bestanden op werkstation, laptop etc beveiligen..

Bitlocker lijkt me de ideale oplossing voor je.

Ik zie een paar risico's van het opslaan van data op de lokale schijf:

• Je data kan kwijtraken doordat de laptop verloren of gestolen raakt
• Je data kan op straat komen te liggen doordat de laptop verloren of gestolen raakt

Voor die tweede geeft @Gunner een goede optie: beveilig de lokale schijf met Bitlocker om tevoorkomen dat data op straat komt te liggen.

Maar voor die eerste: Daar helpt Bitlocker niet tegen.

Mensen verplichten om data op een netwerkschijf te plaatsen is een optie, maar die netwerkschijf is niet altijd beschikbaar.

Een betere optie is om gebruik te maken van bijvoorbeeld OneDrive, Dropbox of iets dergelijks. Daarmee heb je nog wel het risico dat je iets aan data kwijtraakt, maar dat is dan alleen de data die nog niet gesynchroniseerd is. De rest is veilig.

Afhankelijk van je aanwezige licenties heb je al toegang tot OneDrive.

Maar let op: Je zal nog altijd je mensen moeten instrueren dat ze data op de juiste plaats zetten. Technisch dichttimmeren is een optie, maar dan zetten ze het wel op de Desktop. Gebruikers vinden altijd wel een manier waar jij niet aan gedacht hebt.

[ Voor 12% gewijzigd door Equator op 10-05-2023 11:28 ]

Neem ook gelijk een removale media policy mee in je plan. Als men daar op kan slaan en het is voor de gebruiker makkelijker/sneller dan loop je daar weer risico mee.

Geen idee hoe ver de rest van je omgeving op de schop gaat. Anders kunnen je nog nadenken of men uberhaupt op de laptop dient te werken/opslaan of dat een cloud oplossing / vdi wellicht beter is.

Blokkeer USB storage
Gebruik OneDrive en stel automatische folder redirection in.
Verkoop dat vooral met de features: Je hebt je vorige versies van bestanden nog en kan aan de bestanden werken op al je apparaten.
Zorg dat ze geen local admin zijn en dus niet buiten het profiel data op kunnen slaan.

OF neem een Cloud Backup oplossing die de local profile backupped die elke paar uur een incremental backup maakt.

Gebruikers instructies geven is nooit de oplossing. Gebruikers luisteren niet en doen wat ze zelf het makkelijkste vinden. Dat is niet voor alle gebruikers zo, maar als je hier vanuit gaat dan komt het wel goed.

[ Voor 20% gewijzigd door Hann1BaL op 10-05-2023 11:38 ]

Wellicht helpt dit:

https://www.ncsc.gov.uk/c...nce/policies-and-settings

C-drive 'verstoppen', begin hier aub niet aan. Er is maar weinig zo irritant als van die wazige beperkingen die links- of rechtsom eigenlijk niets helpen en indirect leiden tot policy-ontwijkend gedrag.

Ik weet trouwens niet hoeveel gebruikers jullie hebben, maar van die 'shared drives' zijn in dat opzicht ook geen wondermiddel. Zeker niet zonder degelijke versioning, backup&restore en synchronisatie (nu is hier niets over gezegd, maar iets doet vermoeden dat dit niet lekker is ingeregeld).

Aangezien jullie medewerkers alles lokaal bewerken en opslaan en bij verlies dit allemaal inzichtelijk of verloren is, dan zou ik maar eens afstappen van het 'niets lokaal opslaan'-doel en gewoon eens een degelijk informatiebeveiligingsproces opzetten. Hier zal je mogelijk gewoon kennis voor moeten inhuren. Het klinkt nu heel erg houtje-touwtje, op weinig gebaseerd.

Lokaal opslaan hoeft op zich geen probleem te zijn. Maar dan moeten er wel maatregelen genomen worden om de vertrouwelijkheid en beschikbaarheid te waarborgen.

Mischien Farsonic deepfreeze met mischien Data IGloo?
-dit gezegt..geen ondersteuming voor win11

Je geeft niet aan hoeveel werknemers/devices..

Veel success

Een RDS / VDI oplossing kan een goede case zijn. Niks meer lokaal op de laptop maar alles in de VDI /RDS veilig op de zaak.

[ Voor 43% gewijzigd door HKLM_ op 13-05-2023 08:43 ]

theduke1989 schreef op vrijdag 12 mei 2023 @ 19:07:

Mijn idee is dus:
- C:\ schijf verbergen
- Alleen nog opslaan op de shared drives (deze zijn alleen toegankelijk vanaf een lokaal netwerk (office) of VPN verbinding anders niet.
- Installeren van bijvoorbeeld applicaties alleen doen vanuit admin accounts en ook alleen vanuit C:\ dus ook niet via desktop etc.
- BitLocker alsnog toepassen.

Ik zou een backup naar je server instellen op elke PC/Laptop en dan ook elk systeem met bitlocker of zo beveiligen.

Personeel opvoeden is echt een dagtaak en dan nog zullen ze nooit allemaal alles op de share opslaan. Behalve degene die ooit iets heel belangrijks kwijt zijn geraakt, die hebben hun lesje wel geleerd vaak.

theduke1989 schreef op woensdag 10 mei 2023 @ 11:48:
Wij hebben alles ON-PREM momenteel is het niet toegestaan om in de CLOUD op te slaan voor ons (Hier in Luxembourg)

Wat er momenteel actief is aan GPO bijvoorbeeld voor "veiligheid" tussen haakjes
- Disable Guest account
- Disable Data over USB

We hebben ook daarom ook geen O365, maar nog steeds Office2019 en Office2019Pro.
Eenigste wat we in de cloud hebben is MS TEAMS, en dat krijgen we van GroupIT, alle andere wordt automatiscch geblokkeerd.

Wat is er niet toegestaan.
Filesharing sites, als Onedrive, google cloud etc dat is allemaal geblokkeerd.

Dus we kunnen alleen alles lokaal doen.
Bitlocker moet ik even inkijken, we hebben Trillix (was eerst McAfee ePO) dat kan een optie zijn voor bitlocker.

Maar we willen zoveel mogelijk dat onze medewerkers dus niks meer op hun lokale schijf opslaan.
En als ze thuis zijn moeten ze sowieso op VPN eerst verbinden, om dus dan bijvoorbeeld ook de shared drives te zien etc.

Misschien moet je eerst een voorstel schrijven om 1990 achter je te laten.

OneDrive kan ook on premise draaien. Hoeft niet in de Microsoft office365 cloud

Wij hebben ‘op de zaak’ (haha) OneDrive op alle laptops staan.
Die synchroniseert automatisch de mappen “Mijjn Documenten, Bureaublad en Mijn Afbeeldingen” naar een persoonlijke OneDrive locatie.
(Zeg ik zo uit mijn hoofd want ik ben op vakantie en heb enkel een iPad ter beschikking nu)

Naast dat we iedereen hebben verteld sowieso al hun bestanden van (persoonlijke) netwerkschijven te verplaatsen naar hun eigen OneDrive.

Anyways,
Als laptop kwijt/kapot dan hebben ze i.i.g. alles op OneDrive nog.

Ooit gewerkt bij een gemeente waar dit soort dingen standaard waren ingesteld.
Cd/ usb afleveren bij de It tijdelijke share voor medewerkers voor het project.
Dat is natuurlijk leuk bedacht, dat niks lokaal meer mag maar er zitten toch nog wel haken en ogen aan.
Storing, onderhoud, cd bekijken iemand moet dat allemaal extra doen.

Terwijl ik als inhuur een laptop van de zaak mee moesten nemen wegens gebrek aan hardware waardoor ik veel sneller kon werken dan een gemiddelde ambtenaar die voor alles eerst toestemming moest vragen aan een leidinggevende en vervolgens pas naar It mocht.

Is er wetgeving die verbied dat de cloud niet gebruikt mag worden? Met de context die je nu schetst lijkt het wel alsof het gebruikers zo moeilijk mogelijk wordt gemaakt.

Ergens onderweg zonder directe toegang tot de netwerkshare? Pech voor jou, eerst maar eens aan de VPN hangen dan. Al vind je een methode om je gebruikers het zo moeilijk mogelijk te maken, werkbaar zal het in de praktijk niet zijn, toch?

Met bijvoorbeeld iets als Nextcloud kan je gewoon alles on-premise houden maar toch gesyncte mappen hebben. Ook zijn er natuurlijk talloze andere manieren om periodiek automatisch alle bestanden te backuppen naar een on-premise server. Verder inderdaad Bitlocker op de laptops en de users opvoeden met fatsoenlijke wachtwoorden die niet op post-its terecht komen, scherm locken bij afwezigheid (zelfs een minuutje) etc.

Allemachtig, wat een prutswerk. C-schijf verbergen? Wat in vredesnaam dacht je daarmee te bereiken? Ik hoef je er vast niet aan te herinneren dat gebruikers slimmer zijn dan jij. Als jij iets blokkeert, werkt de gebruiker daar omheen. Desnoods gaan ze je bestanden mailen naar hun prive-e-mailadres, dat is wel het laatste wat je wilt.

Als je medewerkers zowel on- als offline moeten kunnen werken, dan ontkom je er niet aan dat de bestanden lokaal worden opgeslagen. Hiervoor gebruik je inderdaad Bitlocker oid, dan is de schijf iig niet leesbaar mocht de medewerker een laptop verliezen.

Waarom maak je geen gebruik van romaing profiles? Dat kun je gewoon instellen op de Active Directory. Het gebruikersprofiel van de gebruiker wordt dan naar de server gesynchroniseerd als de gebruiker online is. Alle bestanden die de gebruiker opslaat in z'n eigen mappen (mijn documenten etc) gaan dan mee. Kan de gebruiker het opslaan op de plek waar hij/zij dat gewend is, maar wordt het toch gebackupped.

Het enige wat je de gebruikers moet vertellen is dat ze af en toe daadwerkelijk online zijn, en jij moet ervoor zorgen dat die synchronisatie dan daadwerkelijk wordt uitgevoerd. Anders krijg je alsnog dat gebruikers bestanden kwijt kunnen raken.

[ Voor 4% gewijzigd door PhilipsFan op 15-05-2023 00:37 ]

Als de cloud niet mag, overweeg dan eventueel een lokale NAS als opslag/bestandsserver, en laat ze daar alles op opslaan. Die kan je dan desnoods op zich nog beveiligen door daar dan een extra backup van te trekken naar ergens anders. (bv NAS op ander locatie)

USB blokkeren is een must maar niet zaligmakend.
C: Blokkeren gaat hem niet worden. Wat je ook doet , zo als hierboven @PhilipsFan al zegt, hier helpt echt enkel alleen streng beleid tegen de users. Ze vinden namelijk ALTIJD wel een weg , wat is ook doet.

Ik krijg een beetje een ongemakkelijk gevoel van dit topic. Vooropgesteld, ik zit zelf niet precies in deze hoek. Maar zoals ik het lees is er wat betreft IT ook aardig wat niet op orde, prutsen gebruikers ook maar wat aan maar krijgen die laatsten nu de wind van voren en wil IT met de moed der wanhoop allerlei draconische maatregelen gaan doorvoeren.

Op zich zijn online mappen voor gebruikers juist wel handig, ongeacht of die nu in de cloud of op een share staan. Maar dan moet het wel goed werken en is het ook belangrijk dat de mappenstructuur aansluit bij de behoefte. Ik herinner me een van m'n klanten waar de indeling in de praktijk zo was dat het in de share zetten min of meer neer kwam van het vrijgeven van een bestand als 'gereed'. Gebruikers konden eigen drafts dus eigenlijk nergens kwijt behalve op hun lokale schijf. Tja, dan maak je het je als bedrijf ook wel moeilijk.

Dit soort dingen moet je meenemen in de totale oplossing.

Als je meer dan één probleem wil oplossen dan heb je ook meer dan één oplossing nodig.

BitLocker is nu al een aantal keer genoemd. Dat lost niet ál je problemen op, maar wel het probleem van inzichtelijke data bij diefstal van hardware.

Begin daar dan ook gewoon eens mee.... C schijf verbergen daar pest je alleen de gebruikers mee en hou je geen enkele dief mee tegen.

Het probleem van lokale data een backup geven is heel anders en heeft een andere oplossing nodig. Dat maakt BitLocker nog geen slechte tool.

Of gebruik je geen Word omdat je daar niet óók mails mee kan openen?

Met @Yucon en @dragonhaertt

Komt je "bestanden beveiligen" als brainfart van het management (wellicht nav de verloren data) of ben je bezig met een informatiebeveiligingsplan waar dit een sub-component van is? Je kunt beter zaken in een keer goed regelen dan steeds kleine stukjes halfslachtig... Dat laatste gaat je een keer opbreken bij een serieus incident/intrusion.

@Yucon bij ons heeft iedereen een eigen share, soort home folder. Dat is nog van voor de tijd van ondedrive daar kun je dan mee werken tot je bestanden "gereed" zijn. Hangt een beetje van het project af.

Als je niet wilt dat gebruikers lokaal werken moet je het makkelijker maken om het anders te doen.
Maar uiteindelijk moet men dit eerst zelf voelen door het een keer fout te doen.

Hoe ging het spreekwoord ook alweer, "Je kunt paard wel naar water brengen, maar je kunt het niet laten drinken".

[ Voor 13% gewijzigd door jeroen3 op 15-05-2023 07:56 ]

Goed ik krijg wel een beetje de kriebels van dit beleid. De persoon die bepaalt heeft dat cloud geen optie is leeft wat mij betreft nog in de middeleeuwen en moet zich eens goed laten informeren over de mogelijkheden en dan eens een keuze maken het hoeft allemaal niet full cloud het kan ook hybride.

Maar goed wat je kan doen.

Optie 1 Zoals eerder al gezegt stap volledig over op VDI. Een virtuele desktop omgeving welke beheerd wordt door IT, en alle data ook bij IT staat. Gebruikers hoeven alleen maar aan te melden op hun laptop en hoeven er niet eens iets van te merken.

Optie2:

Maak redirected folders aan voor de gebruikers (desktop, documents etc) en maak deze eventueel ook offline beschikbaar. Op je server waar de bestanden komen te staan maak je een back-up via de 3-2-1-1-0 methode en voor snelle restoren zet je shadow copy aan. Als iemand dan een bestandje kwijt is zet je het snel terug zonder je backup aan te spreken. (Tijd/datum afhankelijk)

Voor de veiligheid stel je bitlocker in op de laptop en laat je de recovery key wegschrijven naar AD.

Geen idee hoe groot je bent maar een SCCM oplossing voor een on-prem Intune integration is ook zeer aan te raden.

Ik ben er namelijk van overtuigd dat een Microsoft 365 configuratie met Intune, Defender, Pureview (compliance) etc omgeving een veiligere en beter aan eventuele wetgeving kan laten voldoen dan hier geschetste is. Al is het maar alleen voor je laptops! Eventueele servers waar data op staat mogen gewoon on-prem doormiddel van de hybride oplossing. Maar laptops blijven beheren op een manier uit het jaar kruik…

Hoe beheren jullie eigenlijk telefoons van de medewerkers?

[ Voor 11% gewijzigd door HKLM_ op 15-05-2023 08:47 ]

theduke1989 schreef op maandag 15 mei 2023 @ 05:20:
Even wat dieper in de materie van BitLocker gekeken.

- Het is goed tegen diefstal.

Maar niet als je een bestand verwijderd hebt of als je hardware kapot gegaan is.

Dan kan je met BitLocker alsnog niet bij je bestanden.

Dat moet je ook helemaal niet willen. Dan heeft je beleid al op meerdere punten gefaald. Als hardware kapot gegaan is maakt bitlocker behoorlijk weinig uit, want of je kan niet meer bij je data, of je kan niet meer bij je encrypted data. Als je recovery wilt gaan doen op zo'n schijf betekent dat dat de backups al niet op orde waren, want dat is de normale plek waar je gaat kijken. En als een user een bestand verwijdert val je wederom terug op de backup. Recovery vanaf een kapotte disk (maar ook vanaf een werkende) hoort niet eens op je checklist te staan. Er zijn nul garanties op dat je je data terugkrijgt en nog minder op dat wat je terugkrijgt 100% intact is. Vergeet het.

Nextcloud, owncloud is in principe het zelfde als een fileserver? Of heb je daar meer profijt van? Want om een extra server op te vragen voor iets wat we al hebben zou niet logisch zijn.

Ik zie dat je al hebt gevonden dat Nextcloud een fork is van owncloud dus dan vind ik deze vraag vreemd. Op ongeveer diezelfde plek staat ook uitgelegd wat je er allemaal mee kan. Dus ik denk dat je zelf het beste kan beantwoorden of jullie dit al hebben of niet, want die informatie heb je in dit topic nog niet gegeven. Één van de dingen waarvoor ik persoonlijk Nextcloud gebruik is de desktop client die een paar mappen gesynchroniseerd houdt met mijn server en andere devices, net zoals OneDrive dus, alleen dan in eigen beheer. Maar je kan er nog veel meer mee als je dat wilt, en tegelijkertijd is dat niet verplicht.

Oef. Ik krijg twee kriebels bij dit topic van @theduke1989 :

- Wat is zijn mandaat binnen de IT organisatie, waarom moet HIJ dit oplossen en, indien hij mandaat heeft:
- Wat zijn de overheid, en wat zijn de organisatie factoren?

Dat "cloud" een taboe is geld voor wel meer organisaties. Hoe goed een public cloud dienstverlener ook kan zijn met "wij geen keys, onze klant de keys" tot de meest absurde ISO27001-achtige beleiden aan toe, "public" heeft voor sommigen een zeker bijsmaakje.

Veel cloud leveranciers leveren dan ook gewoon een on-prem variant, zeker Microsoft is hier goed in. Onedrive wordt al genoemd, maar wist je dat de zakelijke variant ook on-prem kan draaien en feitelijk gewoon "sharepoint" is?

Niet alleen heb je namelijk nu het probleem dat je devices (en data) niet managed (en ook niet wil managen getuige het hobbywerk met C-drives verstoppen, serieus, denk aan de bedrijfsrisico's, als je niet door bepaalde audits heenkomt of het niet kan aantonen kan je serieus klanten kwijtraken of gewoon uitgesloten worden van nieuwe opdrachten), je hebt ook het probleem dat er een shadow-IT infrastructuur gaat ontstaan. Als je alles zó dichttimmert dat men eigen apparaten gaat gebruiken, en met mobieltjes gaat werken/naar huis door gaat mailen... dan heb je nog zo veel aan zeggen "mag niet" maar je gebruikers zijn toch wel slim.

Het meest simpele is en blijft een zakelijke office variant. Cloud of on-prem. Mail via Outlook (niet.com, zakelijk, exchange, met eigen domein) en als policy: "geen files attachen als ze geen security kenmerk hebben". Linken echter volop toestaan. Zelfs motiveren.

Want het probleem wat je ONGETWIJFELD nu ook hebt is locked files, het archaïsche "CTRL+S"-gedrag van mensen, en "file in use by different user, please save under another name"-gedrag.

Ga aub niet zakelijke cloud en privé-onedrive/dropbox vergelijken met een goed beheerde zakelijke IT omgeving. Ik weet niet wat je scope is, maar aangezien je een 'group IT' gok ik dat je niet in een CIO-rol zit. Het is van belang dat je je key users én mandaat-boom weet mee te krijgen, maar ook: dat je bepaalde zaken vooral niet zelf gaat lopen doen. En zeker geen C-drives verbergen, dat is niet alleen gebruikertje-pesten, maar ook een weg naar shadow-IT. Hoeft maar één iemand op een afdeling wat slimmer te zijn, of een gare workaround te bedenken, en je plannen kunnen bij het groffuil:

theduke1989 schreef op maandag 15 mei 2023 @ 05:20:
Even wat dieper in de materie van BitLocker gekeken.

- Het is goed tegen diefstal.

Maar niet als je een bestand verwijderd hebt of als je hardware kapot gegaan is.

Dan kan je met BitLocker alsnog niet bij je bestanden.

Het is niet óf Full-Disk Encryptie (BitLocker) gebruiken óf iets anders, het is én Full-Disk Encryptie gebruiken om risico's X, Y en Z te mitigeren én iets anders om A-W aan te pakken...

Ik denk dat ik toch maar zal moeten accepteren dat er geen perfecte methode is voor onze omgeving.

Ik denk dat jullie naar de tekentafel moeten om jullie omgeving eens te analyseren en vooral om jullie omgeving flink te verbeteren. Om dit succesvol te doen moeten jullie wel bepaalde stokpaardjes uit het jaar kruik laten varen.

Ik snap dat het geblokkeerd is, maar er is nog steeds geen antwoord op de vraag waarom cloud geen optie zou zijn. Mag het niet, kan het niet of is er wetgeving wat dit expliciet niet toestaat?

Doet me denken aan een klassiek voorbeeld waarbij de 'standaard medewerker' een Windows laptopje krijgt volgestopt met Group Policies om te voorkomen dat ze domme dingen doen. Vervolgens loopt het management rond met MacBooks, want mooi en 'het werkt zo lekker'. De IT-afdeling beheert ze niet (want Apple) waardoor de directeuren met een unmanaged device rondlopen. Zij hebben nergens last van, maar bepalen wel dat de rest tegen zichzelf beschermt moet worden.

Ik zou eens beginnen om hier met een frisse nieuw blik tegenaan te gaan kijken. Even kijken wat er nu allemaal beschikbaar is en niet in het oude blijven hangen.

Je moet wel bereid zijn om te onderzoeken wat er nog meer mogelijk is. Verdiep je bijvoorbeeld eens in Intune en alle mogelijkheden. Waarom het wiel opnieuw uitvinden als er genoeg oplossingen aanwezig zijn?

Klink alsof het management geroepen heeft dat de c-schijf niet meer beschikbaar mag zijn en je nu in een tunnelvisie zit om dat zo uit te voeren.

Kortste route is eigenlijk om iedereen de teminal server in te duwen. Heb je alle vliegen in 1 klap.

theduke1989 schreef op maandag 15 mei 2023 @ 13:14:
[...]

Zoals gezegd, hebben we binnnen Luxembourg niet de mogelijkheid om data buiten Luxembourg op te slaan. Dit staat beschreven in CSSF. Dit is voor banken en verzekeraren.

En toch lees ik hier heel wat anders. Maar goed, volgens mij is het punt gemaakt en ik zal er verder over ophouden.

Genoeg tips om te onderzoeken lijkt me. Dan wel middels een VDI, een eigen gehoste fileservice of je bouwt het helemaal dicht met Group Policies.

theduke1989 schreef op maandag 15 mei 2023 @ 13:18:
dit topic kan momenteel op slot, aangezien er niet echt een oplossing valt te verzinnen.
Want naar de cloud gaan zit hem hier niet in, alles wordt beheerd on-prem, dus niet veel mogelijkheid als ik zo alles lees.

Volgens mij zijn er zat oplossingen gegeven, inclusief on-premises opties zoals Onedrive.

Ik neem overigens aan dat, als jij hiervoor aangenomen bent, je ook de expertise hebt om dit netjes op te lossen?
"C schijf verbergen" klinkt imho alsof je niet echt kennis van deze materie hebt. Kan je deze taken niet beter overlaten aan die 3rd party die toch al vanalles voor jullie regelt?
Die hebben vast expertise in huis waar jullie (al dan niet betaald) gebruik van kunnen maken.

dragonhaertt schreef op maandag 15 mei 2023 @ 14:17:
[...]


Volgens mij zijn er zat oplossingen gegeven, inclusief on-premises opties zoals Onedrive.

Ik neem overigens aan dat, als jij hiervoor aangenomen bent, je ook de expertise hebt om dit netjes op te lossen?
"C schijf verbergen" klinkt imho alsof je niet echt kennis van deze materie hebt. Kan je deze taken niet beter overlaten aan die 3rd party die toch al vanalles voor jullie regelt?
Die hebben vast expertise in huis waar jullie (al dan niet betaald) gebruik van kunnen maken.

Ik vermoed dat je de "C: drive verbergen" optie van @theduke1989 niet helemaal begrijpt. Zoals ik het lees wil hij die optie gebruiken om te voorkomen dat gebruikers dingen lokaal op gaan slaan en niet als beveiliging tegen het lekken van informatie op de C: schijf bij diefstal of verlies.

Dat laat natuurlijk onverlet dat dat het onverstandig is om geen full-disk encryptie op een bedrijfslaptop toe te passen, onafhankelijk of gebruikers wel of niet bewust bestanden op de C: schijf op kunnen slaan. (Daarvoor plaatsen Windows & applicaties teveel vertrouwelijke info in C:\Users en andere folders).

Het verbergen van de C: drive is complete struisvogel oplossing. Applicaties kunnen nog steeds de C: drive benaderen en daar items in opslaan. En gebruikers gaan er dus omheen werken zoals ook al door meerdere mensen is aangegeven

Onedrive (for business) is Cloud dus dat gaan onderzoeken heeft enkel zin indien er ook "cloud" strategie is.

Verder vind ik het vreemd dat een bedrijf in de financiële sector zoals het nu doet voorkomen, nog op deze manier werkt (en de illusie heeft dat dit veiliger is) maar goed.

Je ondersteunt dus wel het werken via een VPN met toegang tot fileshares op een fileserver maar gebruikt geen encryptie oplossing zoals bitlocker om de disk te beschermen. Implementatie daarvan lijkt me stap 1.

Per user homedrive+known folder redirection+offline folder synchronisation+vpn en je bereikt min of meer wat met een Onedrive+known folder redirection+internet connection een stuk eenvoudiger is. Dat kan dan stap 2 zijn.

Vervolgens zorg je dat de homefolders netjes in de backup worden meegenomen. Enkel de netwerk locatie neem je mee in de backup. Die paar keer dat een persoon de offline versie niet gesynct heeft naar de netwerklocatie en dan toevallig gaat de machine *krak*, neem je voor lief.

Als laatste heb je dan nog andere shared folders (bijvoorbeeld department shares) die je ook offline (met sync) kunt aanbieden maar ik heb dat altijd bewust geblokkeerd.
Het slaat nergens op dat een gebruiker een complete afdelingsmap met 1 TB aan bestanden gaat syncen naar zijn of haar laptop. Laat staan dat 20 gebruikers dat gaat doen met allerhande file/version conflicten tot gevolgd.

Dit is allemaal met een paar GPO's te regelen maar zoals vele andere voor mij al zeiden: het is behoorlijk IT oplossing die gebruikt werd tot zo'n 10 jaar geleden.

Bestanden die op straat liggen na diefstal/verlies los je technisch op (Bitlocker)

Bestanden die kwijt zijn na defect los je procedureel op (Instructie om bestanden op netwerk-shares te zetten of toch iig op je Onedrive foldertje te werken)

Wij leveren hier diverse plekken aan waar je je shit kwijt kunt (fileshare on-prem, Onedrive, Sharepoint) dus als je dingen kwijt bent bij een defecte laptop heb je gewoon pech.

Zelf werk ik ook heel veel lokaal en/of offline, maar dan wel in mijn Onedrive foldertje.. Dat uploaden gaat ongemerkt als je weer wel een keer online bent

[ Voor 4% gewijzigd door FreakNL op 15-05-2023 15:45 ]

Als er gewerkt word met persoonsgegevens moet je er aan denken dat het kwijtraken van data (per ongeluk verwijderd, encryptiesleutel kwijt etc.) ook word gezien als datalek en dat moet worden gemeld. Je kan hier met encryptie niet tegen beschermen, in dit geval ben je genoodzaakt alles naar een server toe te halen en toegang tot lokale schijf af te schermen.

Gr4mpyC3t schreef op maandag 15 mei 2023 @ 13:19:
[...]


En toch lees ik hier heel wat anders. Maar goed, volgens mij is het punt gemaakt en ik zal er verder over ophouden.

Genoeg tips om te onderzoeken lijkt me. Dan wel middels een VDI, een eigen gehoste fileservice of je bouwt het helemaal dicht met Group Policies.

Mijn werkgever heeft een vrij grote klant met een vestiging in Luxemburg, bedrijf zit in de financiële sector en alles staat in de cloud bij hen (en op het gebied van legal hebben zij echt alles in orde): ik vermoed dat het bedrijf van de TS de regels omtrent het gebruik van cloud diensten verkeerd interpreteert.

Helaas kan de TS hier verder ook niets aan veranderen vermoed ik dus zit hij met de gebakken peren: ivm ouderwetse requirements zit hij nu vast aan een ouderwetse oplossing.

De eerder genoemde opties (VDI, RDS, On prem Sharepoint) zijn eigenlijk de enige werkbare opties waar ik bekend mee ben in deze gevallen.