Thuiswerken & bestanden meenemen

Wij zijn momenteel fors aan het opschalen qua thuiswerk capaciteit.
Voor de laptop users worden de licenties en capaciteit van onze VPN oplossing fors opgehoogd, voor de desktop users wordt met spoed Windows Virtual Desktop ingericht om toch thuis te kunnen werken.
Enkel voor de engineers die met desktop werken hebben we een uitdaging, ivm het niet beschikbaar zijn van GPU's in de VM's - hiervoor wordt nu gedacht aan het mee naar huis laten nemen van de engineering desktops, en deze van VPN client te voorzien - alle data staat op de fileservers / OneDrive, en niet lokaal.
Desktops meenemen is verre van ideaal, maar enige optie op dit moment voor hen

Onze ontwikkelaars werken niet met Live data en hebben gelukkig allemaal een ontwikkel-laptop met hoge specs (en daarmee lage accuduur, maar ook thuis is stroom gelukkig) en een paar mensen die veel op pad zijn hebben ook een laptop (waaronder ikzelf)
Verder werken de meesten bij ons op een Citrix omgeving (middels een thinclient), eigenlijk een volwaardige (maar trage) virtuele eigen desktop. Op die omgeving zijn alle bestanden te vinden. Bestanden die ik zelf (ook ontwikkelaar)nodig heb staan wel op mijn laptop, maar zijn anoniem. Scheelt al een heleboel.

Hoe dan ook, ben ik het met je eens dat je nooit met gevoelige data op pad moet gaan, natuurlijk zijn de situaties nu wat anders dan normaal, maar het blijft in veel sectoren (mijne is ICT + Zorg) wel super belangrijk om goed / veilig met gegevens om te gaan. Maar ik ben ook van mening dat dat echt bij medewerkers ingeprent moet zijn, bij ons gaat het namelijk prima, maar iedereen weet dat het gevoelige gegevens zijn.

Serieus? Dit is nogsteeds een ding? Ik dacht dat het 2020 was, niet 1998.....

- VDI: Alsjeblieft niet zeg. Daarmee vermenigvuldig je de performance problemen op je netwerk. Het is ook absoluut niet nodig, zeker niet om data veilig te houden.
- Bestanden bij 1 collega tegelijk? Waarom in godshemelsnaam?
- Full disk encryption? Really?

Ik heb alles op een OneDrive for Business instance staan. Volledig encrypted, samenwerken zonder problemen, overal beschikbaar. Ook lokale synchronisaties zijn gewoon encrypted. Geen enkele reden om de performance hit van een VDI, remote desktop of VPN te nemen, gewoon op volle snelheid alles gebruiken. Met mogelijkheden om dit lokaal te doen of in Microsoft's Europese, gecertificeerde cloud.

Dit is hoe ik altijd werk en dus hoef ik niets te veranderen om thuis te kunnen werken. Als bedrijven dit soort dingen van te voren goed geregeld hadden, had nu niemand ook maar een fractie van zijn denk capaciteit hier aan hoeven te verspillen.

Seriously: Dit is een non-issue! De adviezen die je geeft, @CAPSLOCK2000, hoewel zeker goed bedoelt, zijn al een jaar of 10 veroudert. Er zijn tegenwoordig veel betere, veiligere, snellere, gebruiksvriendelijkere oplossingen.

Croga schreef op woensdag 18 maart 2020 @ 13:45:
Serieus? Dit is nogsteeds een ding? Ik dacht dat het 2020 was, niet 1998.....

- VDI: Alsjeblieft niet zeg. Daarmee vermenigvuldig je de performance problemen op je netwerk. Het is ook absoluut niet nodig, zeker niet om data veilig te houden.
- Bestanden bij 1 collega tegelijk? Waarom in godshemelsnaam?
- Full disk encryption? Really?

Ik heb alles op een OneDrive for Business instance staan. Volledig encrypted, samenwerken zonder problemen, overal beschikbaar. Ook lokale synchronisaties zijn gewoon encrypted. Geen enkele reden om de performance hit van een VDI, remote desktop of VPN te nemen, gewoon op volle snelheid alles gebruiken. Met mogelijkheden om dit lokaal te doen of in Microsoft's Europese, gecertificeerde cloud.

Dit is hoe ik altijd werk en dus hoef ik niets te veranderen om thuis te kunnen werken. Als bedrijven dit soort dingen van te voren goed geregeld hadden, had nu niemand ook maar een fractie van zijn denk capaciteit hier aan hoeven te verspillen.

Seriously: Dit is een non-issue! De adviezen die je geeft, @CAPSLOCK2000, hoewel zeker goed bedoelt, zijn al een jaar of 10 veroudert. Er zijn tegenwoordig veel betere, veiligere, snellere, gebruiksvriendelijkere oplossingen.

ALs je VDI je netwerk capaciteit beïnvloedt dan heb je gewoon een slecht design gemaakt of laten maken.

Encryptie van de volledige disk ? Dat is zeer gebruikelijk tegenwoordig. Bedrijven gebruiken nu eenmaal veel Bitlocker bv.

Voor de rest wel eens dat er andere mogelijkheden zijn zoals Teams of OneDrive for Business, maar voor bedrijven die nog niet zover zijn vind ik deze adviezen helemaal terecht ...

CAPSLOCK2000 schreef op woensdag 18 maart 2020 @ 14:13:
[...]


De meeste van mijn medewerkers weten het wel, maar zitten ook enorm klem.
Als ze hun werk niet kunnen doen komen mensen enorm in de problemen. Dat kost bakken met geld voor mensen die het toch al niet zo breed hadden, of levert situaties op waarin mensen hun leven een jaar op pauze moeten zetten voor ze weer een kans hebben, of hun uitkering/beurs/inkomen verliezen. Om het maar niet over onze eigen inkomsten te hebben.

Die medewerkers moeten een afweging maken tussen de zekerheid dat er op korte termijn grote problemen ontstaan, en een kans op vage problemen op de lange termijn. Natuurlijk kiezen die mensen er voor om dan maar onveilig te werken.

Dat snap ik ook wel, waar ik met name op doelde met mijn opmerking is dat als men er bewust van is en ook bewust mee omgaat, dan is het risico natuurlijk maar klein. Bij ons is alles gefaciliteerd wat dat aangaat, dus dat maakt het al gemakkelijker.
Ik ken ook (*zorg)instellingen die er niet zo bewust van zijn en vragen of je een lijst met cliëntgegevens kan mailen bijvoorbeeld. Een niet bewuste medewerker zou dat gewoon versturen (zich van geen kwaad bewust en alleen maar goedbedoeld).
Een bewuste medewerker zorgt ervoor dat het via een beveiligde omgeving komt, of versleuteld met een wachtwoord die per SMS naar de ontvanger wordt verzonden. Wat ik bedoelde te zeggen (nu ik het terug lees niet zo duidelijk) is vooral dat het niet errg hoeft te zijn wanneer iemand er bewust mee omgaat.

Tja, ik denk dat je een punt hebt qua verlies van data, maar tegelijkertijd zitten de meeste mensen nu wel thuis en bewegen ze niet zo veel meer. De meeste datalekken van het type: "ik ben mijn USB stick kwijt" e.d. gebeuren toch door ergens iets te vergeten terwijl je op reis bent.

Als je geen disk encryptie gebruikt en wel met gevoelige data werkt met je sowieso al in overtreding met de AVG. Daarnaast is het simpel een vink aanzetten in Windows, kortom als je dat al niet doet dan ben je gewoon uitermate laks bezig.

Croga schreef op woensdag 18 maart 2020 @ 13:45:
Serieus? Dit is nogsteeds een ding? Ik dacht dat het 2020 was, niet 1998.....

- VDI: Alsjeblieft niet zeg. Daarmee vermenigvuldig je de performance problemen op je netwerk. Het is ook absoluut niet nodig, zeker niet om data veilig te houden.
- Bestanden bij 1 collega tegelijk? Waarom in godshemelsnaam?
- Full disk encryption? Really?

Ik heb alles op een OneDrive for Business instance staan. Volledig encrypted, samenwerken zonder problemen, overal beschikbaar. Ook lokale synchronisaties zijn gewoon encrypted. Geen enkele reden om de performance hit van een VDI, remote desktop of VPN te nemen, gewoon op volle snelheid alles gebruiken. Met mogelijkheden om dit lokaal te doen of in Microsoft's Europese, gecertificeerde cloud.

Dit is hoe ik altijd werk en dus hoef ik niets te veranderen om thuis te kunnen werken. Als bedrijven dit soort dingen van te voren goed geregeld hadden, had nu niemand ook maar een fractie van zijn denk capaciteit hier aan hoeven te verspillen.

Seriously: Dit is een non-issue! De adviezen die je geeft, @CAPSLOCK2000, hoewel zeker goed bedoelt, zijn al een jaar of 10 veroudert. Er zijn tegenwoordig veel betere, veiligere, snellere, gebruiksvriendelijkere oplossingen.

Ik vind juist dat de adviezen die @CAPSLOCK2000 geeft heel verstandig zijn.

Alles maar op OneDrive gooien vind ik juist een minder goed idee. Iets als een VDI omgeving is uitermate goed te beveiligen en door alles op 1 plek te houden, heb je betere controle dan met een Onedrive hier en een USB stick daar.

Qua performance, voor de gemiddelde KA omgeving is VDI of TS meer dan prima en het leuke is dat het dan opeens niet meer uit maakt of iemand thuis of op kantoor zit, omdat de omgeving exact gelijk is. Alleen printen en scannen is een beetje lastig, maar je hele digitale omgeving is gelijk.

Bestanden met alleen diegenenen delen die ze nodig hebben is zelfs een _must_ in bedrijven. Het is niet de bedoeling dat iedereen overal bij kan. Je verdeeld het bedrijf in funcionele groepen en afhankelijk van de functionele groep waarin je zit, kun je bij bepaalde data of niet. Dit hoort de basis van je bestandsstructuur te zijn.

BitLocker (dus full disk encryption) is ook heel logisch. Het zit ingebouwd in Windows, waarom zou je het dan niet gebruiken?

Ik denk dat de titel van dit topic zou moeten zijn: "Tuiswerken en bestanden op de zaak laten".

In deze tijd hoef je niet meer bestanden zelf mee te nemen. Zo lang beide kanten internetverbinding hebben is het een kwestie van een en ander goed instellen zodat de werknemer vanuit huis bij de bestanden kan om het werk uit te voeren. Bestanden hoeven niet fysiek ergens anders opgeslagen of naar toe getransporteerd te worden.

unezra schreef op zaterdag 28 maart 2020 @ 08:59:
Alles maar op OneDrive gooien vind ik juist een minder goed idee. Iets als een VDI omgeving is uitermate goed te beveiligen en door alles op 1 plek te houden, heb je betere controle dan met een Onedrive hier en een USB stick daar.

Qua performance, voor de gemiddelde KA omgeving is VDI of TS meer dan prima en het leuke is dat het dan opeens niet meer uit maakt of iemand thuis of op kantoor zit, omdat de omgeving exact gelijk is. Alleen printen en scannen is een beetje lastig, maar je hele digitale omgeving is gelijk.

Een VDI of VPN is een extra single point of failure en zal altijd een extra bottleneck introduceren. Juist in deze tijd dat dat helemaal niet meer nodig is. Een VDI of VPN biedt nauwelijks meerwaarde behalve dat het je de mogelijkheid geeft om het voor mensen moeilijker te maken. Het resultaat van dingen moeilijk maken is dat mensen omwegen gaan zoeken waar je geen enkele controle over hebt. VDI werkt het gebruik van USB sticks juist in de hand.

Bestanden met alleen diegenenen delen die ze nodig hebben is zelfs een _must_ in bedrijven. Het is niet de bedoeling dat iedereen overal bij kan. Je verdeeld het bedrijf in funcionele groepen en afhankelijk van de functionele groep waarin je zit, kun je bij bepaalde data of niet. Dit hoort de basis van je bestandsstructuur te zijn.

Top. Onedrive for Business regelt dit allemaal voor je. Op zo'n manier dat iedereen op de door hen zelf gekozen manier bij de gegevens kan.

BitLocker (dus full disk encryption) is ook heel logisch. Het zit ingebouwd in Windows, waarom zou je het dan niet gebruiken?

Top. En als dat is wat de gebruiker graag wil dan vooral je gang gaan. Maar het is niet persé nodig in een Onedrive omgeving. Nog sterker; het is maar een heel beperkte beveiliging aangezien er geen inflight encryption gebruikt wordt; iets wat een platform zoals Onedrive weer wel biedt.

Er is de afgelopen jaren heel veel vooruitgang geweest in dit gebied. Juist omdat "oude" oplossingen vaak als bij effect hadden dat de gebruiker teveel opgesloten werd met als resultaat een "schaduw IT" die je niet in de hand kunt hebben. De nieuwe oplossingen geven de gebruiker meer vrijheid over hoe ze hun werk doen zonder in te boeten op beveiliging. Ik zou het heel jammer vinden als we dan weer terug grijpen op de technieken van 20 jaar geleden met alle gevaren die daar bij horen.

Croga schreef op zaterdag 28 maart 2020 @ 09:20:
[...]
Een VDI of VPN is een extra single point of failure en zal altijd een extra bottleneck introduceren. Juist in deze tijd dat dat helemaal niet meer nodig is. Een VDI of VPN biedt nauwelijks meerwaarde behalve dat het je de mogelijkheid geeft om het voor mensen moeilijker te maken. Het resultaat van dingen moeilijk maken is dat mensen omwegen gaan zoeken waar je geen enkele controle over hebt. VDI werkt het gebruik van USB sticks juist in de hand.

VDI of VPN hoeven absoluut niet een SPOF te introduceren.
Een VDI omgeving kun je vrij goed redundant uitvoeren, VPN ook.

Bottleneck is ook niet nodig, kwestie van je TS/VDI omgeving en netwerk fatsoenlijk ontwerpen en dimensioneren.

Qua bestanden op USB stick, als je *enige* toegang tot kantoor een VDI omgeving is, is er geen noodzaak tot het meenemen van bestanden op USB stick. Sowieso is dat vaak fysiek onmogelijk gemaakt en anders is er wel een bedrijfspolicy die het verbied.

Het is ook zinloos. Je hele KA omgeving staat in dat geval remote. Wat heeft het voor nut om een bestand naar je laptop te halen en daar te bewerken? Je kunt daar niet opeens magischerwijs meer dan op de KA omgeving die je werkgever ter beschikking stelt.

[...]
Top. Onedrive for Business regelt dit allemaal voor je. Op zo'n manier dat iedereen op de door hen zelf gekozen manier bij de gegevens kan.

En dat wil je dus niet.

Wat je wil, is dat er van hoger hand word nagedacht hoe precies directorystructuren ingedeeld moeten worden en wie vanuit welke functie waarbij moet kunnen.

Door dit aan mensen zelf over te laten krijg je verkeerde inschattingen en uiteindelijk informatie op plekken waar het niets te zoeken heeft. Dit moet je echt niet aan eindgebruikers over willen laten.

[...]
Er is de afgelopen jaren heel veel vooruitgang geweest in dit gebied. Juist omdat "oude" oplossingen vaak als bij effect hadden dat de gebruiker teveel opgesloten werd met als resultaat een "schaduw IT" die je niet in de hand kunt hebben. De nieuwe oplossingen geven de gebruiker meer vrijheid over hoe ze hun werk doen zonder in te boeten op beveiliging. Ik zou het heel jammer vinden als we dan weer terug grijpen op de technieken van 20 jaar geleden met alle gevaren die daar bij horen.

Probleem is dat ik niet geloof dat de de gemiddelde eindgebruiker in staat is op een fatsoenlijke manier in te schatten hoe ze met data om moeten gaan. Dat moet je over laten aan mensen die d'r verstand van hebben en de implicaties kunnen overzien.

Laat eindgebruikers eindgebruikers zijn en ICTers samen met het management en security specialisten zorgen dat ze hun werk veilig kunnen doen. Dus dwing maatregelen af doormiddel van techniek en policy, maar laat ze alsjeblieft niet zelf aanklooien.

unezra schreef op zaterdag 28 maart 2020 @ 09:32:
Wat je wil, is dat er van hoger hand word nagedacht hoe precies directorystructuren ingedeeld moeten worden en wie vanuit welke functie waarbij moet kunnen.

Sorry, ik was niet geheel duidelijk. De structuur kan centraal opgezet worden. De toegang tot die structuur is plots flexibeler. De controle die jij zoekt heb je nogsteeds alleen nu met meerdere beschikbare toegangspaden, op basis van wat de gebruiker nodig heeft.

Probleem is dat ik niet geloof dat de de gemiddelde eindgebruiker in staat is op een fatsoenlijke manier in te schatten hoe ze met data om moeten gaan. Dat moet je over laten aan mensen die d'r verstand van hebben en de implicaties kunnen overzien.

Laat eindgebruikers eindgebruikers zijn en ICTers samen met het management en security specialisten zorgen dat ze hun werk veilig kunnen doen. Dus dwing maatregelen af doormiddel van techniek en policy, maar laat ze alsjeblieft niet zelf aanklooien.

En daar zit een fundamenteel verschil van mening. Als de eindgebruiker geen idee heeft dan zal er nooit centrale controle mogelijk zijn. Het probleem is, zoals al gezegd, dat als de eindgebruiker iets wil dan zal hij daar voor een weg vinden. Als de eindgebruiker dom gehouden is op gebied van data beveiliging doordat dat allemaal centraal geregeld is, zal hij dus ook niet weten dat hij iets fout doet.

De klassieke gedachte van IT is dat de eindgebruiker het niet snapt en IT dus alles dicht moet timmeren. De afgelopen 60 jaar heeft ons geleerd dat dat onmogelijk is. En dus moeten we zorgen dat de eindgebruiker het snapt en de middelen krijgt om zich daar naar te gedragen. IT moet in dienst staan van de gebruiker, niet de politie spelen over de gebruiker.

Iets met "There is a constant struggle between IT making things more foolproof and the universe making better fools. So far, the universe is winning". Wat nu als we deze "fools" aan het roer laten en zorgen dat ze snappen wat de gevolgen zijn van wat ze doen?.....

Kijk voor de gein hier eens naar: Wikipedia: Theory X and Theory Y
Klassieke IT gaat uit van Theory X. Ik ga uit van Theory Y.

Het gaat nog veel verder, veel bestanden zouden helemaal geen "bestanden" moeten zijn, maar data dat in een database zit.

Croga schreef op zaterdag 28 maart 2020 @ 09:43:
[...]
Sorry, ik was niet geheel duidelijk. De structuur kan centraal opgezet worden. De toegang tot die structuur is plots flexibeler. De controle die jij zoekt heb je nogsteeds alleen nu met meerdere beschikbare toegangspaden, op basis van wat de gebruiker nodig heeft.

Maar een beetje bedrijf hééft al een fileserver en alle infra om mensen te kunnen laten werken. Waarom zou je dan gaan prutsen met OneDrive, als je ook gewoon mensen extern toegang kunt geven tot de faciliteiten die er al zijn?

Door dingen als OneDrive te gaan gebruiken stimuleer je juist een wild-west scenario waar data overal en nergens staat en niemand serieus na denkt over wie waarom bij welke data moet.

Je wil niet dat Henk van de receptie opeens denkt "oh, het is wel nuttig dat ik bij de personeelsdossiers kan" en zichzelf even toegang verschaft.

[...]
En daar zit een fundamenteel verschil van mening. Als de eindgebruiker geen idee heeft dan zal er nooit centrale controle mogelijk zijn. Het probleem is, zoals al gezegd, dat als de eindgebruiker iets wil dan zal hij daar voor een weg vinden. Als de eindgebruiker dom gehouden is op gebied van data beveiliging doordat dat allemaal centraal geregeld is, zal hij dus ook niet weten dat hij iets fout doet.

De klassieke gedachte van IT is dat de eindgebruiker het niet snapt en IT dus alles dicht moet timmeren. De afgelopen 60 jaar heeft ons geleerd dat dat onmogelijk is. En dus moeten we zorgen dat de eindgebruiker het snapt en de middelen krijgt om zich daar naar te gedragen. IT moet in dienst staan van de gebruiker, niet de politie spelen over de gebruiker.

De eindgebruiker moet zich focussen op zijn of haar werk. Waarom zou een automonteur in vredesnaam (al is het maar conceptueel) verstand moeten hebben van firewalls? Waarom zou een administratief medewerker, verstand moeten hebben van netwerk infrastructuren?

IT moest inderdaad in dienst staan van de gebruiker, maar dat betekend *juist* dat je als ITer je verantwoordelijkheden hebt en zaken moet durven en kunnen afdwingen. "Nee je mag niet bij die en die data want." en "nee, je mag zelf geen programma's installeren want". Maar ook "Nee, je mag OneDrive niet gebruiken want."

Wat jij schetst word maar al te vaak misbruikt om ICT te dwingen zaken toe te staan, die buitengewoon ongezond zijn voor het bedrijf. "ICT doet moeilijk", nee, "ICT heeft *ook* als taak te zorgen dat we met zijn allen veilig ons werk kunnen blijven doen" en dat betekend dat ICT dus zaken moet kunnen verbieden.

Iets met "There is a constant struggle between IT making things more foolproof and the universe making better fools. So far, the universe is winning". Wat nu als we deze "fools" aan het roer laten en zorgen dat ze snappen wat de gevolgen zijn van wat ze doen?.....

Kijk voor de gein hier eens naar: Wikipedia: Theory X and Theory Y
Klassieke IT gaat uit van Theory X. Ik ga uit van Theory Y.

Punt is dat mensen niet kúnnen overzien wat de implicaties van hun acties zijn. ICT is nog altijd een vak en net zo min als dat de gemiddelde ICTer verstand heeft van hoe een auto diep van binnen werkt, zal de gemiddelde automonteur niet weten hoe ICT werkt.

Ieder zijn vak.

Ik ben het met je eens dat Theory Y het mooiste is, maar inspraak kan best samen gaan met experts hun werk laten doen en hun bestaansrecht als expert niet te bagataliseren. Inspraak betekend niet opeens dat die automonteur zonder enige kennis van zaken moet kunnen vertellen welke veiligheidsmaatregelen er wel en niet noodzakelijk zijn. Inspraak betekend dat, als het mogelijk is, die automonteur gehoord word bij de inrichting.

Dáár ben ik een groot voorstander van, niet er maar op vertrouwen dat als je iedereen in het bedrijf compleet vrij laat, het wel goed gaat. Dat zou impliciet betekenen dat specialisaties niet bestaan en dat iedereen alles in een bedrijf zou kunnen.

Om terug te keren bij het onderwerp:
Ik vind dat er met corona best een paar tijdelijke shortcuts genomen mogen worden. Soms moet je wel. Maar ik vind het ook belangrijk dat de dataveiligheid niet uit het oog verlogen mag worden.

Het leuke van al die bedrijven die VDI of TS deden of doen en thuiswerken al standaard mogelijk maakten: Die merken op dit gebied er niet zo veel van. Er zijn hooguit wat meer thuiswerkers maar da's puur perimeter infra. Misschien dat er een extra firewall bij moet komen, of een extra internet verbinding, misschien een internet verbinding opgeschaald. Allemaal niet zo heel spannend.

Was Corona uitgebroken net vóór wij onze ICT migreerden naar een MSP (begin februari), had ik binnen 2, 3 dagen een aantal thuiswerklicenties kunnen aanschaffen, wat extra telefoons geconfigureerd en klaar. Business as usual. Misschien een videochat systeem op moeten tuigen. (Maar daar hadden we al een keer mee geeexperimenteerd dus was ook niet heel spannend geweest.) Op ICT vlak had ik er verdomd weinig van gemerkt.

Nu zijn we begin februari gemigreerd naar een MSP en kan ik enkel gissen wat de implicaties waren, maar ik denk nog veel beperkter. Voor die MSP was iedere werkplek al een remote werkplek. Voor zover ik kan inschatten moet de impact niet meer geweest zijn dan een paar thuiswerktelefoons extra en misschien een paar softtokens.

That's it.

Zie daar een van de voordelen van VDI/TS.

En de SPoF waar je het eerder over had? Ook voor begin februari was zo goed als alles al dubbel uitgevoerd. We konden op 2 manieren bij de VDI omgeving en omdat iedereen al op VDI werkte, hadden we die niet eens hoeven opschalen.

Corona had in dat geval opnieuw onze overgang naar VDI (bijna 7 jaar geleden) gerechtvaardigd.

Pest is, met corona komen opeens de zwakheden in een ICT systeem naar voren. Als je het al goed had ingeregeld (zoals wij) en was je al ingespeeld op grote hoeveelheden thuiswerkers, had je er relatief weinig van gemerkt. Had je het niet goed ingeregeld, dán is het opeens veel werk.

Ik hoop dat bedrijven in plaats van allerlei lapmiddelen, juist nu zorgen voor een snelle maar goede implementatie van een oplossing die blijvend is. Dus geen houtje touwtje oplossingen enkel om de crisis de baas te worden, maar iets structureels dat hooguit versneld word ingevoerd, zodat ook als de crisis weer voorbij is, mensen beter en structureler thuis kunnen werken.

Dat doe je door snel maar *goed* na te denken over oplossingen en door budget te krijgen het goed te doen. Carte blanche. Investeren en samenwerken met specialistische partijen. Uiteindelijk is het goedkoper het in 1x goed te doen (ook met de spoed toeslag), dan nu met allerlei lapmiddelen shit proberen te fixen. (Waarbij je veiligheid niet uit het oog verliezen OOK een kostenaspect is. Doe je het in 1x goed, verklein je de kans op hacks en andere ellende en dus blijft het in the end goedkoper dan als je nu gaat zitten knutselen met allerlei gaten, gehackt word en dan veel verder van huis bent.)

Daarom ben ik het dus zo eens met de maatregelen van @CAPSLOCK2000, en vind ik dat je dingen als OneDrive moet zien te voorkomen. Gewoon geen data buiten de perimeter van jhet bedrijf. Punt. Alles centraal en zorgen dat DIE toegang goed en veilig geregeld is.

(Ook een voordeel van VDI/TS: Je kunt mensen veilig van eigen hardware gebruik laten maken. Geen gedoe met plotse aanschaf van laptops. Installeer 1 klein stuk client applicatie en gaan. Veilig, efficiënt en extreem kostenbewust. Vrijwel iedereen heeft thuis tóch al een PC en internet verbinding. De eisen daaraan zijn marginaal.)

unezra schreef op zaterdag 28 maart 2020 @ 12:48:
Maar een beetje bedrijf hééft al een fileserver en alle infra om mensen te kunnen laten werken. Waarom zou je dan gaan prutsen met OneDrive, als je ook gewoon mensen extern toegang kunt geven tot de faciliteiten die er al zijn?

Door dingen als OneDrive te gaan gebruiken stimuleer je juist een wild-west scenario waar data overal en nergens staat en niemand serieus na denkt over wie waarom bij welke data moet.

Je wil niet dat Henk van de receptie opeens denkt "oh, het is wel nuttig dat ik bij de personeelsdossiers kan" en zichzelf even toegang verschaft.

Ik denk dat je een beetje een verkeerd beeld hebt van Onedrive for Business; je kunt op Onedrive for business dezelfde rechten sets aanleggen als op een fileserver, alleen dan nog veel uitgebreider. Henk van de receptie kan zich geen toegang verschaffen omdat hij simpelweg die rechten niet heeft.

De eindgebruiker moet zich focussen op zijn of haar werk. Waarom zou een automonteur in vredesnaam (al is het maar conceptueel) verstand moeten hebben van firewalls? Waarom zou een administratief medewerker, verstand moeten hebben van netwerk infrastructuren?

Dit is een heel zwart/wit beeld van hoe de wereld in elkaar steekt. Nee, ze moeten helemaal niets weten van firewalls of netwerk infrastructuren maar die dingen moeten ze ook niet in de weg zitten. En zodra je de toegang tot de dingen die ze wel moeten weten beperkt gaan ze proberen er wel verstand van te hebben....

Wat jij schetst word maar al te vaak misbruikt om ICT te dwingen zaken toe te staan, die buitengewoon ongezond zijn voor het bedrijf. "ICT doet moeilijk", nee, "ICT heeft *ook* als taak te zorgen dat we met zijn allen veilig ons werk kunnen blijven doen" en dat betekend dat ICT dus zaken moet kunnen verbieden.

En zodra ICT in de weg staat om het werk optimaal te doen zal ICT zich aan moeten passen.

Ik ben het met je eens dat Theory Y het mooiste is, maar inspraak kan best samen gaan met experts hun werk laten doen en hun bestaansrecht als expert niet te bagataliseren. Inspraak betekend niet opeens dat die automonteur zonder enige kennis van zaken moet kunnen vertellen welke veiligheidsmaatregelen er wel en niet noodzakelijk zijn. Inspraak betekend dat, als het mogelijk is, die automonteur gehoord word bij de inrichting.

Het gaat niet over inspraak; het gaat er over dat zodra ICT er voor zorgt dat de monteur moet inspreken, ICT al gefaald heeft. Die monteur gaat zijn mening niet geven, die monteur gaat een omweg zoeken. En dat is veel gevaarlijker dan zorgen dat die monteur gewoon zijn werk kan doen. De ICT expert’s bestaansrecht bestaat er uit dat hij de veiligheid kan verzorgen zonder de monteur in de weg te zitten. Kan de expert dat niet dan is hij nog niet genoeg expert.

Het leuke van al die bedrijven die VDI of TS deden of doen en thuiswerken al standaard mogelijk maakten: Die merken op dit gebied er niet zo veel van. Er zijn hooguit wat meer thuiswerkers maar da's puur perimeter infra. Misschien dat er een extra firewall bij moet komen, of een extra internet verbinding, misschien een internet verbinding opgeschaald. Allemaal niet zo heel spannend.

True. Degenen die samenwerken mogelijk hebben gemaakt zonder daar uberhaupt VDIs voor nodig te hebben hebben het nog veel eenvoudiger; de meeste bedrijven die ik zie die met VDI of VPN werken zien nu de beperkingen van hun bandbreedte. De bedrijven die samenwerken mogelijk hebben gemaakt op basis van een open architectuur hebben zelfs daar geen last van.

Ik hoop dat bedrijven in plaats van allerlei lapmiddelen, juist nu zorgen voor een snelle maar goede implementatie van een oplossing die blijvend is. Dus geen houtje touwtje oplossingen enkel om de crisis de baas te worden, maar iets structureels dat hooguit versneld word ingevoerd, zodat ook als de crisis weer voorbij is, mensen beter en structureler thuis kunnen werken.

Dat doe je door snel maar *goed* na te denken over oplossingen en door budget te krijgen het goed te doen. Carte blanche. Investeren en samenwerken met specialistische partijen. Uiteindelijk is het goedkoper het in 1x goed te doen (ook met de spoed toeslag), dan nu met allerlei lapmiddelen shit proberen te fixen. (Waarbij je veiligheid niet uit het oog verliezen OOK een kostenaspect is. Doe je het in 1x goed, verklein je de kans op hacks en andere ellende en dus blijft het in the end goedkoper dan als je nu gaat zitten knutselen met allerlei gaten, gehackt word en dan veel verder van huis bent.)

Helemaal mee eens. Beknibbelen op kwaliteit hebben we altijd al gedaan en dat betekend uiteindelijk altijd dat het toch duurder zal zijn dan het in 1 keer goed doen.

Daarom ben ik het dus zo eens met de maatregelen van @CAPSLOCK2000, en vind ik dat je dingen als OneDrive moet zien te voorkomen. Gewoon geen data buiten de perimeter van jhet bedrijf. Punt. Alles centraal en zorgen dat DIE toegang goed en veilig geregeld is.

Again; ik denk dat je een verkeerd beeld hebt van OneDrive. Ook gewoon binnen je bedrijf houden is eenvoudig mogelijk met OneDrive.

Overigens zie ik hier nog een uitdaging uit het verleden; perimeter security. Als je er van uit gaat dat je netwerk veilig is dan is het gebruik van OneDrive inderdaad een uitdaging. Als je uit gaat van endpoint security dan maakt het helemaal niet meer uit wie er allemaal toegang heeft. Ja, met VDI kun je je netwerk dicht bouwen zodat het niet meer uit maakt welk device contact maakt. Zorg je dat je endpoint security de focus is dan heb je exact hetzelfde alleen zonder de nood van de VDI en zonder het risico dat een VDI toch op 1 of andere manier besmet raakt.

Croga schreef op zaterdag 28 maart 2020 @ 13:29:
[...]
Ik denk dat je een beetje een verkeerd beeld hebt van Onedrive for Business; je kunt op Onedrive for business dezelfde rechten sets aanleggen als op een fileserver, alleen dan nog veel uitgebreider. Henk van de receptie kan zich geen toegang verschaffen omdat hij simpelweg die rechten niet heeft.

Fair enough.
Maar wat is de toegevoegde waarde van OneDrive, als je alles al centraal opgeslagen hebt?

OneDrive klinkt meer als een decentrale dataopslag en ik weet niet of ik dát een goed idee vind.

[...]
Dit is een heel zwart/wit beeld van hoe de wereld in elkaar steekt. Nee, ze moeten helemaal niets weten van firewalls of netwerk infrastructuren maar die dingen moeten ze ook niet in de weg zitten. En zodra je de toegang tot de dingen die ze wel moeten weten beperkt gaan ze proberen er wel verstand van te hebben....

[...]
En zodra ICT in de weg staat om het werk optimaal te doen zal ICT zich aan moeten passen.

[...]
Het gaat niet over inspraak; het gaat er over dat zodra ICT er voor zorgt dat de monteur moet inspreken, ICT al gefaald heeft. Die monteur gaat zijn mening niet geven, die monteur gaat een omweg zoeken. En dat is veel gevaarlijker dan zorgen dat die monteur gewoon zijn werk kan doen. De ICT expert’s bestaansrecht bestaat er uit dat hij de veiligheid kan verzorgen zonder de monteur in de weg te zitten. Kan de expert dat niet dan is hij nog niet genoeg expert.

Dat is niet waar.

Het ultiem veilige systeem, is een systeem zonder data, in een raket, op weg naar een volgend universum en zelfs dán is er een risico op intergalactische hackers.

Zonder gekheid, iedere vorm van veiligheid die je toe past, betekend dat linksom of rechtsom, functionaliteit word ingeperkt.

Vergelijk het met een huis. In een huis zonder deuren kom je eenvoudig binnen, maar veilig is het niet. Dus je voegt deuren toe, sloten, alarminstallaties, etc. Gevolg: Toegang tot je huis is minder makkelijk, maar wel noodzakelijk.

Zo is dat met ICT ook zo. Veiligheidsmaatregelen hebben impact op hoe mensen moeten werken en precies daar zit het probleem. Het is altijd een compromis. Iemand moet een zinvolle balans weten te vinden tussen veiligheid enerzijds, bruikbaarheid anderzijds. Gevolg is wel dat geen systeem 100% veilig is, maar ook dat geen systeem 100% toegankelijk is.

Hoe veiliger het systeem, hoe minder makkelijk de toegang. OOK voor mensen die legitiem toegang horen te hebben tot dat systeem.

[...]
True. Degenen die samenwerken mogelijk hebben gemaakt zonder daar uberhaupt VDIs voor nodig te hebben hebben het nog veel eenvoudiger; de meeste bedrijven die ik zie die met VDI of VPN werken zien nu de beperkingen van hun bandbreedte. De bedrijven die samenwerken mogelijk hebben gemaakt op basis van een open architectuur hebben zelfs daar geen last van.

Beperkingen in bandbreedte!?
Bandbreedte is simpel en goedkoop. Alleen, het kan zijn dat je daarvoor moet investeren.

Leg een fatsoenlijke verbinding richting je VDI infra en bandbreedte is opeens geen probleem meer. Die protocollen zijn relatief licht. Thuiswerkers hebben d'r geen last van. Die hebben alleen te maken met hun eigen internet verbinding. Die kan in de regel de bottleneck niet zijn.

Host je je VDI omgeving in een datacenter, is het appeltje eitje d'r meerdere GBit verbindingen heen te krijgen. Over een enkele GBit verbinding kun je akelig veel VDI/TS doen.

[...]
Helemaal mee eens. Beknibbelen op kwaliteit hebben we altijd al gedaan en dat betekend uiteindelijk altijd dat het toch duurder zal zijn dan het in 1 keer goed doen.

[...]
Again; ik denk dat je een verkeerd beeld hebt van OneDrive. Ook gewoon binnen je bedrijf houden is eenvoudig mogelijk met OneDrive.

Blijft je data met OneDrive binnen je eigen perimeter?
Of synchroniseer je data met de Microsoft cloud?

Overigens zie ik hier nog een uitdaging uit het verleden; perimeter security. Als je er van uit gaat dat je netwerk veilig is dan is het gebruik van OneDrive inderdaad een uitdaging. Als je uit gaat van endpoint security dan maakt het helemaal niet meer uit wie er allemaal toegang heeft. Ja, met VDI kun je je netwerk dicht bouwen zodat het niet meer uit maakt welk device contact maakt. Zorg je dat je endpoint security de focus is dan heb je exact hetzelfde alleen zonder de nood van de VDI en zonder het risico dat een VDI toch op 1 of andere manier besmet raakt.

Endpoint security is alleen een grote uitdaging als je niet alle endpoints onder controle hebt.
Dus wil je dat goed doen: Dag BYOD.

Terwijl juist met VDI, iets als BYOD helemaal geen probleem is omdat je endpoint niet veilig hoeft te zijn. (Nja, niet helemaal. Je wil geen keyloggers en andere ellende op dat ding natuurlijk.)

Ik denk dat je beiden nodig hebt, maar dat juist iets als VDI en TS wel makkelijker veilig te houden is, dan een setup waar je geen of beperkte controle hebt over je endpoints. Het maakt je endpoints ook licht en onderhoudsarm. De meest eenvoudige notebook werkt al prima als toegang tot de VDI omgeving, je hebt eigenlijk nauwelijks eisen aan de internetverbinding (behalve dat 'ie relatief latency-arm moet zijn én stabiel) en ze zijn nogal onderhoudsarm. Not so much met fatclients.

Fin, de verhandeling voert te ver voor dit onderwerp, maar bedrijven die nu halsoverkop BYOD gaan doen terwijl hun hele omgeving daar niet op is ingericht qua security, smeken er om dat ze naast Corona tussen nu en een paar weken een heel ander probleem krijgen. De bedrijven die nu TS/VDI doen, maken zich denk ik niet zo veel zorgen.

unezra schreef op zaterdag 28 maart 2020 @ 13:49:
Fair enough.
Maar wat is de toegevoegde waarde van OneDrive, als je alles al centraal opgeslagen hebt?

OneDrive klinkt meer als een decentrale dataopslag en ik weet niet of ik dát een goed idee vind.

Dat ligt er aan hoe je het toepast. Je kunt het decentraal toestaan waarmee je zorgt dat de synchonisatie plaats vindt wanneer dit het beste uit komt.

Beperkingen in bandbreedte!?
Bandbreedte is simpel en goedkoop. Alleen, het kan zijn dat je daarvoor moet investeren.

Leg een fatsoenlijke verbinding richting je VDI infra en bandbreedte is opeens geen probleem meer. Die protocollen zijn relatief licht. Thuiswerkers hebben d'r geen last van. Die hebben alleen te maken met hun eigen internet verbinding. Die kan in de regel de bottleneck niet zijn.

Host je je VDI omgeving in een datacenter, is het appeltje eitje d'r meerdere GBit verbindingen heen te krijgen. Over een enkele GBit verbinding kun je akelig veel VDI/TS doen.

En toch zijn er nog steeds hele bergen bedrijven waar dit de bottleneck is. Zeker als je plots met een paar duizend man aan het videoconferencen bent....

Blijft je data met OneDrive binnen je eigen perimeter?
Of synchroniseer je data met de Microsoft cloud?

Wat jij wilt.... Je kunt het door Microsoft laten hosten en zelf helemaal van de bandbreedte problemen af zijn, je kunt het ook zelf on-premise (of dat nu echt “on premise” is of in een eigen datacenter) doen. Wat jij wilt.

Endpoint security is alleen een grote uitdaging als je niet alle endpoints onder controle hebt.
Dus wil je dat goed doen: Dag BYOD.

Endpoint security zorgt er juist voor dat BYOD plots vele malen eenvoudiger is geworden. Je beveiligd je data en je servers en het maakt niets meer uit wat er op je netwerk gebeurt. Niet lokaal maar ook niet wat er met de data gebeurt op de ofsite devices. Het gevaar komt zowieso nooit naar je eigen systemen, noch kan het zich daar over verspreiden en door gebruik te maken van inflight en in-rest encryptie is de rest ook geen probleem meer.

Terwijl juist met VDI, iets als BYOD helemaal geen probleem is omdat je endpoint niet veilig hoeft te zijn. (Nja, niet helemaal. Je wil geen keyloggers en andere ellende op dat ding natuurlijk.)

Dit is inderdaad het gevaar aan een UYOD (we mogen het nergens meer naartoe nemen ;-)) omgeving. Maar keyloggers op je eigen device zijn in een VDI omgeving net zo gevaarlijk; daar maakt het niet voor uit. Keyloggers op het eigen systeem loggen ook gewoon wat je in de VDI invoert.

Fin, de verhandeling voert te ver voor dit onderwerp, maar bedrijven die nu halsoverkop BYOD gaan doen terwijl hun hele omgeving daar niet op is ingericht qua security, smeken er om dat ze naast Corona tussen nu en een paar weken een heel ander probleem krijgen. De bedrijven die nu TS/VDI doen, maken zich denk ik niet zo veel zorgen.

Ik denk dat je daar zeker gelijk hebt. Bedrijven die niet voorbereid zijn zijn nu gewoon de sjaak. En ik denk dat je zelfs gelijk hebt als je dan zegt dat VDI/TS nu hals over kop inrichten waarschijnlijk veiliger zal zijn dan andere oplossingen.....

Croga schreef op zaterdag 28 maart 2020 @ 09:20:
Een VDI of VPN is een extra single point of failure en zal altijd een extra bottleneck introduceren.

OneDrive niet?
Microsoft is nu al instances aan het verhuizen omdat het druk is.
Nog maar te zwijgen over de downtime van afgelopen jaren.

Hier gewoon een Git en Mercurial server. Men logt in met SSH om de data te regelen.
DocBook, MarkDown, etc. etc.
Niks complex met gezipte docx/odt zooi.

Ik heb nog nooit van m'n leven een usb-stick als gegevensdrager gezien in de organisaties waar ik werk. Alles zit in de cloud, op virtuele desktops, file servers of sharepoint.

Zolang ik m'n laptop lock zal alles wel veilig zijn.

DJMaze schreef op zaterdag 28 maart 2020 @ 23:01:
OneDrive niet?
Microsoft is nu al instances aan het verhuizen omdat het druk is.

En toch kan iedereen nogsteeds bij zijn data. Mischien een paar minuten lang niet gesynchroniseerd. En als de performance van Microsoft niet genoeg is dan zet ik het toch gewoon on premise?

Hier gewoon een Git en Mercurial server. Men logt in met SSH om de data te regelen.
DocBook, MarkDown, etc. etc.
Niks complex met gezipte docx/odt zooi.

In feite dus exact het zelfde behalve dat je van de gemiddelde medewerker niet kunt verwachten dat hij snapt hoe hij met Git of Mercurial of SSH om moet gaan, óf dat hij snapt hoe exponential backoff werkt.

OneDrive doet eigenlijk niets anders dan wat jullie doen alleen dan geautomatiseerd en met veel uitgebreidere configuratie opties.

Ons bedrijf is al een paar jaar terug overgeschakeld van lokale servers naar de Google Cloud (helaas, want gebruiksvriendelijker dan MS is het niet; en dat zeg ik als fulltime Linuxgebruiker thuis). De infrastructuur was er dus al. Onze IT-afdeling is ook heel sec: als je naar een nieuw systeem gemigreerd wordt (en sinds dit jaar is dat een laptop, of je dat wil of niet) dan wordt er niks aan data gemigreerd buiten je login. De bedoeling is dat je alles in de cloud opslaat, al zijn die gigabytes natuurlijk weer krap bemeten. Bestandsgeschiedenis etc. is dan weer extreem handig (maar dat hebben concurrerende oplossingen ongetwijfeld ook).

Ironisch genoeg hadden wij op ons kantoor een dusdanig slechte internetverbinding dat het op kantoor trager werken was dan wanneer we nu met z'n allen van thuis uit moeten werken hier in België.

[ Voor 7% gewijzigd door Borromini op 28-03-2020 23:26 ]

Borromini schreef op zaterdag 28 maart 2020 @ 23:23:
Ons bedrijf is al een paar jaar terug overgeschakeld van lokale servers naar de Google Cloud (helaas, want gebruiksvriendelijker dan MS is het niet; en dat zeg ik als fulltime Linuxgebruiker thuis). De infrastructuur was er dus al. Onze IT-afdeling is ook heel sec: als je naar een nieuw systeem gemigreerd wordt (en sinds dit jaar is dat een laptop, of je dat wil of niet) dan wordt er niks aan data gemigreerd buiten je login. De bedoeling is dat je alles in de cloud opslaat, al zijn die gigabytes natuurlijk weer krap bemeten. Bestandsgeschiedenis etc. is dan weer extreem handig (maar dat hebben concurrerende oplossingen ongetwijfeld ook).

Ironisch genoeg hadden wij op ons kantoor een dusdanig slechte internetverbinding dat het op kantoor trager werken was dan wanneer we nu met z'n allen van thuis uit moeten werken hier in België.

Heey das grappig! Zo'n werkgever hebben wij ook! Maar het werkt en als ik hoor van bedrijven uit de branche hoe hun niet voorbereid zijn mogen wij niet klagen.. Wij kunnen tenminste thuiswerken en zullen dit in de toekomst ook vaker gaan doen vermoed ik zo.