kwetsbaarheid applicatiebeheerder (of andere functie)

Het hangt er natuurlijk een beetje van af in welke taal je die applicaties hebt gemaakt; je kan moeilijk een Java specialist naar Python code laten kijken.

En een snelle zoektocht leert me dat er wel eea te vinden is op internet

Ben jij de enige ontwikkelaar in het bedrijf dan? Zo ja dan zou je op basis van de geschreven taal (delphi, javascript, vbnet (zie ik zo even snel in je profiel staan)) even moeten zoeken naar een bedrijf welke audits doet of gewoon zelf software schrijft in deze talen en gewoon vragen of ze eens mee kunnen kijken.
Werk zelf in de C# wereld als gedetacheerde en kan me prima zo'n verzoek voorstellen hoor. Zal geen fulltime opdracht zijn maar wel een prima opdracht om even erbij te doen.

Je hebt imho geen extern bureau nodig maar een collega.

Zodat jij op vakantie kan/ziek kan zijn/etc

Gaat het nu om de veiligheid van de applicatie of niet? Dat lijk je te wekken met de titel.

Zoek eens op 'threat modeling', 'code review' of 'design review'. Er zijn zeker partijen die gespecialiseerd zijn in dit soort vraagstukken.

Johnny Goodbye schreef op dinsdag 24 mei 2022 @ 08:14:
Heeft iemand advies hoe het volgende probleem aan te pakken is?

Voor mijn werkgever heb ik diverse applicaties gemaakt. Waarvan 2 belangrijk zijn. Alleen de werking van deze applicaties zijn grotendeels afhankelijk van mij. Uiteraard heb ik het een en andere gedocumenteerd. De vraag is of dit nu volledig is. Nu wil mijn leidinggevende dat dit door een extern persoon wordt bekeken/doorgelicht.

Heeft iemand suggesties wie of wat die dit zouden kunnen doen.

Dat _jij_ hier zélf vraagt wie dat moet controleren is nu net precies de foute handelswijze waardoor dit soort problemen ontstaan: Een werkgever die zelf geen leiding geeft en zichzelf erg afhankelijk van zijn individuele werknemers maakt die voor hem alles zelf moeten gaan 'regelen', zonder dat hijzelf daarin sturend optreed.

Ik denk dat je je werkgever zachtjes ook duidelijk moet vinden dat _hij_ ook degene is die de organisatie en werkwijze van zijn bedrijf moet leiden en niet zelf al zich afhankelijk moet opstellen naar zijn werknemers die dan moeten 'regelen' dat niet alles van één persoon afhankelijk is.


Dus moet je werkgever ook extern (of intern, een andere collega) iemand moet aanwijzen om dat te doen, liefst zoveel mogelijk los van jou (en dan vanzelf zal merken op welke momenten ze toch van jouw feedback/kennis afhankelijk zijn, en er dus behoefte aan meer documentatie).

Audits (wat dit eigenlijk is) moeten altijd zoveel mogelijkk extern van de direkt betrokkene gebeuren, juist om hun onafhankelijkheid te garanderen.
Jij zelf moet dat niet gaan doen en je ook niet teveel daarin willen inmengen vooraf.

[ Voor 8% gewijzigd door RM-rf op 24-05-2022 11:04 ]

Johnny Goodbye schreef op dinsdag 24 mei 2022 @ 08:14:
Heeft iemand advies hoe het volgende probleem aan te pakken is?

Voor mijn werkgever heb ik diverse applicaties gemaakt. Waarvan 2 belangrijk zijn. Alleen de werking van deze applicaties zijn grotendeels afhankelijk van mij. Uiteraard heb ik het een en andere gedocumenteerd. De vraag is of dit nu volledig is. Nu wil mijn leidinggevende dat dit door een extern persoon wordt bekeken/doorgelicht.

Heeft iemand suggesties wie of wat die dit zouden kunnen doen.

1 beheerder is geen beheerder.

Dat je werkgever iemand aan wil sluiten voor kennis overdracht is goed. De vraag die je stelt moet je echter met je werkgever/leidinggevende bespreken.

Het eerste wat bij mij naar binnen schiet:

* Is er ontwikkeld met testen in het achterhoofd? Zijn die testen er?
* Zijn er backups van de databases en code? Zijn die backups al eens volledig gerestored door een andere partij met de bestaande code?

Ik denk dat je met een aantal zaken rekening hebt te houden. Eén: wat als de server waarop het draait crashed? Is de code dan nog ergens? Wat als jij 'malicious' wordt? Wat als je dood neervalt? Ik ben het met @Viper® eens: 1 beheerder is geen beheerder. Ik heb al te vaak meegemaakt dat je zaken uit elkaar moet peuren omdat het volledig onduidelijk is.

RM-rf schreef op dinsdag 24 mei 2022 @ 10:01:
[...]


Dat _jij_ hier zélf vraagt wie dat moet controleren is nu net precies de foute handelswijze waardoor dit soort problemen ontstaan: Een werkgever die zelf geen leiding geeft en zichzelf afhankelijk van zijn indidivudle werknemers maakt die voor hem alles zelf moeten gaan 'regelen', vaak zonder dat hijzelf daarin sturend optreed.

ik denk dat je je werkgever zachtjes ook duidelijk moet vinden dat _hij_ ook degene is die de organisatie en werkwijze van zijn bedrijf moet leiden en niet zelf al zich afhankelijk moet opstellen naar zijn werknemers die dan moeten 'regelen' dat niet alles van één persoon afhankelijk is.


Dus moet je werkgever ook extern (of intern, een andere collega) iemand moet aanwijzen om dat te doen, liefst zoveel mogelijk los van jou (en dan vanzelf zal merken op welke momenten ze toch van jouw feedback/kennis afhankelijk zijn, en er dus behoefte aan meer documentatie).

Audits (wat dit eigenlijk is) moeten altijd zoveel mogelijkk extern van de direkt betrokkene gebeuren, juist om hun onafhankelijkheid te garanderen.
Jij zelf moet dat niet gaan doen en je ook niet teveel daarin willen inmengen vooraf.

Precies dit. Dit kom ik op zoveel plaatsen tegen.... mismanagement. Mensen die zogenaamd "leiding geven", maar dat eigenlijk helemaal niet doen. De welbekende Peter Principles, gepromoveerd naar een plek waar je ze niet wil hebben. Bij ons op de zaak kom ik het ook tegen, zelfs bij de meest simpele dingen.

Vragen ze mij, welke trainingen ik in de toekomst allemaal wil gaan doen. Dat klinkt op zich niet onredelijk natuurlijk, maar ik verwacht wel wat sturing vanuit mijn werkgever. Dus ik noem wat trainingsrichtingen op en maak daarbij de opmerking, dat ik vermoed dat een groot deel van deze opties voor het bedrijf mogelijk helemaal niet zo interessant is. Daarna stel ik de vraag: "In welke richtingen verwachten jullie de komende jaren meer kennis nodig te hebben? Als we dat nou als uitgangspunt nemen, wordt het waarschijnlijk een stuk makkelijker om trainingen te kiezen waar zowel ik als het bedrijf de komende jaren echt iets aan hebben."

En dan vallen ze stil en proberen ze het balletje weer bij mij neer te leggen.
"Nou, OK. Dan wil ik een cursus bloemschikken voor gevorderden en ga ik me wel wat meer bezig houden met de aankleding van het kantoor."
" Ja, nee, dat bedoelen we nou ook weer niet natuurlijk, hahaha...."

Daar heb ik dus he-le-maal niets aan. Net of ze van mij verwachten om even te gaan bepalen waar wij als bedrijf de komende jaren onze focus gaan leggen. Dat kan natuurlijk nooit de bedoeling zijn.

Nog zorgelijker vind ik het, dat dit dus ook gebeurt bij het vaststellen van procedures en protocollen. Dat balletje proberen zo ook keer op keer weer bij de uitvoering neer te leggen. Maar dat hoort daar helemaal niet! Die zijn hooguit "involved" in dat proces, maar ook niet meer dan dat. Zodra je ze hier "responsible" maakt, dan laat je je uitvoerende krachten jouw management-werk doen.

In het geval van de TS: het lijkt me heel verstandig dat werkgever ZELF een keuze gaat maken over wie deze beoordeling gaat doen en eventuele verbeterpunten (qua documentatie / overdraagbaarheid) gaat aandragen. Dat moet TS vooral niet gaan doen. Dat is zijn taak niet.

Doorlichten van de code?
De infrastructuur er omheen?
Authenticatie en rechten in het gebruik van de applicatie?
Data & Back-ups?

Het doel van de audit is wel belangrijk voor wie je moet inhuren.

[ Voor 36% gewijzigd door luukvr op 24-05-2022 10:51 ]

En aan het einde van die audit ben jij (nog steeds) de enige die het mag beheren, daar schiet jij en de organisatie dus ook niks mee op.

Maar is jouw tooling zo specifiek dat er op de markt / bij andere scholen niet iets gelijkwaardigs is gemaakt?

Johnny Goodbye schreef op dinsdag 24 mei 2022 @ 08:37:
Het gaat om 2 webapplicaties (php) waarvan 1 gecombineerd met een windows applicatie(Delphi) en een losstaande windows applicatie

Als je het in Delphi hebt geschreven dan lijkt het er op dat je Embarcadero RAD hebt gebruikt.
Ik doe daar nog wel eens iets mee, maar zover ik weet zijn er maar heel weinig mensen in Nederland die dat echt goed begrijpen (zo ben ik ooit voor veel geld gevraagd om een tijdelijke Embarcadero/Delphi/C++/Perl klus te doen omdat dat bedrijf niemand kon vinden).
Ik wens je werkgever succes!

[b]Johnny Goodbye in "kwetsbaarheid applicatiebeheerder (of andere functie)"Johnny Goodbye schreef op dinsdag 24 mei 2022 @
Testen wordt tijdens het bouwen gedaan. Zo groot zijn de applicaties ook weer niet. Ook ontbreekt bij mij de juiste kennis hierover. De applicaties geven vooral veel tijdwinst in het ergste geval kan er teruggevallen worden naar papier.

Backup e.d. zijn er en werken ook wel. De vraag is of ik aan alle zaken heb gedacht.

Dan een technische collega pakken, spullen geven en aan het werk zetten.

Waar zit je ergens?

Johnny Goodbye schreef op dinsdag 24 mei 2022 @ 11:57:
[...]

Wat een aannames allemaal. Ik krijg veel zelfstandigheid en vrijheid om mijn taken uit te voeren. Alleen dit is niet het direct het werkgebied van mijn leidinggevende en vroeg mij om op onderzoek uit te gaan.

Dat heeft helemaal niks met aanname's te maken ... maar het is het verkeerd begrijpen van wat een Audit inhoud.
Die _mag_ jij helemaal niet zelf als betrokkene/ontwikkelaar/uitvoerder helemaal zelf gaan invullen; dat is een direkte overtreding van het principe dat een audit extern en van buitenaf plaatsvind en door de Stakeholder in opdracht gegeven wordt en ook onder diens verantwoording valt.
Ook niet dat jij vooraf moet gaan aangeven 'wat er gedaan moet worden' ... juist als jij aangeeft dat ''buiten jou niemand dat weet of zou kunnen' is al een teken dat juist het proces daar voorafgaand al onder de audit dient te vallen, omdat daar al een bedrijfsrisico bestaat.

het gaat er niet om dat jij zo 'blij' bent met alle vrijheid en zelfstandigheid (zelfs niet dat dat an sich 'verkeerd' zou zijn), maar vooral dat voor een bedrijf dat helemaal niet altijd zo wenselijk is. Zeker als dat betekent dat er dus een applicatie ontwikkeld is waar buiten jou mogelijk niet genoeg kennis bestaat deze te onderhouden en men niet helemaal zeker is wat te doen mocht je bv een tijdje uitvallen.


En 'Leiding geven' is Natuurlijk het taakgebied van je leidinggevende en dat is juist wat hier nodig is...
hij moet daar zelf controle houden en in dit geval is het niet wenselijk dat hij alles lekker uit de hand geeft en jou alles laat oplossen.
Zeker als het gaat om een audit met als doel kwetsbaarheden (zoals bv wat er zou gebeuren als jij morgen onder een bus zou komen, hoezeer te hopen valt dat dat niet gebeurt, is dat een risico dat het bedrijfsbelang niet zwaar zou mogen schaden).
Je leidinggevende is degenen die dan moet weten wat te doen, en die een plan-van-aanpak daarvoor moet hebben of in staat zijn in te schatten wat er nodig is.

Overigens is het niet zo dat een Audit gedaan moet worden door iemand die heel goed in jouw job is en exact hetzelfde kan als jij kan... eigenlijk is het juist des te beter als de auditeur _minder_ weet, maar dankzij jouw documentatie wel goed kan ontdekken wat er gedaan moet worden als jij toevallig afwezig bent (en ook geen begeleiding kan geven)...
of als dat niet het geval is iig snel ontdekt kan worden wat er verbeterd kan worden zodat dat wel als risico beter afgedenkt is.
Een audit is geen poging tot 'bugfixing' of kritiek op je programmeerskills (of hoe goed je documentatie is) maar vooral inschatting of bedrijfsrisicos afgedekt zijn en hoe met juist onverwachte situaties omgegaan wordt

[ Voor 7% gewijzigd door RM-rf op 24-05-2022 13:58 ]

Wat is nu precies je vraag? Een one-man job kan natuurlijk nooit opboksen tegen een gestroomlijnde IT organisatie. Dingen zoals code reviews en kennisoverdracht zijn nutteloos als je dit jaren in je eentje doet. (Wie gaat je pull requests nakijken?)

Laat je dit auditen door een IT-Auditor dan gaat er een waslijst uitkomen wat er niet goed is.

Is dit jouw schuld? Waarschijnlijk niet want je kan geen applicatie ontwerpen, ontwikkelen, testen en beheren in je eentje. Daar gaat het al mis.

Advies: zorg voor een team van collega's waar je mee kan samen werken, anders desnoods een externe partij die dit in onderhoud neemt en er support op kan doen.

Deze manier van werken is leuk voor een tooltje wat je werk makkelijker maakt maar niet voor bedrijfsprocessen. Alleen al vanwege het feit dat je niet je eigen vlees moet keuren.

[ Voor 3% gewijzigd door GrooV op 24-05-2022 17:17 ]

Ik ben het niet eens met grooV en je kan best in je eentje een applicatie onderhouden en testen. Je zou een stagair kunnen vragen jou software te installeren / gebruiken en die een handleiding laten maken hoe en wat. Dan kunnen jou collega's ook met de software aan de slag

Ik weet niet of je ondertussen, naast de vele adviezen, antwoord hebt gekregen op je vraag? Wij laten yielddd nog wel eens audits doen bij klanten als dat nodig is.

RM-rf schreef op dinsdag 24 mei 2022 @ 13:55:
[...]
blaat

Waarom ga je zo van gat man? Lees eens tussen de regels en probeer de situatie te snappen: Iemand heeft ten goeder trouw een paar tooltjes gemaakt om voor hemzelf en zijn collega's dingen makkelijker te maken en wil nu zorgen dat dat blijft doorlopen mocht hij niet in de gelegenheid zijn.

Als dat niet voldoende aansluit bij jouw idee van een professionele werkomgeving dan reageer je toch gewoon niet.

farlane schreef op woensdag 25 mei 2022 @ 15:54:
[...]

Waarom ga je zo van gat man? Lees eens tussen de regels en probeer de situatie te snappen: Iemand heeft ten goeder trouw een paar tooltjes gemaakt om voor hemzelf en zijn collega's dingen makkelijker te maken en wil nu zorgen dat dat blijft doorlopen mocht hij niet in de gelegenheid zijn.

Als dat niet voldoende aansluit bij jouw idee van een professionele werkomgeving dan reageer je toch gewoon niet.

Ik leg juist uit dat zijn werkgever de taak heeft om betere aansturing te geven als ze de 'kwetsbaarheid' die het oplevert als een functionaliteit enkel van een persoon afhangt, wil ondervangen.
Dat het idee verkeerd is dat TS ook moet gaan uitizoeken hoe dat gecontroleerd zou moeten worden en wat gedaan zou moeten om die kwetsbaarheid op te vangen.

Het is verder zeker lovenswaardig dat iemand zelf dat initiatief neemt en uit zelfstandige inzet zulke dingen doet, maar voor het bedrijf kan dat een groot risico opleveren als bv die ene persoon plots wegvalt.
Dat te ondervangen is echter juist taak van een leidingsgevende...
mijn excuses als het 'hard' overkomt, maar ik probeer juist erg direkt en duidelijk daarin te zijn...

Juist ook om te voorkomen dat de taak van het opvangen van de 'kwetsbaarheid die TS zelf noemt, ook weer doorgeschoven wordt door een leidindggevende die kennelijk ervoor wegloopt ervoor om zélf verantwoordelijkheid te nemen.

Ik vrees juist dat het voor TS enkel meer problemen oplevert als hij ook die taak op zich gaat nemen en zelf ook aanneeemt dat _hij_ ervoor verantwoordelijk is dit alles te regelen.
Juist dat 'aaardig willen doen' en het leuk vinden als je zelf in je eentje dingen kunt gaan uitzoeken, of dat te zien als 'zelfstandigheid en vrijheid', maakt dat hier enkel erger...

[ Voor 17% gewijzigd door RM-rf op 25-05-2022 16:46 ]