een aantal beveilingsprogramma's werden geinstalleerd.
Kostte de werkgever effectief alleen 2 licenties, voor de security software en een aparte RD client die ze gebruikten.

Nadeel was wel dat de medewerkers dus 1-malig hun PC heen-en-weer moesten slepen.

Acties:
  • 0Henk 'm!

  • Question Mark
  • Registratie: mei 2003
  • Nu online

Question Mark

Moderator SWS/WSS en WOS

F7 - Nee - Ja

quote:
Umbrah schreef op maandag 04 mei 2015 @ 13:34:
[...]
ALS ik de TS een advies zou geven (.Vii, lees je nog?) dan zou dat zijn:
* Begin met informatie beheer & beleid
* Vervolg met sorteren van je informatie aan 'wel buiten domein' en 'niet buiten domein'
* Classificeer beveiligingsniveaus (100% encrypted domeinlaptop zonder USMD drivers met privacy folie en 30sec screensaver met 2FA lockout over TPM zal een vervolg zijn voor de thuiswerkers als hoog niveau, met een virusscanner loze mac met rotte hosts file als laagste niveau voor de PR documentjes) die garant staan aan de waarde (!!! bedrijfskundige kwestie!!!) van je data
* Wees bereid om je gebruikers teleur te stellen!
Je hebt vanuit techniek geredeneerd hele valide punten.

De pest is alleen dat als je dit allemaal ingeregeld hebt gebruikers dit lastig gaan vinden. Die excel sheet waar men 's avonds dan nog even aan wil gaan werken wordt dan gewoon even naar het privé mailadres gestuurd. Thuis bewerkt op de eigen pc, en vervolgens weer naar het zakelijke mailadres gestuurd. En ja, ik heb het zien gebeuren...

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B


Acties:
  • 0Henk 'm!

  • Umbrah
  • Registratie: mei 2006
  • Laatst online: 11:17

Umbrah

The Incredible MapMan

quote:
Question Mark schreef op maandag 04 mei 2015 @ 16:21:
[...]

Je hebt vanuit techniek geredeneerd hele valide punten.

De pest is alleen dat als je dit allemaal ingeregeld hebt gebruikers dit lastig gaan vinden. Die excel sheet waar men 's avonds dan nog even aan wil gaan werken wordt dan gewoon even naar het privé mailadres gestuurd. Thuis bewerkt op de eigen pc, en vervolgens weer naar het zakelijke mailadres gestuurd. En ja, ik heb het zien gebeuren...
Yup, hetzelfde. Ik noemde de gele post-it en de pinpas-met-pincode ook... De TS noemt specifiek BGT data... dat is nogal heavy shit, dat WIL je niet thuis hebben. Al was het maar omdat "stel dat" je dan iets aan een HELE HOOP mensen mag gaan uitleggen...

TL;DR: soms is het compromis tussen veilig en werkbaar NIET mogelijk en moet je het gewoon NIET doen. En om een antwoord op Reacher te formuleren: elke maandag ben ik optimistisch en productief, tegen de vrijdag aan ben ik qua competentie het vertrouwen kwijt in de menselijkheid (ik ben geen beheerder maar als men angstig is om de service desk te bellen met de opmerking: 'hoe leg ik dit uit', komt men naar mij toe: een collega, zei het externe inhuur, zo laatst een collega die wou bloemen online bestellen, ging naar pagina 8 van google, en drukte op een advertentie met 'download' op de knop... alles om bloemen te bestellen... het resultaat mag je raden)...

Acties:
  • 0Henk 'm!

  • RemcoDelft
  • Registratie: april 2002
  • Laatst online: 11:40
Zit er ook een fatsoenlijke werkplek bij die (zakelijke) laptop? Want anders mag er vanwege Arbo niet langer dan 2 uur per dag gewerkt worden.

Compact Flash kaartjes als stille IDE harddisk gebruiken. Gebruik kortingscoupon "ship4free" voor gratis verzenden. Mijn nieuwe site: Knoopcel batterij .nl


Acties:
  • 0Henk 'm!

  • MarcoC
  • Registratie: september 2003
  • Laatst online: 20-02 08:42
Lange discussie, terwijl het antwoord zo eenvoudig is:
quote:
.Vii schreef op zaterdag 02 mei 2015 @ 10:59:

Wat is jullie mening over mensen die thuiswerken op hun eigen computer, ik zelf kan niet de veiligheid van die computers garanderen ondanks dat er met een Cisco AnyConnect cliënt wordt gewerkt en daardoor de beveiliging wel aanwezig naar het bedrijfsnetwerk.
Als je de veiligheid niet kunt garanderen, dan is het simpel: niet doen.

Acties:
  • 0Henk 'm!

  • johnkeates
  • Registratie: februari 2008
  • Laatst online: 20-02 23:45
Stel dat je het risico van data lekken kan beperken tot scherm-met-een-verrekijker-meelezen, dan is er nul verschil tussen een laptop met VPN+RDP en een eigen apparaat met VPN+RDP.

Acties:
  • 0Henk 'm!

  • SinergyX
  • Registratie: november 2001
  • Nu online

SinergyX

____(>^^(>0o)>____

quote:
MarcoC schreef op maandag 04 mei 2015 @ 16:32:
Lange discussie, terwijl het antwoord zo eenvoudig is:
[...]
Als je de veiligheid niet kunt garanderen, dan is het simpel: niet doen.
Wij hebben hierbij extra standpunt erbij genomen, PC is eigen risico. Bij defect of andere problemen mag hij dus geen beroep doen op de IT, die zijn uitsluitend voor hardware van de zaak. Iets te veel gezeur gehad met kapotte PC's, spyware/bloatware tot een PC nagenoeg volledig draaiend op keygen based software.

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.


Acties:
  • 0Henk 'm!

  • Reacher
  • Registratie: januari 2001
  • Laatst online: 08:39

Reacher

oldschool

quote:
.Vii schreef op maandag 04 mei 2015 @ 16:05:

Helaas als IT'er heb ik 0,0 vertrouwen hoe iemand zijn thuis laptop in regelt en beveiligd. Dan mag hij nog zo'n IT hobbyist zijn of IT Guru van een andere organisatie die een andere kant op slaat en andere werkzaamheden buiten de IT gaat doen. Het feit blijft uit eindelijk is de IT verantwoordelijk voor hoe de beveiliging is en wat de gevolgen er van zijn als er niet aan voldaan wordt.
Je kan prima een computer van een medewerker scannen of deze voldoet aan minimale eisen:
http://citrix.opswat.com/ bijvoorbeeld.

but I don't like you in that way
the best things in life are illegal
born to do porn!

Pagina: 1


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True