Kan een hogeschool Outlook forceren omwille privacy?

Ik snap dat je wellicht geen app wilt installeren, maar ik lees ook dat webmail ook mogelijk is, wat is er op tegen om dat te gaan doen ?

Verwijderd schreef op woensdag 6 mei 2020 @ 18:22:
Ik vind het omslachtig; al mijn mail komt op één plek terecht, om dan ook ergens anders heen te moeten voor een ander ding is iets wat ik waarschijnlijk vaak ga vergeten.

Maar over het algemeen snap ik de reden voor de beslissing dus gewoon niet.

Stel je een rule in? Dat alles geforwared wordt naar een mailadres naar keuze?

Dr Pro schreef op woensdag 6 mei 2020 @ 18:23:
Stel je een rule in? Dat alles geforwared wordt naar een mailadres naar keuze?

Eerste alinea:

Ook het automatisch doorsturen van inkomende mail naar een ander mailaccount is per 17 juni niet meer mogelijk.

Verwijderd schreef op woensdag 6 mei 2020 @ 18:22:
Ik vind het omslachtig; al mijn mail komt op één plek terecht, om dan ook ergens anders heen te moeten voor een ander ding is iets wat ik waarschijnlijk vaak ga vergeten.

Maar over het algemeen snap ik de reden voor de beslissing dus gewoon niet.

Door enkel en alleen Outlook toe te staan bouwen ze een vorm van veiligheid in, kan het in deze tijd deels wel snappen.
Zakelijk is dat al heel gewoon, scholen maken steeds meer deze overstap (helaas).

Manager IT bij een bedrijf met bijna 30.000 medewerkers hier, ik vind het ver gaan en een vorm van schijnveiligheid. Wat is er veilig aan Outlook indien die op een unmanged device draait? Die verwerkersovereenkomst slaat ook helemaal niet op het gebruik van een mailclient op apparatuur van derden. daar is die tenminste niet voor bedoeld.

Ik snap dit echt totaal niet.

Dit zorgt er voor dat ze mogelijk ook bepaalde policies kunnen afdwingen voor updates e.d.. Mijn werk doet dat ook: de email lukte nog zonder dat toe te staan, maar om de VPN te installeren moest ik de beveiligingsopties laten beheren. Nu moet de pincode voor de Windows laptop elke twee maanden veranderd worden bijvoorbeeld.

Ik kan me wel een beetje voorstellen waarom ze het doen, of het zinvol is, dat is een tweede.

Het gaat niet alleen om je eigen gegevens bij e-mail. Als een medestudent of docent een e-mail naar een hele groep studiegenoten stuurt en jij piepelt die mail automatisch door naar jouw eigen e-mailadres, dan belanden ook de e-mailadressen van je collega-studenten of docenten bij jouw e-mailprovider.

Het is niet handig, maar bekijk het van de zonnige kant. Als je bij een bedrijf zou werken is het nog veel erger. Als ik de bedrijfs-email op mijn telefoon wil lezen, dan moet ik een mdm-profiel installeren (waardoor de ICT-afdeling dus mijn eigen telefoon op afstand kan wissen), ik moet gebruik maken van Citrix-applicaties (als je Outlook al een draak vindt, probeer Citrix dan eens, de horror) en voor die Citrix-ellende moet ik ook NOG een pincode kiezen op m'n telefoon, die elke 2 maanden veranderd moet worden.

Klinkt als veel onnodige moeite, en dat is het ook. Dus ik lees de bedrijfs-email wel niet op m'n telefoon.

gambieter schreef op woensdag 6 mei 2020 @ 18:43:
Dit zorgt er voor dat ze mogelijk ook bepaalde policies kunnen afdwingen voor updates e.d.. Mijn werk doet dat ook: de email lukte nog zonder dat toe te staan, maar om de VPN te installeren moest ik de beveiligingsopties laten beheren. Nu moet de pincode voor de Windows laptop elke twee maanden veranderd worden bijvoorbeeld.

Ik kan me wel een beetje voorstellen waarom ze het doen, of het zinvol is, dat is een tweede.

Ja, maar van jouw werk heb je een managed device neem ik aan. Ik ga er even vanuit dat dat bij TS niet is (student).

Met onze corporate devices gaan wij ook anders om dmv MS intune en autopilot, maar dat is wel even een ander verhaal.

@PhilipsFan Dat is heel begrijpelijk vanuit je werkgever, alleen als er een noodzaak is dat jij mobiel je email leest moeten zij je dus faciliteren met een toestel. Citrix op je tel voor email? Een published app dan?

[ Voor 11% gewijzigd door KnoxNL op 06-05-2020 18:47 ]

KnoxNL schreef op woensdag 6 mei 2020 @ 18:40:
Die verwerkersovereenkomst slaat ook helemaal niet op het gebruik van een mailclient op apparatuur van derden. daar is die tenminste niet voor bedoeld.

Dat vond ik ook al vreemd ja. Gaat de HAN dan ook verwerkersovereenkomsten afsluiten met Chrome, Firefox en andere browsermakers?

Maak je borst maar nat, MS heeft aangekondigd dat ze dit standaard aan gaan zetten.
Ik snap het ergens wel maar vind het tegelijkertijd helemaal niks. Mail forwarden was nu juist de manier om aan Exchange te ontsnappen. Het altenernatief is om IMAP te gebruikern maar ook dat wordt tegenwoordig standaard uitgezet.

De verwijzing naar de AVG is bijzonder maar misschien wel terecht.
Ik vind het namelijk aannemelijk dat de meeste mensen die hun e-mail doorsturen daarvoor hun prive-adres gebruiken. Zo'n adres krijgen mensen "gratis" van Google op voorwaarde dat ze instemmen met de gebruikersvoorwaarden van Google. Uiteraard doet iedereen dat. Als je vervolgens je zakelijk mail met die account gaat behandelen dan zou Google die informatie kunnen gaan gebruiken.

Om die reden wil ik m'n mail niet bij Google hebben, maar de meeste mensen denken daar totaal niet over na. Ik kan me ergens voorstellen dat je daar als baas niet van afhankelijk wil zijn.


Maar het hele Outlook is toch zo'n omslachtige draak van een programma dat ik het straf en een een belediging vind om mensen er mee te laten werken.

[ Voor 55% gewijzigd door CAPSLOCK2000 op 06-05-2020 18:52 ]

KnoxNL schreef op woensdag 6 mei 2020 @ 18:45:
Ja, maar van jouw werk heb je een managed device neem ik aan. Ik ga er even vanuit dat dat bij TS niet is (student).

Nee, prive laptop. Ik heb ook een managed device, maar de prive-laptop is makkelijker met de port replicator en heeft wat software die ik graag gebruik.

KnoxNL schreef op woensdag 6 mei 2020 @ 18:45:
[...]
@PhilipsFan Dat is heel begrijpelijk vanuit je werkgever, alleen als er een noodzaak is dat jij mobiel je email leest moeten zij je dus faciliteren met een toestel. Citrix op je tel voor email? Een published app dan?

Gedeeltelijk. Ik begrijp de noodzaak van een mdm-profiel. Als ik mijn toestel kwijtraak, dan wil de werkgever het graag kunnen wissen om te voorkomen dat er data uitlekt. Prima.

Maar waarom gebruiken ze die Citrix-ellende? Echt waar, die apps zijn gewoon HORROR vergeleken bij de slechtste mailclients. Ik zou 1000x liever de Outlook-app gebruiken, maar dat kan helaas niet.

Ik noemde al de pincode die elke 2 maanden veranderd moet worden. Heb je daar wel eens over nagedacht? Nee, bij Citrix doen ze dat dus ook niet. Wie gaat er nog een pincode onthouden die telkens weer veranderd moet worden? En al die andere ellende, je kunt bijvoorbeeld ook geen gegevens uit een e-mail kopieren. Dus als een collega mij een email stuurt met een url erin, dan kan ik die alleen maar openen via de Citrix managed webbrowser (die het de halve tijd niet doet) en niet via Safari op m'n eigen iPhone. Of ik moet de url gaan overtypen

Ik begrijp echt de noodzaak om bepaalde zaken dicht te timmeren en om voorzichtig en bewust om te gaan met gegevens, maar dit is 100x stricter dan noodzakelijk en raakt alle facetten van gebruikersvriendelijkheid in negatieve zin. Onnodig, want zo gevoelig zijn de gegevens waar wij mee werken ook weer niet. Een managed toestel van de werkgever is ook erg gebruiksonvriendelijk, want dan moet ik met twee toestellen lopen. Ook niet bepaald handig.

Volgens mij kan je binnen outlook nog wel rules aanmaken die jou mail doorsturen. In het verleden was er een optie voor studenten om de mail direct door te laten sturen (dan werd er ook geen mailbox meer aangemaakt alleen een doorstuur adres) alleen deze optie is/ komt te vervallen

De HAN heeft niets van de AVG begrepen. Er is geen enkele wettelijke eis die ertoe noopt dat de doorstuurmogelijkheid wordt uitgeschakeld.

gambieter schreef op woensdag 6 mei 2020 @ 18:43:
Nu moet de pincode voor de Windows laptop elke twee maanden veranderd worden bijvoorbeeld.

Dat is allang achterhaald en draagt niet bij aan de veiligheid. Iedereen die ooit aan zo'n policy is onderworpen kan dat beamen

CAPSLOCK2000 schreef op woensdag 6 mei 2020 @ 18:47:
De verwijzing naar de AVG is bijzonder maar misschien wel terecht.
Ik vind het namelijk aannemelijk dat de meeste mensen die hun e-mail doorsturen daarvoor hun prive-adres gebruiken. Zo'n adres krijgen mensen "gratis" van Google op voorwaarde dat ze instemmen met de gebruikersvoorwaarden van Google. Uiteraard doet iedereen dat. Als je vervolgens je zakelijk mail met die account gaat behandelen dan zou Google die informatie kunnen gaan gebruiken.

Dat is onder de AVG geen probleem. Ik mag jouw mails doorsturen naar gmail omdat persoonlijk gebruik niet onder de AVG valt. Google mag dat weer minen (binnen bepaalde grenzen) vanwege een gerechtvaardigd belang. Dat je het liever niet hebt, kan ik me voorstellen, maar wettelijk gezien is er niets mis mee.

rg-mohwa schreef op woensdag 6 mei 2020 @ 19:10:
Volgens mij kan je binnen outlook nog wel rules aanmaken die jou mail doorsturen. In het verleden was er een optie voor studenten om de mail direct door te laten sturen (dan werd er ook geen mailbox meer aangemaakt alleen een doorstuur adres) alleen deze optie is/ komt te vervallen

Anders kun je davmail nog proberen.

Djordjo schreef op woensdag 6 mei 2020 @ 18:25:
[...]

Eerste alinea:

[...]

Als het echt moet, kan je er vast wel omheen werken...

GlowMouse schreef op woensdag 6 mei 2020 @ 19:32:
Dat is onder de AVG geen probleem. Ik mag jouw mails doorsturen naar gmail omdat persoonlijk gebruik niet onder de AVG valt. Google mag dat weer minen (binnen bepaalde grenzen) vanwege een gerechtvaardigd belang. Dat je het liever niet hebt, kan ik me voorstellen, maar wettelijk gezien is er niets mis mee.

Hmm, ik had even over het hoofd gezien dat TS een student is en geen werknemer.

Verwijderd schreef op woensdag 6 mei 2020 @ 18:10:
[...]mijn schoolaccount[...]

Hun school, hun data, hun regels. Niet prettig, maar daarmee niet onredelijk. Dat jij de sleutel hebt tot hun huis betekend niet dat het jouw huis is, en als zij vinden dat je je voeten moet vegen voor je binnenkomt is dat ook aan hen (binnen wet en regelgeving natuurlijk). Bekijk het van hun kant, wie wordt er aangekeken wanneer ze 2 maanden dicht moeten vanwege cryptolockers of andere grappen omdat ze te vrij waren in hun beheer?

phYzar schreef op woensdag 6 mei 2020 @ 20:01:
[...]

Hun school, hun data, hun regels. Niet prettig, maar daarmee niet onredelijk. Dat jij de sleutel hebt tot hun huis betekend niet dat het jouw huis is, en als zij vinden dat je je voeten moet vegen voor je binnenkomt is dat ook aan hen (binnen wet en regelgeving natuurlijk). Bekijk het van hun kant, wie wordt er aangekeken wanneer ze 2 maanden dicht moeten vanwege cryptolockers of andere grappen omdat ze te vrij waren in hun beheer?

En de effectiviteit van outlook in een unmanaged situatie hierin is? Help me even.

KnoxNL schreef op woensdag 6 mei 2020 @ 20:06:
[...]

En de effectiviteit van outlook in een unmanaged situatie hierin is? Help me even.

Het gaat er niet om of al hun studenten dan wel andere buitenstaanders hun oplossing technisch goedkeuren. Zij denken/vinden/hebben onderzocht dat dit de situatie is die voor hun beheer(s)baar is om aan de eisen te voldoen, dus doen ze dit. Misschien weten ze zelfs wel dat het niet helpt, maar is het bv een eis van Microsoft voor een bepaald niveau van support.

De vraag van TS is ook niet: is deze oplossing OK, maar: heb ik het recht op een alternatieve oplossing.

CAPSLOCK2000 schreef op woensdag 6 mei 2020 @ 18:47:
Maak je borst maar nat, MS heeft aangekondigd dat ze dit standaard aan gaan zetten.

Wat precies, welke aankondiging?

Andre_J schreef op woensdag 6 mei 2020 @ 18:35:
[...]


Door enkel en alleen Outlook toe te staan bouwen ze een vorm van veiligheid in, kan het in deze tijd deels wel snappen.
Zakelijk is dat al heel gewoon, scholen maken steeds meer deze overstap (helaas).

Dat is niet helaas, dat is gelukkig. Via de mail en contacten zijn vele (persoons)gegevens te vinden. Het lijkt me niet echt gewenst als deze terecht kwamen bij partijen waar je geen afspraken mee hebt gemaakt: Gmail, Apple, bluemail, K9, etc, etc. Weet ik veel wat ze ermee doen en hoe veilig ze zijn.

stuffie123 schreef op woensdag 6 mei 2020 @ 20:49:
[...]


Dat is niet helaas, dat is gelukkig. Via de mail en contacten zijn vele (persoons)gegevens te vinden. Het lijkt me niet echt gewenst als deze terecht kwamen bij partijen waar je geen afspraken mee hebt gemaakt: Gmail, Apple, bluemail, K9, etc, etc. Weet ik veel wat ze ermee doen en hoe veilig ze zijn.

De helaas was in dit geval bedoeld omdat het voor een student, lees niet zakelijk het er allemaal moeilijk op maakt.

Jazzy schreef op woensdag 6 mei 2020 @ 20:48:
[...]

Wat precies, welke aankondiging?

https://www.security.nl/p...rne+adressen+uitschakelen

stuffie123 schreef op woensdag 6 mei 2020 @ 21:08:
[...]


https://www.security.nl/p...rne+adressen+uitschakelen

Elke zichzelf respecterende organisatie heeft dit al uitgeschakeld, zowel door de mogelijkheid in Webmail te verbergen als een mail flow rule aan te maken die mail dropt die geforward or redirect wordt met een Outlook rule. Dat Microsoft de default aanpast lijkt me een gezonde ontwikkeling.

Het verwerkersovk-argument slaat als een tang op een varken. Maar dat een organisatie zelf een bepaalde cliënt infra afdwingt, dat kan ik wel snappen. Waarbij iedereen alsnog met “any” browser de mails kan lezen dis daar zit geen grote beperking.

Jazzy schreef op woensdag 6 mei 2020 @ 22:15:
[...]
Elke zichzelf respecterende organisatie heeft dit al uitgeschakeld, zowel door de mogelijkheid in Webmail te verbergen als een mail flow rule aan te maken die mail dropt die geforward or redirect wordt met een Outlook rule. Dat Microsoft de default aanpast lijkt me een gezonde ontwikkeling.

Lol, elke zichzelf respecterende organisatie doet hier simpelweg niets mee omdat het schijnveiligheid is.
Dit is een rat-race die je niet gaat winnen zonder echt extreme maatregelen.

Als ik dit alsnog zou willen zou ik gewoon een client-side outlook rule aanmaken die het doorstuurt en als je daar weer een schitterende mail flow rule voor verzint, dan gaan we over naar een vba-variant die het doorstuurt in een iets andere variant.
En zijn jullie er na 6 maanden eindelijk eens uit hoe je vba dichtzet, maar toch beperkt wel open zet voor de huisstijl en sommige vba-features. Dan gaan we over naar CDO en daarna naar COM etc. etc.

Het is een beetje afhankelijk van de gebruiker, maar bij studenten etc ga je deze rat-race verliezen aangezien office gewoon niet secure is opgezet maar featurewise en dat security er slechts later als een zoveelste feature bij is gebouwd...

Dr Pro schreef op woensdag 6 mei 2020 @ 18:23:
Stel je een rule in? Dat alles geforwared wordt naar een mailadres naar keuze?

Kan ook uitgeschakeld worden door de Exchange beheerder.

KnoxNL schreef op woensdag 6 mei 2020 @ 18:40:
Manager IT bij een bedrijf met bijna 30.000 medewerkers hier, ik vind het ver gaan en een vorm van schijnveiligheid. Wat is er veilig aan Outlook indien die op een unmanged device draait? Die verwerkersovereenkomst slaat ook helemaal niet op het gebruik van een mailclient op apparatuur van derden. daar is die tenminste niet voor bedoeld.

Ik snap dit echt totaal niet.

Nou ja, ik snap ergens wel wat ze zeggen. Eigenlijk zeggen ze, doordat ze geen overeenkomst hebben met andere partijen die een mailclient aanbieden (zoals Mozilla) zij niet weten wat die derde partijen (zoals Mozilla) doen met de data. Met Microsoft heeft men een overeenkomst, met bijbehorende verwerkersovereenkomst omdat zij de mail voor de HAN afhandelt. Het is maar net hoe (streng) je tegen het verwerken van informatie aankijkt en wat de definitie is van een 'gegevensverwerker'.

Men hoopt dus vooral door deze actie dat het zomaar lekken van bijvoorbeeld e-mail te voorkomen, doordat er een client gebruikt verplicht wordt dat zij 100% vertrouwen.

[ Voor 72% gewijzigd door CH4OS op 06-05-2020 23:35 ]

En outlook op je unmanaged device werkt straks alleen nog als het een managed device wordt.
Ze willen wel weten dat je de laatste updates draait want anders werkt de outlook client niet meer.

En nu het toch een managed device geworden is kunnen ze nog meer voor je bepalen.
HAN krijgt zijn geld voor een groot deel van de overheid.
De overheid verplicht op alle managed devices de corona app geïnstalleerd is.

Waar gaat dit eindigen?

/aluhoedje afzet

Waarschijnlijk om corp data beter te beschermen. Met app kan je bijv ook afdwingen dat gevoelige data niet gecopy/paste mag worden van een managed app (Bijv Outlook) naar een unmanaged app. Bij modern managed apps kun je ook weer MFA afdwingen. Veel mobile apps gebruiken nog legacy authentication en dat will je ook niet (en bovendien kan je daar geen MFA op toepassen).

[ Voor 15% gewijzigd door FREAKJAM op 06-05-2020 23:40 ]

@Verwijderd doorsturen is daadwerkelijk een probleem i.v.m. DMARC, DKIM en SPF.
Als ik jou een email stuur, krijg ik een beveiligingsmelding en jij geen e-mail.

Echter is Outlook ook niet veilig. Mijn servers geven regelmatig alarmbellen omdat Microsoft Outlook App e-mails niet via mijn servers gaan, maar via de servers van Microsoft. Klanten met de app worden gek van de beveiligingswaarschuwingen.

Ik begrijp dat de HAN dat niet weet, maar ga dan niet als een leerling in de hoek met de ezelshoed verkondigen dat het moet vanwege "veiligheid" 😷

Gomez12 schreef op woensdag 6 mei 2020 @ 23:00:
[...]

Lol, elke zichzelf respecterende organisatie doet hier simpelweg niets mee omdat het schijnveiligheid is.
Dit is een rat-race die je niet gaat winnen zonder echt extreme maatregelen.

Onzin. Aanvallers komen meestal binnen via een normaal gebruikersaccount, één van de eerste dingen die ze doen is het aanmaken van een mail forward rule. De informatie die vervolgens gelekt wordt kan gebruikt worden voor spear fishing omdat het de aanvaller heel specifieke informatie verschaft.

Dit voorkomen is common sense. Het feit dat er andere manieren zijn om data te lekken wil natuurlijk niet zeggen dat je het laaghangend fruit moet negeren.

En al gaat het in dit geval niet om een zakelijke omgeving, de school is nog steeds verantwoordelijk voor het goed beveiligen van persoonlijke data. Wat dat betreft is dit dus gewoon een logische en verstandige maatregel.

Komt waarschijnlijk omdat men Legacy Authentication heeft uitgeschakeld en conditional access policies met app protection policies heeft gemaakt. Dat werkt matig met de native iOS mail app, maar wel goed met de Outlook app en ook met Outlook.

Verwijderd schreef op woensdag 6 mei 2020 @ 18:10:
Ik heb zelf bijzonder weinig zin om alleen voor mijn communicatie met school Outlook te installeren, en mijn groep deelt die mening voor een groot deel. Is dit iets wat ik zou kunnen aanvechten?

In veel bedrijven is dit de standaard. Waarschijnlijk doet de hogeschool dit omdat het in het bedrijfsleven inmiddels de default is. Bij je werkgever moet je het ook doen met de organisatie politieken en kun je er in principe niet omheen, tenzij je manager hiervoor schriftelijk akkoord geeft. Je kunt dus bij je projectleider een uitzondering aanvragen, met een goede reden zal die gehonoreerd.

[ Voor 74% gewijzigd door Trommelrem op 07-05-2020 10:24 ]

Jazzy schreef op donderdag 7 mei 2020 @ 10:08:
[...]

Onzin. Aanvallers komen meestal binnen via een normaal gebruikersaccount, één van de eerste dingen die ze doen is het aanmaken van een mail forward rule. De informatie die vervolgens gelekt wordt kan gebruikt worden voor spear fishing omdat het de aanvaller heel specifieke informatie verschaft.

Dit voorkomen is common sense. Het feit dat er andere manieren zijn om data te lekken wil natuurlijk niet zeggen dat je het laaghangend fruit moet negeren.

Je voorkomt er niets mee, je hindert alleen maar goedbedoelende gebruikers en steekt je kop in het zand, de scriptkiddies en malware makers die gaan wel gewoon door naar de vba-com-cdo etc. etc. varianten.

Je irriteert je normale gebruikers en doet niets aan de aanvallers.

Schitterend beleid...

Gomez12 schreef op donderdag 7 mei 2020 @ 10:26:
[...]

Je voorkomt er niets mee, je hindert alleen maar goedbedoelende gebruikers en steekt je kop in het zand, de scriptkiddies en malware makers die gaan wel gewoon door naar de vba-com-cdo etc. etc. varianten.

Je irriteert je normale gebruikers en doet niets aan de aanvallers.

Schitterend beleid...

Nee je voorkomt er niets mee maar je beperkt enorm veel gevolgschade. Daarom is het zo'n belangrijke stap. Zeker in een situatie waarbij men het niet boeit of een account wordt gecompromitteerd, dus op een Hogeschool.

Aan TS: Als je MDM een probleem vindt, wat heel goed voor te stellen is, waarom kies je dan niet voor MAM?

[ Voor 7% gewijzigd door Trommelrem op 07-05-2020 10:32 ]

Trommelrem schreef op donderdag 7 mei 2020 @ 10:30:
[...]

Nee je voorkomt er niets mee maar je beperkt enorm veel gevolgschade. Daarom is het zo'n belangrijke stap. Zeker in een situatie waarbij men het niet boeit of een account wordt gecompromitteerd, dus op een Hogeschool.

Aan TS: Als je MDM een probleem vindt, wat heel goed voor te stellen is, waarom kies je dan niet voor MAM?

Welke vervolgschade blokkeer je dan? Bij een echte actieve aanvaller blokkeer je niets, oftewel de gevolgschade is even groot.
En bij een niet nadenkende gebruiker heb je uberhaupt al een beveiligingsprobleem wat niet op te lossen valt.
Sterker nog, die heb je een vals gevoel van veiligheid gegeven, dus elk beveiligings idee wat hij had is uit het raam gegaan want hij wordt toch beschermd... Oftewel de gevolgschade is groter...

Je kop in het zand steken is wmb nooit een oplossing, maar apart om te zien dat er hier gewoon voorstanders van zijn...

Gomez12 schreef op donderdag 7 mei 2020 @ 10:44:
[...]

Welke vervolgschade blokkeer je dan? Bij een echte actieve aanvaller blokkeer je niets, oftewel de gevolgschade is even groot.

Security is echt veel complexer dan dat iemand binnen of buiten is. De argumenten om het automatisch lekken van informatie te willen voorkomen zijn gegeven. Dat je het onzin vindt is prima, maar je weet nu in ieder geval waarom veel organisaties het anders zien.

Wat de discussie voor mij lastig maakt is dat het forwarden typisch een symptoom is een falende IT. Mensen forwarden niet omdat ze het grappig vinden maar om een probleem op te lossen. Bijvoorbeeld een allegaartje aan e-mail-adressen, slechte interfaces, of het combineren van werk en prive.

Door forwarden te verbieden krijgen mensen hun probleem terug. Idealiter zou je in al die gevallen een andere oplossing zoeken maar realistisch gezien kan dat niet. Forwarden is de escape mogelijkheid waarmee je een andere oplossing kan maken voor de uitzonderlijke gevallen. In praktijk betekent dat een hoop omslachtig gedoe.

CAPSLOCK2000 schreef op zondag 10 mei 2020 @ 21:49:
Wat de discussie voor mij lastig maakt is dat het forwarden typisch een symptoom is een falende IT. Mensen forwarden niet omdat ze het grappig vinden maar om een probleem op te lossen. Bijvoorbeeld een allegaartje aan e-mail-adressen, slechte interfaces, of het combineren van werk en prive.

Door forwarden te verbieden krijgen mensen hun probleem terug. Idealiter zou je in al die gevallen een andere oplossing zoeken maar realistisch gezien kan dat niet. Forwarden is de escape mogelijkheid waarmee je een andere oplossing kan maken voor de uitzonderlijke gevallen. In praktijk betekent dat een hoop omslachtig gedoe.

Gebruikers kiezen doorgaans "het pad van de minste weerstand".
Ook al bied je 1000000 alternatieven, men zal toch kiezen voor de in hun ogen makkelijkste oplossing en dat is dan bv een forwarding rule instellen want dit deed men 10 jaar geleden of bij een eerdere werkgever ook zo.

De boel afschuiven op een falende IT vind ik dan ook erg kort door de bocht.
Mooi voorbeeld uit het verleden bij een eerdere werkgever: één afdeling bleek gebruik te maken van Dropbox wat tegen de afspraken was. Wij hadden SharePoint en Onedrive draaien en ingericht. Waarom men dropbox gebruiken op die afdeling? Omdat een aantal van hen dat bij een eerdere werkgever ook gebruikten.

Ik schuif het niet af op de /afdeling/ IT. Ik wil sowieso niemand de schuld geven, dat is niet het punt.
Ik stel dat er iets niet goed gaat met IT als vakgebied.

Als mensen nog steeds kunstjes van 10 jaar geleden gebruiken dan is dat de mislukking.
Dat het niet lukt om onze mensen te informeren over de middelen die er zijn waardoor ze externe tools blijven gebruiken, dat is de mislukking.
Dat die externe tools vaak handiger zijn dan alles wat je zelf kan verzorgen, dat is de mislukking.
Dat mensen voortdurend moeten kiezen tussen gemak en veiligheid (terwijl ze het zelf niet kunnen overzien), dat is de mislukking.

Zo zie ik veel van die forwards ook. Het is een lapmiddel dat mensen gebruiken omdat ze geen beter alternatief hebben of kennen. Op een of andere manier zorgen dat ze een goed alternatief gaan gebruiken is beter dan het lapmiddel verbieden.

Waarom men dropbox gebruiken op die afdeling? Omdat een aantal van hen dat bij een eerdere werkgever ook gebruikten.

Gebruiken ze ook nog de parkeerplaats, de kantine en de verlofregistratie van die eerdere werkgever? Zo niet dan moet er meer aan de hand zijn.
Weten ze dat SharePoint en Onedrive bestaan? Is duidelijk wanneer het een of het ander gebruikt moet worden? Kunnen zie diensten overal gebruiken waar ze willen? Met iedereen die ze willen? Is de software voorgeinstalleerd? Is de software makkelijk in gebruik?

In mijn ervaring is het antwoord 9/10 keer "dropbox werkt gewoon en het alternatief snap ik niet / werkt niet voor mijn situatie". Ook nu wil ik niemand "de schuld" geven, dit is de situatie waar we mee zitten.

Ergens is het ook begrijpelijk. Dropbox steekt letterlijk miljarden in de ontwikkeling van dat ene product. Daar kan geen enkele lokale IT-afdeling tegenop.

Daarnaast hebben de meeste mensen nauwelijks kennis van IT-systemen en moeten ze het vooral doen met wat ze door de jaren heen aan kennis hebben opgepikt en dat zijn vaak vooral kunstjes zonder diepgaand inzicht. Het liefst zou ik een hoop mensen op training sturen maar ik ben bang dat de kloof in veel gevallen onoverbrugbaar groot is.

Probeer maar eens een "netmask" uit te leggen aan iemand zonder IT-achtergrond. Dat is niet te doen zonder een hele cursus netwerken en binair rekenen te geven. Zonder die kennis zul je nooit een firewall kunnen configureren. Misschien zouden normale mensen ook geen firewalls moeten configureren, maar dat is momenteel wel hoe het gaat.


Je hebt wel gelijk dat mensen het pad van de minste weerstand kiezen. Blijkbaar is het te moeilijk om die weerstand de goede kant op te laten werken. Dat heeft ook te maken met waar we elkaar op afrekenen.
De meeste mensen weten heel goed dat IT-fouten meestal vergeven worden. Als de baas een opdracht geeft dan is "ik heb de opdracht niet af omdat ik Sharepoint niet snap" geen acceptabel excuus, maar "ik heb Dropbox gebruikt omdat ik Sharepoint niet snap" wordt wel geaccepteerd. Sterker nog, veel bazen zullen hun werknemer dan complimenteren met het eigen initiatief. Werknemers afrekenen op verkeerd gebruik van IT gebeurt niet snel. De meeste bazen snappen er trouwens zelf niet genoeg van om het te kunnen beoordelen.

Het is dus niet een persoon of afdeling die aan het falen is maar de manier waarop de maatschappij als geheel met IT omgaat.

Dat is niet IT-eigen.

Vrachtwagenchauffeur, net in dienst bij een vervoerder met DAF trucs: "deze olie werkte prima in mijn VW busje dus ik heb die er maar in gegooid". Lekker gebruiksvriendelijk, die staat boven aan het schap bij de Shell. En het werkt tot op de afleverplaats prima, of het morgen fout gaat is het probleem van een ander.

Secretaresse is gewend om even een rondje te lopen in de pauze, nu allemaal irritante poortjes en sleutels. Dus maar gewoon een wig om de achterdeur open te laten, kon bij haar vorige baan ook.

Marketeer: niet moeilijk doen met privacyregels, dit bestand verkopen is en makkelijker en levert een boel geld op, bonus voor iedere manager \o/

Zuster werkt al jaren met methodeX bij een zorginstelling, werkt prima. Pillen worden 's avonds gegeven. Gaat naar andere instelling, waar het 's morgens gebeurt. Dat er nu 2x pillen worden gegeven en 2 verschillende rapportagemethoden worden gebruikt is de schuld van het management, moeten men het haar maar makkelijker maken

En de klassieker: ik moet omlopen? Nee hoor over het gras lopen kan ook. Of dat de net gezaaide plantjes doodt kan ik niet ruiken, had men er maar een pad moeten aanleggen van mijn deur naar mijn doel.

Maar we dwalen wat af denk ik.

@Verwijderd Heb je er nog iets mee gedaan? Is er nog een update?

Rolfie schreef op vrijdag 15 mei 2020 @ 10:49:
[...]
Het is eigenlijk een regel die elke zichzelf respecterende organisatie MOET doorvoeren. Automatische forwards van Email naar een extern mail adres, is een security en beveiligingsmaatregel die standaard direct aangezet moet worden (vandaar ook dat Microsoft dit standaard dicht gaat zetten). Je wilt niet dat iemand even al zijn zakelijke mail forward naar een prive mailbox.

Stel nu even dat je niet wilt dat iemand even al zijn zakelijke email forward naar een prive mailbox, wat doe jij daar dan aan?
Want een vinkje dat het niet meer automatisch gebeurt lost het probleem niet op. Men kan het nog steeds handmatig doen namelijk...
Oftewel als je het echt zo'n security en beveiligingsmaatregel vind, wellicht dat je dan eens kan uitleggen wat je daadwerkelijk aan het probleem doet en dat is dus niet gewoon maar even dit vinkje aanzetten want dat lost het probleem niet op.

[...]
Valt wel mee. 95% kan je zeer gemakkelijk blokkeren met 1 vinkje.

Dus dat blokkeert het handmatige doorsturen volgens jou? Want daar zit het risico in, net die klantenlijst die iemand thuis wil hebben en die gevoelig is, net dat ene bestand wat iemand echt nodig heeft.
Jij blokkeert 99% irrelevante troep en aan de 1% relevante mails daar doe je niets tegen.

[...]
En dan mag je in eens een gesprek met je manager of security office voeren.... Bij de meeste bedrijven worden dit soort dingen niet gewaardeerd.

Weet je wat pas niet gewaardeerd wordt, kop in het zand steken...

[...]
Daarom zijn de maatregelen ook meestal een server gebied. Kan je alles stoppen, nee. Maar je hebt er wel zoveel mogelijk aan gedaan.

Gefeliciteerd, je hebt ervoor gezorgd dat in prive-mailbox niet meer de onzin-dingen binnenkomen die voor niemand relevant zijn. Nu staan er alleen nog maar de echt gevoelige documenten in.
Bedankt voor het filteren van de onzin-mailtjes zal ik dan maar zeggen.

Wil je je interne mail beveiligen tegen per ongeluk / onbedoeld naar extern versturen dan is daar gewoon software voor, dan doe je er actief iets aan.
Maar automatisch forwarden uitschakelen, nee dan heb je er bij lange na nog niet iets aan gedaan.

Gomez12 schreef op vrijdag 15 mei 2020 @ 11:17:
Stel nu even dat je niet wilt dat iemand even al zijn zakelijke email forward naar een prive mailbox, wat doe jij daar dan aan?
Want een vinkje dat het niet meer automatisch gebeurt lost het probleem niet op. Men kan het nog steeds handmatig doen namelijk...
Oftewel als je het echt zo'n security en beveiligingsmaatregel vind, wellicht dat je dan eens kan uitleggen wat je daadwerkelijk aan het probleem doet en dat is dus niet gewoon maar even dit vinkje aanzetten want dat lost het probleem niet op.

Tussen automatisch en handmatig zit 1 groot verschil, iemand moet het nu namelijk doen. Dit kan bewust of onbewust (verkeerde mail, contact persoon) zijn. Maar iemand doet dit, en heeft daar een redenen voor.
De concert kaartjes die ik via mijn werk heb gekregen, kan ik dus specifiek handmatig doorsturen, maar de interne e-mails over beleid niet. Dit kan ik natuurlijk nog steeds handmatig doen, maar dan heb ik er een reden voor.

Bij automatisch gaat alles, altijd en direct. Of je het nu wilt of niet. Dat is het verschil.

Dus dat blokkeert het handmatige doorsturen volgens jou? Want daar zit het risico in, net die klantenlijst die iemand thuis wil hebben en die gevoelig is, net dat ene bestand wat iemand echt nodig heeft.
Jij blokkeert 99% irrelevante troep en aan de 1% relevante mails daar doe je niets tegen.

Ik blokkeer hiermee inderdaad niet het handmatige doorsturen, want dat is bewust en met een redenen. Wil ik dat ook tegengaan, heb ik andere software nodig, maar die vraagt veel meer van de gebruikers (en IT infrastructuur).

Juist met deze actie blokkeer ik 99% van de mogelijke foute (automatische) forwarding, behalve die 1% die het als nog met de hand doet. En dit alles doe ik met 1 vinkje. Nu kan het nog steeds zijn dat die 1% gevaarlijk is, maar ik stop met een goed uit te leggen maatregel, het grootste gedeelte in 1 keer.

Weet je wat pas niet gewaardeerd wordt, kop in het zand steken...

Ik steek niets in het zand. Ik pas een hele simpel maatregel toe, die direct heel erg effectief is.

Ik zorg er voor dat automatisch doorsturen van mogelijke gevoelige data niet zomaar kan gebeuren.

Quick wins noemen ze dat.

Gefeliciteerd, je hebt ervoor gezorgd dat in prive-mailbox niet meer de onzin-dingen binnenkomen die voor niemand relevant zijn. Nu staan er alleen nog maar de echt gevoelige documenten in.
Bedankt voor het filteren van de onzin-mailtjes zal ik dan maar zeggen.

Gevoelige documenten die iemand specifiek. Iemand kan het ook printen naar PDF, daarna zippen met een wachtwoord, en via email doorsturen. Is nog lastiger te stoppen (maar kan nog steeds).
Maar iemand doet dit met een hele specifieke redenen en kan daar ook op aangesproken worden.

Zo kun je nog wel verder gaan met beveiligen, maar je moet het ook van de requirements laten af hangen of dit noodzakelijk is voor je bedrijfsvoering. Daar valt of staat het eigenlijk mee. En bij de meeste is automatisch doorsturen meer dan voldoende aan maatregelen. En is goed te verdedigen in de huidige IT vereisten.

Wil je je interne mail beveiligen tegen per ongeluk / onbedoeld naar extern versturen dan is daar gewoon software voor, dan doe je er actief iets aan.
Maar automatisch forwarden uitschakelen, nee dan heb je er bij lange na nog niet iets aan gedaan.

Er is inderdaad veel betere software voor, dat zal ik niet ontkennen. Maar dat is veel complexer, fout gevoeliger, kost veel onderhoud en is erg lastig aan gebruikers uit te leggen en helemaal om mee te werken.

Ik stop nu zeker 80% van de doorstuur acties met 1 vinkje. Gemakkelijker kun je het niet hebben. En is een enorme quick win.

Die betere software hebben we hier ook draaien en gaat deel diep met scanning, maar die automatische forward staat nog steeds uit in de mail en is eigenlijk een nobrainer.

Dat jij er anders over denkt, dat mag. Maar vanuit bedrijfsredenen is dit gewoon een goede oplossing die snel resultaat geeft.
Ik zie nog steeds geen enkele redenen waarom we dit zouden moeten toelaten. Mocht het wel nodig zijn, kan een Exchange beheerder dit gemakkelijk inrichten voor 1 bepaalde mailbox.

Ik lees dit verhaal en vraag me iets af

Het lijkt erop dat de HAN een overeenkomst heeft met Microsoft, voor Office 365 neem ik aan.

Wat had de HAN gedaan met afdwingen van programma's als ze niet met Office 365, maar met Google (for Education) een overeenkomst hadden afgesloten? Zou je dan ook als student verplicht zijn om met Outlook te werken? In de analogie van het mailtje van de HAN zou dat dan uitgesloten zijn denk ik?

Als dit voor studenten al geldt, dan zal het niet in mindere mate opgaan voor docenten bijvoorbeeld, of de ondersteuning van de bedrijfsvoering. Zijn die dan ook allemaal verplicht om nu met Windows 10 en Outlook te werken? Wat zou dit dan betekenen als de HAN met Google een overeenkomst had? Zou iedere docent dan met een Chromebook aan de slag moeten gaan?

En ik bedenk me nog iets, ik kan me voorstellen dat een partij als de HAN zo'n overeenkomst met Microsoft moet aanbesteden. En zo'n aanbesteding loopt een keer af. Wat zou er gebeuren wanneer Google zich inschrijft op die aanbesteding met Google for Education en zij winnen de aanbesteding? Wat gebeurt er dan met deze maatregel? Krijgen alle docenten bijvoorbeeld een Chromebook? Wat doe je met de oude apparaten dan?