Zakelijk omgaan met schaduw-IT

Wij zijn te klein voor beleid, maar regels zijn er zeker. Je gooit niks van je werk op een kanaal zonder versleuteling, en er wordt geen code copy paste in een online LLM, als je dat echt wilt moet je dat offline draaien.
Afhankelijk van je bedrijf, maar ik zou heel erg sturen naar niet accepteren. De gebruiker kan niet inschatten wat de schade is. Hoe vaak hebben we niet al de massale data lekken gehad door een gebruiker die iets deed wat niet mocht? Zeker voor iets knulligs als een notitie programma.

Belangrijk is niet zo zeer om aan te geven dat iets een risico vormt, maar waarom, en wat de gevolgen zijn. Verwijs naar directe en concrete voorbeelden bij andere (vergelijkbare) bedrijven.

Of, maar dat is een risico, geef aan dat als ze dat echt willen jullie een aantal security testen gaan uitvoeren. Je kent ze wel, spoof mails, managers vraagt iets te doen maar niet echt, clickthroughs, access management - maar als je dat niet goed aanpakt kun je nog meer weerstand verwachten

mijn aanpak hiermee is meestal iets volgens de volgende stappen:

1. proberen de gekozen software te onboarden volgens het proces wat binnen de organisatie daarvoor gevolgd moet worden. Immers, IT is er om de business te ondersteunen - niet om de business voor te schrijven hoe ze business moeten doen.

2. lukt 1 niet? dan een waardig alternatief bieden en goed intern uitleggen waarom deze wel en die ander niet

3. risico waiver schrijven met duidelijk risico statement + analyse van kans * impact en deze aan directie voorleggen ter ondertekenen incl einddatum.

Formeel beleid; voor elke dienst die we niet zelf hosten, wordt er expliciet een zogenaamde vendor en/of cloud assessment opgesteld.

Daarin definieren we de boundaries van de initiele functionele aanvraag en start er een onderzoek, onder andere met een auditor, naar de haalbaarheid van de dienst die dan bij een Microsoft, OpenAI, Adobe of whatever wordt afgenomen.

Zelfs iets "simpels" als Teams en communiceren met je klant (logisch, denk ik) is onderhevig aan een component van Microsoft en op basis daarvan is er goed gekeken naar de vrijblijvendheid van data / informatie uitwisselen via Teams. Er zit dus een bepaalde blokkade en gedragscode op de dienst "Teams" nog los van allerlei andere zaken die we al hebben voor Microsoft zoals data-klassificatie, federation, etc.

Let wel; hoe kleiner je organisatie, hoe "rukker" je je kan focussen op de vraag in jouw startpost; natuurlijk zal de bakker op de hoek met 6 medewerkers geen cloud-assessment doen of de data in WeTransfer niet eens een keer "gescand" worden bijvoorbeeld.

MOOS schreef op dinsdag 16 september 2025 @ 11:25:
De reMarkable (v1) tablets zijn niet geschikt voor zakelijk gebruik (geen MDM, geen encryptie, etc.), maar het managementteam schaft ze toch buiten de IT-afdeling om aan.

Hier zie je een typische tegenstrijdigheid tussen een IT-afdeling en de medewerker. Jij vindt (op basis van valide argumenten) dat er een beveiligingsrisico zit aan de reMarkable. Je verwoordt het als "niet geschikt voor zakelijk gebruik". Echter ziet je "klant", de zakelijke gebruiker, dit als DE oplossing voor "zakelijk gebruik", zonder valide alternatief.

Wij draaien overigens ook CoPilot maar ook een eigen instance van ChatGPT, die is gewoon ge-onboard zoals hierboven ook aangegeven, volgens de gebruikelijke IT-processen.

[ Voor 11% gewijzigd door pagani op 16-09-2025 11:35 ]

Nu ben ik gewoon een medewerker, maar op je vragen:
1. Ja
2. Ja
3. Ja

Als in, tot op zekere hoogte heb je weinig keuzes behalve risico's accepteren. Hoe voorkom je dat een medewerker een vraag stelt aan ChatGPT op zijn/haar telefoon? Daarnaast wordt er veel software gefaciliteerd, en via tegenwoordig admin on demand kunnen we het meeste zelf installeren (met beperkingen soms wel). En sommige dingen worden actief geblokkeerd, zoals ChatGPT. (En de blokkades van ChatGPT / Dropbox bijvoorbeeld lijken redelijk solide te zijn, andere blokkades kom je zo triviaal langs dat je je afvraagt of ze nou echt serieus ermee zijn).

Is "security" (informatiebeveiliging) niet aanwezig op directieniveau? Die zal beleid moeten maken en ook moeten handhaven op eigengereide teams.
Gebruik maken van clouddiensten of software (bijv licentie staat commercieel gebruik niet toe) brengt allemaal risico's mee, maar je hebt dus wel iemand nodig die daar op directieniveau mandaat heeft om regels op te leggen naar alle afdelingen. Regelmatige verplichte trainingen voor elke medewerker met wat wel en niet mag.
Bij mijn werkgever is het afwijken van deze regels een reden voor ontslag, maar waarschijnlijk wordt dat pas gehandhaafd als er daadwerkelijk data is gelekt. Detecteren van verkeerd gebruik is namelijk bijzonder lastig.

Sissors schreef op dinsdag 16 september 2025 @ 11:34:
Nu ben ik gewoon een medewerker, maar op je vragen:
...
Als in, tot op zekere hoogte heb je weinig keuzes behalve risico's accepteren. Hoe voorkom je dat een medewerker een vraag stelt aan ChatGPT op zijn/haar telefoon? Daarnaast wordt er veel software gefaciliteerd, en via tegenwoordig admin on demand kunnen we het meeste zelf installeren (met beperkingen soms wel). En sommige dingen worden actief geblokkeerd, zoals ChatGPT. (En de blokkades van ChatGPT / Dropbox bijvoorbeeld lijken redelijk solide te zijn, andere blokkades kom je zo triviaal langs dat je je afvraagt of ze nou echt serieus ermee zijn).

Het zal waarschijnlijk anders zijn dan je opschrijft maar als je (bewust) met je permissies en omwegen ervoor zorgt dat je bepaald beleid en logica overtreedt; moet je dan niet eens op je achterhoofd krabben waar jij en jouw bedrijf mee bezig is en/of dit soort omwegen ergens kunnen melden?

Eenieder met een digitale werkplek heeft vast ergens een contract(je) ondertekend dat je verantwoord met de ICT-middelen omgaat. Backdoors in stand houden en/of gebruiken om je werk te versimpelen hoort niet bij verantwoord omgaan met ICT.

Ik heb wel gemerkt dat als je heel moeilijk doet als IT je helemaal geen grip meer krijgt op wat gebruikers wel/niet mogen aanschaffen. Persoonlijk zie ik niet veel verschil in een reMarkable tablet of een ouderwets notitie blok.. Ik heb als ICT op beiden geen invloed hoe deze gebruikt wordt.

Voor security redenen moet het bedrijf gewoon een policy opstellen, dat is niet aan ICT vind ik, wij spelen daar alleen een adviserende rol in. Als wij echt iets 'gevaarlijk' vinden dan zorgen we dat deze zover mogelijk niet te gebruiken zijn al is het met clouddiensten en zelfredzaamheid steeds lastiger (betaalbaar) af te schermen.

Tja, soms hekel ik het en soms kan ik ze niet anders dan gelijk geven wanneer ChatGPT het goed beantwoord en ik niets hoef te doen. Het hekelen dr van komt juist wanneer er foutieve antwoorden/kennis wordt afgegeven en een gebruiker dan bij je komt met vol zelfvertrouwen en alleen maar meer de vraagstelling vertroebeld. Het is een dubbelzijdig zwaard daardoor. Ik vind het zelf niet erg als gebruikers zelf wat inzet vertonen, maar kom dan niet aanzetten met die foutieve informatie wanneer het niet is gelukt.

Sissors schreef op dinsdag 16 september 2025 @ 11:34:
Als in, tot op zekere hoogte heb je weinig keuzes behalve risico's accepteren

Nee, de business moet de risico's van haar eigen gedrag accepteren. Niet een afdeling die daar mee geconfronteerd wordt.

Als een afdeling (of systeemeigenaar) bewust afwijkt van opgesteld en bekrachtigd beleid, dient hij een overeenkomst te ondertekenen waarin het risico: onderbouwd wordt, in lekentaal uitgelegd wordt én er wordt in de overeenkomst expliciet opgenomen dat de systeemeigenaar (ondertekenaar) volledig verantwoordelijk is voor de gevolgen van de afwijking t.o.v. het beleid. Dat is tenminste hoe het bij mijn huidige opdracht ingeregeld is.

Risico's en afwijkingen zijn er altijd, die hou je niet tegen. Je moet wel de verantwoordelijkheid voor die risico's op de juiste plek neerleggen.

Zolang je geen buy-in hebt van management is het per definitie een verloren zaak en kan je niets meer doen dan risico's signaleren en je er verder bij neerleggen. Het maakt ook wel uit hoe wat voor organisatie je zit, hoe groter, hoe beter dit soort zaken meestal geregeld is.

Niet een direct antwoord maar wellicht een methode die interessant kan zijn om toch een compromis te vinden.

Wij moeten verplicht (simpele) online 'trainingen' volgen, deze herhalen\vernieuwen zich een paar keer per jaar. Daarin wordt iedereen op de hoogste gesteld van o.a. hoe je met bedrijfs-data om moet gaan en hoe je kan voorkomen dat je slachtoffer wordt van social hacking. ( https://awaretrain.com/nl-nl/security-awareness/platform/ ) .

Het is voor mij en directe collega's echt super simpel\logisch maar voor mensen die niet 'technisch' zijn een goede manier naar mijn idee om gewenst gedrag te delen zonder vervelend te zijn.

Er zijn wellicht andere platformen die ook zoiets aanbieden.

MAX3400 schreef op dinsdag 16 september 2025 @ 11:40:
[...]

Het zal waarschijnlijk anders zijn dan je opschrijft maar als je (bewust) met je permissies en omwegen ervoor zorgt dat je bepaald beleid en logica overtreedt; moet je dan niet eens op je achterhoofd krabben waar jij en jouw bedrijf mee bezig is en/of dit soort omwegen ergens kunnen melden?

Eenieder met een digitale werkplek heeft vast ergens een contract(je) ondertekend dat je verantwoord met de ICT-middelen omgaat. Backdoors in stand houden en/of gebruiken om je werk te versimpelen hoort niet bij verantwoord omgaan met ICT.

MOOS schreef op dinsdag 16 september 2025 @ 11:25:

• Accepteer je het risico?
• Faciliteer je uiteenlopende software om gebruikers tevreden te houden?
• Of blokkeer je diensten zoals ChatGPT actief?

Dit voelt alsof je een beetje vergeten bent dat IT er is om de medewerkers te faciliteren.
Als er te weinig capaciteit of kennis is om het allemaal te onderhouden dan is het aan het management om keuzes te maken.

@MOOS van oudsher ben ik een fan van BYOD geweest en heb dit als beleid bij menig directie verdedigd en nog steeds werken we hard voor de eindgebruiker om de werkbeleving zo goed en fijn mogelijk te maken.

Helaas is het dreigingsniveau van endpoints enorm veranderd. De politiehack liet zien dat een gejatte sessiecookie je MFA nutteloos maakt en je op een gedeelde omgeving eigenlijk geen veilige enclave kan maken voor zakelijk gebruik. Byod is daarmee, op een Windows endpoint, voor nu, praktisch dood.

Dan heb je mensen die hun favo tool gebruiken, of je het nu blokkeert of niet. Elke gebruiker heeft zelf een telefoon, laptop, tablet waarmee die dingen kan doen. Naar jezelf mailen, of gewoon een foto van je scherm maken, er is weinig technisch tegen te doen om mensen er van te weerhouden andere tools te gebruiken.

Daarom zie ik steeds vaker dat bedrijven een zero-trust inrichting niet alleen op de IT-omgeving toepassen, maar ook hun medewerkers. Ik vind dat in de basis onprettig en onvriendelijk, maar zie ook dat mensen gewoon hardleers zijn en hardnekkig blijven weigeren gezond verstand te gebruiken.

Dat leidt tot de volgende antwoorden:

1. Mijn vraag: hoe gaan jullie om met schaduw-IT?
2. Accepteer je het risico?
3. Faciliteer je uiteenlopende software om gebruikers tevreden te houden?
4. Of blokkeer je diensten zoals ChatGPT actief?

1. Beleid, werkplek als enige plek waarop je mag werken, monitoring van endpoints. Dus: niet toestaan.
2. Neen, het risico van problemen bij gebruik schaduw IT wordt bij de eindgebruiker neergelegd, middels beleid, ondertekenen van bruikleenovereenkomsten, geven van verplichte trainingen, voeren van een personeelshandboek, etc. Niemand local admin rechten, etc.
3. Er is doorgaans een validatie proces waarin een tool wordt gevalideerd op basis van privacy, compliancy, security etc waarna gekeken wordt of het bedrijf het wil, kan en mag gebruiken. Niet eerder.
4. Het is andersom: er wordt steeds vaker met een whitelist gewerkt. Je kunt alleen gebruiken wat daarop staat en als je dus iets wilt wat er niet op staat moet je leidinggevende dat goedkeuren en aanvragen. De CISO heeft vaak samen met CIO/CTO eindbeslissingsbevoegdheid.. maar ook eindverantwoording.

Bestaat er bij jullie een formeel beleid, wie stelt dat op, hoe wordt dit gehandhaafd en wat zijn de gevolgen bij overtreding?

Er staat in personeelsgidsen steeds vaker een sanctiebeleid bij overtreding van de richtlijnen. Dat kan uiteindelijk lijden tot waarschuwingen of erger. Ik zie dat weinig gebeuren, mensen gedragen zich doorgaans wel als ze ervoor moeten tekenen.

Keerzijde is wel dat je enorme passiviteit krijgt: medewerkers doen exact wat ze gevraagd wordt te doen. Ik vond het effect op een gemotiveerd actief en innovatief team wel heftig om te zien. Helaas is de aansprakelijkheid en impact van een incident dermate groot dat er geen onderscheid is gemaakt tussen 'mensen die weten wat ze doen' en 'mensen die vinden dat ze weten wat ze doen'. Maar, kan niet ontkennen dat het de werksfeer/omgeving niet per se verbetert. Wel lekker veilig is een beetje de running gag als iets weer 's niet werkt.

Juup schreef op dinsdag 16 september 2025 @ 11:55:
[...]

Dit voelt alsof je een beetje vergeten bent dat IT er is om de medewerkers te faciliteren.
Als er te weinig capaciteit of kennis is om het allemaal te onderhouden dan is het aan het management om keuzes te maken.

De uitdaging is dus dat een persoonlijke voorkeur niet zo relevant is als het gaat om faciliteren. Daarbij is de laatste jaren enorm duidelijk geworden dat elke tool een 'attack surface' is en een niet-onderhoude tool een kwetsbaarheid. Dus, minder tools, die allemaal onderhouden zijn en zodra ze dit niet meer worden, eruit.
Maakt maatwerk onmogelijk, helaas.

Ik was dus helemaal voor slimme mensen zelf keuzes laten maken, maar heb zoveel ransomware en andere hacks gezien via endpoint risico's dat ik die verantwoording in ieder geval niet meer zou nemen. Virusscanner helpt er simpelweg niet (afdoende) tegen.

[ Voor 12% gewijzigd door NiGeLaToR op 16-09-2025 12:00 ]

Haan schreef op dinsdag 16 september 2025 @ 11:51:
Zolang je geen buy-in hebt van management is het per definitie een verloren zaak en kan je niets meer doen dan risico's signaleren en je er verder bij neerleggen. Het maakt ook wel uit hoe wat voor organisatie je zit, hoe groter, hoe beter dit soort zaken meestal geregeld is.

Die buy-in van management is inderdaad ontzettend belangrijk.
Wat kan helpen om die te krijgen is dat tegenwoordig management / directie hoofdelijk aansprakelijk lan worden gesteld voor schade als gevolg van veiligheidsissues als ze aantoonbaar op de hoogte van de risico's maar er niet adequaat op hebben gereageerd.

Dus als om het even welke medewerker een mail stuurt naar de CEO dat het gebruik van ChatGPT en WhatsApp een serieus risico inhoudt op het lekken van bedrijfsinformatie (of, nog saillanter, persoonsgegevens) en er wordt niet op gereageerd (of met een "dat risico aanvaarden we als bedrijf"), dan heeft die CEO heel wat uit te leggen als een half jaar later de gegevens van duizenden klanten op straat liggen - en niet alleen uit hoofde van hun functie.

@Dido daar is dan ook nieuwe wetgeving voor om dat te bestendigen. NIS2 is zo'n voorbeeld, maar er zijn er veel meer. Als bestuurder kun je dit niet meer aan het toeval overlaten, of je IT-er het bos mee insturen. Besef is er steeds vaker wel, maar dat resulteert dan weer in draconische maatregelen en onwrikbare starheid. Niet per se leuk(er). Wel lekker veilig

Klopt, helemaal, @NiGeLaToR - nieuwe regelgeving heeft nogal eens dat effect, simpelweg omdat er echt induiken om uit te zoeken wat er nu echt nodig is veel meer werk is (en moeilijker!) dan gewoon overreageren.

Helemaal eens met de reacties die gaan over de faciliterende rol van een IT-afdeling richting de business. De business maakt de keuzes en is verantwoordelijk voor haar eigen handelen. Een IT-afdeling adviseert en kan met een (betere) optie komen die wél geschikt is.

Daarbij herinner ik mezelf er dagelijks aan dat mensen enorm inventief zijn. Ze vinden altijd wel een obscure manier om te bereiken wat ze willen. In plaats van zaken te blokkeren, verbieden of af te wimpelen kun je beter kijken hoe je die vraag op de juiste manier stuurt zodat het netjes binnen je IT-infrastructuur past. Is het voorstel van de IT-afdeling aantoonbaar beter? Dan mag de directie daar wat van vinden. Andersom kan ook en dient die software die de business wil er simpelweg te komen.

En ja, dat kost geld of levert een wildgroei van producten op. Dan komen er maar Copilot-abonnementen (slechts een voorbeeld) of ga je onderzoeken of je ChatGPT via bepaalde zakelijke abonnementen toch kunt onboarden.

MOOS schreef op dinsdag 16 september 2025 @ 12:17:
Als IT’er ben je toch juist verantwoordelijk voor apparaten zoals tablets?

Niet als ze niet via ons zijn aangeschaft (of zijn goedgekeurd).

Een kladblok begrijp ik, maar bij een tablet wil je MDM (of anders iets met MAM) kunnen toepassen. Zo kun je in ieder geval een sterke pincode afdwingen en zakelijke gegevens wissen bij verlies of diefstal.

Buiten beleid (en sancties) in de organisatie zie ik geen mogelijkheid om te voorkomen dat iemand iets aanschaft buiten ICT om maar zolang iemand nog steeds een mail naar zichzelf kan sturen is er geen technische(!) mogelijkheid om te voorkomen dat er bedrijfsdata op een privé / schaduw apparaat terecht komt.

Het enige dat wij (als ICT) kunnen doen is zorgen dat de 'noodzaak' om eigen apparaten te gebruiken er niet is door zelf een dergelijk apparaat in beheer of goede alternatieven aan te bieden. Als dat er niet is proberen we ook met de gebruiker in gesprek te gaan om uit te leggen waarom. Met het krijgen van begrip en inzicht bij de gebruiker heb je in veel gevallen de 'noodzaak' weggenomen en staan ze ook veel meer open voor de andere oplossingen. De keren dat het niet gaat neem ik voor lief en maak ik melding bij management.. het is niet aan mij daar wat mee te doen, zolang ik maar ingedekt ben.

Ik zie mensen roepen dat de IT-afdeling faciliterend is voor het bedrijf.
Dat klopt, maar faciliteren is toch wat anders dan “u vraagt, wij draaien”. Als dat namelijk de insteek is, heb je een IT afdeling nodig die 40 verschillende besturingssystemen, 25 verschillende officepakketten, 8 verschillende mailservers, 360 losse internetverbindingen en zo nog wat moet ondersteunen en onderhouden. Dat is geen doen.

De beste vorm van faciliteren is als er duidelijk beleid wordt opgesteld, waar het MT zich aan committeert en het daarmee ook maatgevend is voor de organisatie. Wil je iets wat afwijkt van de standaard? Prima: beschrijf maar wat je wil, waarom het niet past in de huidige standaard van het bedrijf, wat het kost voor aanschaf en onderhoud en laat het MT (of minstens de CIO) er maar een beslissing over nemen.

Pietervs schreef op dinsdag 16 september 2025 @ 14:19:
Ik zie mensen roepen dat de IT-afdeling faciliterend is voor het bedrijf.
Dat klopt, maar faciliteren is toch wat anders dan “u vraagt, wij draaien”. Als dat namelijk de insteek is, heb je een IT afdeling nodig die 40 verschillende besturingssystemen, 25 verschillende officepakketten, 8 verschillende mailservers, 360 losse internetverbindingen en zo nog wat moet ondersteunen en onderhouden. Dat is geen doen.

De beste vorm van faciliteren is als er duidelijk beleid wordt opgesteld, waar het MT zich aan committeert en het daarmee ook maatgevend is voor de organisatie. Wil je iets wat afwijkt van de standaard? Prima: beschrijf maar wat je wil, waarom het niet past in de huidige standaard van het bedrijf, wat het kost voor aanschaf en onderhoud en laat het MT (of minstens de CIO) er maar een beslissing over nemen.

Niemand heeft volgens mij gezegd dat het een kwestie is van ‘u vraagt, wij draaien’. Je haalt precies de zaken aan die eigenlijk niet ter discussie staan (OS, mail, internetverbinding), en de cijfers die je eraan koppelt zetten het extra dik aan.

Je krijgt een laptop met Windows erop. Ik heb niet de indruk dat er in bedrijven shadow-IT ontstaat omdat mensen stiekem Linux installeren. Wat er wel gebeurt, is dat eindgebruikers het prettig vinden om Adobe Acrobat Reader, Foxit PDF of iets anders waar ze bekend mee zijn te gebruiken. Of ChatGPT, om te kijken of ze er wat zinnigs mee kunnen doen. Who cares?

Niemand zit te wachten op al die regels en beleid. Val je in jouw voorbeeld buiten de standaard dan moet je door allerlei hoepels springen. Daarmee bereik je juist het tegenovergestelde: shadow-IT.

Je wil juist dat gebruikers naar je toe komen om te vragen hoe ze iets in gebruik kunnen nemen. Of nog scherper gezegd: ik wil dat ze mij onderdeel maken van hun denkproces, zodat ik altijd kan zeggen: ‘Ja, maar zullen we even kijken hoe we dit ook verantwoord kunnen doen?’

Gr4mpyC3t schreef op dinsdag 16 september 2025 @ 14:55:
[...]
Wat er wel gebeurt, is dat eindgebruikers het prettig vinden om Adobe Acrobat Reader, Foxit PDF of iets anders waar ze bekend mee zijn te gebruiken. Of ChatGPT, om te kijken of ze er wat zinnigs mee kunnen doen. Who cares??’

Who cares? Wet en regelgeving zoals de GPDR... Ik werk voor een overheid waarbij wij gewoon de wettelijke plicht hebben om (bijzondere) persoonsgegevens van burgers zoals jij en ik goed te beschermen. Elke tool/applicatie wordt vóór inzet door een proces gehaald waarbij o.a. privacy-risico's geïnventariseerd worden.

Question Mark schreef op dinsdag 16 september 2025 @ 15:05:
[...]

Who cares? Wet en regelgeving zoals de GPDR... Ik werk voor een overheid waarbij wij gewoon de wettelijke plicht hebben om (bijzondere) persoonsgegevens van burgers zoals jij en ik goed te beschermen. Elke tool/applicatie wordt vóór inzet door een proces gehaald waarbij o.a. privacy-risico's geïnventariseerd worden.

Precies, sinds er boetes en aansprakelijkheid aan vast zit is het geen 'who cares' meer gelukkig.
Ik denk wel dat er een weg gevonden moet worden in hoe je dan wel de behoefte om te proberen en experimenteren kunt faciliteren.

Best wel ingewikkeld dit hoor. Ik denk dat een groot deel ook wel afhankelijk is van je persoon/type bedrijf. Zelf ben ik IT professional en ik zit er écht niet op te wachten dat IT beheerders bepalen welke tools ik wel of niet moet gebruiken. Ik weet zelf het best waarin ik het meest effectief en plezierig werk. Onderschat niet de impact die het kan hebben om mensen hierin te beperken: Voor veel medewerkers is dat prima, voor andere écht heel vervelend. Maar, dit zal niet voor ieder bedrijf / type medewerker gelden inderdaad.

Gr4mpyC3t schreef op dinsdag 16 september 2025 @ 15:16:
[...]
Zowel verantwoording eisen als vrijwillig meedenken/adviseren komt in de praktijk op hetzelfde neer. Maar het eerste frustreert je gebruikers, terwijl je het met het tweede samen oppakt. Ik kies dus voor het laatste.

Het ging mij even om de "who cares" uitspraak. De verantwoording en verplichtingen die ondernemingen hebben rondom gegevens zijn vrij duidelijk.

En een groot deel van deze problematiek tackle je door middel van goede adoptie, waarbij wel toegestane alternatieven aangeboden worden. Maar... soms is de uitkomst ook gewoon dat iets niet kan of mag.

Question Mark schreef op dinsdag 16 september 2025 @ 15:20:
[...]

Het ging mij even om de "who cares" uitspraak. De verantwoording en verplichtingen die ondernemingen hebben rondom gegevens zij vrij duidelijk.

En een groot deel van deze problematiek tackle je door middel van goede adoptie, waarbij wel toegestane alternatieven aangeboden worden. Maar... soms is de uitkomst ook gewoon dat iets niet kan of mag.

De 'who cares'-opmerking was vooral bedoeld als: het maakt mij persoonlijk niet uit wat iemand wil gebruiken. Het komt vooral door mijn negatieve ervaringen met IT-beheerders die fan zijn van bepaalde software en die daarom die software ook opleggen aan de rest van de gebruikers. En de rest doen we niet, want <vul de niet objectieve reden maar zelf in>.

Maar misschien is dat gewoon mijn eigen angst en negatieve ervaring.

Ik vind dat IT voornamelijk een ondersteunende rol en geen leidinggevende rol mag hebben.

Bij aanschaf van minder veilige software of hardware vind ik dat IT een advies aan het management dient te geven met daarin de voordelen en nadelen, inclusief risico's zoals veiligheid, support, kosten en levensduur.
Het management mag dan wel besluiten of ze de risico's willen accepteren, en dan is het voor mij als IT afgedaan. De verantwoordelijkheid van de hardware/software ligt dan bij het management en niet bij IT en ondersteuning door IT is beperkt.

@Gr4mpyC3t nou ja, ik snap het ergens wel: als je nu voor elk idee van een medewerker een soort 30-compliancy punten van 5 afdelingen af moet om te kijken of de tool gebruikt mag worden ga je eerst op de rem trappen. Hoe irritant ook. Heb jaren in zo'n groepje dwarsliggers gezeten, niet omdat we dwars moesten liggen maar omdat de validatie gewoon een gedoe is. Waar staat de data, wie is de eigenaar tijdens en na gebruik, wat gebeurt er na beëindiging overeenkomst, welke wijzigingen mogen ze doorvoeren tijdens contract, welke beveiliging gebruiken ze, etc, etc etc. Echt een enorme klus.

En nu is dat vooral validerend, NIS2 gaat leverancier simpelweg verplichten er aan te voldoen en dit te laten auditten. Maakt leverancierselectie wellicht weer iets eenvoudiger, maar toch.

@Onbekend ik snap je antwoord, alleen dat punt zijn we ruimschoots voorbij. Voldoen aan is niet vrijblijvend.

[ Voor 7% gewijzigd door NiGeLaToR op 16-09-2025 15:28 ]

NiGeLaToR schreef op dinsdag 16 september 2025 @ 15:27:
@Gr4mpyC3t nou ja, ik snap het ergens wel: als je nu voor elk idee van een medewerker een soort 30-compliancy punten van 5 afdelingen af moet om te kijken of de tool gebruikt mag worden ga je eerst op de rem trappen. Hoe irritant ook. Heb jaren in zo'n groepje dwarsliggers gezeten, niet omdat we dwars moesten liggen maar omdat de validatie gewoon een gedoe is. Waar staat de data, wie is de eigenaar tijdens en na gebruik, wat gebeurt er na beëindiging overeenkomst, welke wijzigingen mogen ze doorvoeren tijdens contract, welke beveiliging gebruiken ze, etc, etc etc. Echt een enorme klus.

En nu is dat vooral validerend, NIS2 gaat leverancier simpelweg verplichten er aan te voldoen en dit te laten auditten. Maakt leverancierselectie wellicht weer iets eenvoudiger, maar toch.

@Onbekend ik snap je antwoord, alleen dat punt zijn we ruimschoots voorbij. Voldoen aan is niet vrijblijvend.

Helemaal mee eens, dat is absoluut niet werkbaar. Is het wel nodig om alles direct te valideren, of kun je ook met de gebruiker een kader afspreken om de applicatie of service een tijdje te testen? Misschien is er ook nog een kans dat het uiteindelijk een hype blijkt te zijn en de gebruiker zelf tot de conclusie komt dat het niets toevoegt.

Ik begrijp beide kanten, twijfel daar niet aan. Ik denk alleen dat er ergens een balans ligt tussen het juiste doen (valideren, toetsen, inrichten) en gebruikers de ruimte geven om hun gang te gaan. Alle twee de uitersten zijn niet werkbaar.

Gr4mpyC3t schreef op dinsdag 16 september 2025 @ 15:24:
[...]


De 'who cares'-opmerking was vooral bedoeld als: het maakt mij persoonlijk niet uit wat iemand wil gebruiken. Het komt vooral door mijn negatieve ervaringen met IT-beheerders die fan zijn van bepaalde software en die daarom die software ook opleggen aan de rest van de gebruikers. En de rest doen we niet, want <vul de niet objectieve reden maar zelf in>.

Maar misschien is dat gewoon mijn eigen angst en negatieve ervaring.

Ik denk dat je het wat breder moet bekijken. De IT-wereld is wat complexer dat hoe je het nu beschrijft. Ik kan nl. meerdere valide redenen verzinnen waarom dingen ongewenst zijn. Denk niet alleen aan beveiliging en privacy, maar ook aan zaken als standaardisatie, uniformiteit, beheerlast, ketentesten en beschikbaarheid.

Denk bv. even aan de security-issue die Foxit PDF reader had.

This exploit has been used by multiple threat actors, in use on e-crime and espionage. Check Point Research isolated and investigated three in-depth cases, ranging from an espionage campaign to e-crime with multiple links and tools, achieving impressive attack chains.

Gr4mpyC3t schreef op dinsdag 16 september 2025 @ 15:35:
[...]
Is het wel nodig om alles direct te valideren, of kun je ook met de gebruiker een kader afspreken om de applicatie of service een tijdje te testen?

Al hoe graag ik zou willen. Bovenstaand voorbeeld, in combinatie met de gegevens die wij verwerken, maken dat vrij lastig. Ik snap je punt overigens heel goed hoor, maar beveiliging/privacy & gebruikersgemak is in de praktijk een erg lastige spagaat..

Question Mark schreef op dinsdag 16 september 2025 @ 15:38:
[...]

Ik denk dat je het wat breder moet bekijken. De IT-wereld is wat complexer dat hoe je het nu beschrijft. Ik kan nl. meerdere valide redenen verzinnen waarom dingen ongewenst zijn. Denk niet alleen aan beveiliging en privacy, maar ook aan zaken als standaardisatie, uniformiteit, beheerlast, ketentesten en beschikbaarheid.

Denk bv. even aan de security-issue die Foxit PDF reader had.


[...]


[...]

Al hoe graag ik zou willen. Bovenstaand voorbeeld, in combinatie met de gegevens die wij verwerken, maken dat vrij lastig. Ik snap je punt overigens heel goed hoor, maar beveiliging/privacy & gebruikersgemak is in de praktijk een erg lastige spagaat..

Wie zoekt, die vindt.

Moeten we misschien concluderen dat er niet één antwoord is dat de lading dekt?

downtime schreef op dinsdag 16 september 2025 @ 15:59:
Dus nee, ik raak geirriteerd als ik input van eindgebruikers in logs zie, want dat maakt mijn werk alleen maar moeilijker.

Heb ik nog niet zien passeren maar licenties zijn dikwijls ook een dingetje. Software die gratis is zolang je het thuis voor je hobby's gebruikt maar betalend wordt zodra je het commercieel gaat gebruiken. En nee, die eindgebruiker heeft zich daar niet in ingelezen.

MOOS schreef op dinsdag 16 september 2025 @ 12:17:

Het wel ondersteunde alternatief is iPad + OneNote.

De penondersteuning is echt om te huilen in OneNote, eigenlijk onwerkbaar. Handschriftherkenning is abominabel, opmaakkeuzes heel beperkt. Ik snap wel dat mensen een uitweg zoeken.

Gr4mpyC3t schreef op dinsdag 16 september 2025 @ 15:35:
[...]


Helemaal mee eens, dat is absoluut niet werkbaar. Is het wel nodig om alles direct te valideren, of kun je ook met de gebruiker een kader afspreken om de applicatie of service een tijdje te testen? Misschien is er ook nog een kans dat het uiteindelijk een hype blijkt te zijn en de gebruiker zelf tot de conclusie komt dat het niets toevoegt.

Ik begrijp beide kanten, twijfel daar niet aan. Ik denk alleen dat er ergens een balans ligt tussen het juiste doen (valideren, toetsen, inrichten) en gebruikers de ruimte geven om hun gang te gaan. Alle twee de uitersten zijn niet werkbaar.

Het is in 6 maanden zo erg veranderd, dat ik nu zou zeggen: nee, niet doen. Niet testen op je werkplek. Elders, prima, maar niet daar. Er gaat momenteel zoveel zo snel mis qua data diefstal, exploits en ransomware, het is een beetje bizar eigenlijk wel.

De ellende is dat het zelfs als je alles hebt gecheckt het alsnog dagelijks mis gaat bij leveranciers, repositories, etc en dat daar nog experimentjes van gebruikers aan toevoegen de last verder vergroot.

Dat brengt wel jouw punt naar voren zoals ik hem lees: hoe ga je dan in godsnaam nog dingen ontdekken die handig, nuttig, waardevol zijn? En daar moet nog een antwoord op komen - wellicht het klassieke OTAP model maar weer wat afstoffen en speciale omgevingen voor experimentjes optuigen, met alle nadelen van dien (integratie, productiedata, etc). Heb ik niet per se een antwoord op, al zal in de praktijk een tooltje bij iemand installeren van een testje vast nog wel gebeuren.

downtime schreef op dinsdag 16 september 2025 @ 16:07:
[...]

Dan heb je dus al een "leidinggevende" rol gepakt. Je hebt namelijk besloten dat de verantwoordelijkheid niet bij jou ligt en dat je het maar beperkt ondersteunt. Die luxe hebben IT'ers niet altijd. Soms ondersteun je het omdat management vindt dat je het moet ondersteunen.

Correct, maar eigenlijk horen die nieuwe zaken nog niet bij het bestaande ICT-beheer. Dat betekent dus dat er meer capaciteit of budget naar het ICT moet om het bestaande nog steeds te kunnen uitvoeren, of dat er ergens anders bezuinigd moet worden.
(Het management geeft ons ICT een zeer beperkt budget, en ik geef elk jaar een begroting door aan het management door wat in verschillende categorieën is opgedeeld, waarna het management besluit wat weer een jaar doorgeschoven moet gaan worden, of dat het budget vergroot gaat worden. Als we ineens extra kosten moeten maken, betekent dat het management mag zorgen dat het financieel ook past.)
Ook hier weer leg ik de verantwoordelijkheid bij het management.

Gr4mpyC3t schreef op dinsdag 16 september 2025 @ 14:55:
[...]


Niemand heeft volgens mij gezegd dat het een kwestie is van ‘u vraagt, wij draaien’. Je haalt precies de zaken aan die eigenlijk niet ter discussie staan (OS, mail, internetverbinding), en de cijfers die je eraan koppelt zetten het extra dik aan.

Je krijgt een laptop met Windows erop. Ik heb niet de indruk dat er in bedrijven shadow-IT ontstaat omdat mensen stiekem Linux installeren. Wat er wel gebeurt, is dat eindgebruikers het prettig vinden om Adobe Acrobat Reader, Foxit PDF of iets anders waar ze bekend mee zijn te gebruiken. Of ChatGPT, om te kijken of ze er wat zinnigs mee kunnen doen. Who cares?

Niemand zit te wachten op al die regels en beleid. Val je in jouw voorbeeld buiten de standaard dan moet je door allerlei hoepels springen. Daarmee bereik je juist het tegenovergestelde: shadow-IT.

Je wil juist dat gebruikers naar je toe komen om te vragen hoe ze iets in gebruik kunnen nemen. Of nog scherper gezegd: ik wil dat ze mij onderdeel maken van hun denkproces, zodat ik altijd kan zeggen: ‘Ja, maar zullen we even kijken hoe we dit ook verantwoord kunnen doen?’

Who cares? Iedereen die een stabiele werkomgeving wil waarbij niet om de haverklap zaken platgelegd worden door met virussen besmette obscure programmaatjes die een gebruiker leuk vindt in plaats van nodig heeft.
Want de IT afdeling wordt er wel op aangesproken als de boel plat gaat omdat Jan van Accounting het nodig vond om een programma te installeren dat hij gevonden had op een torrentsite…

Niemand zit te wachten op regels en beleid? Ok, laten we de Wegenverkeerswet ook maar het raam uitgooien dan: niemand zit er toch op te wachten dat Oom Agent buurman Henkie aanhoudt als die weer eens met 2 lekke uitlaten en 90 kilometer per uur door de woonwijk raast, toch?

Ja, ik chargeer. En ja, je hebt gelijk: hoepels. En die zijn af en toe knap vervelend. Ik loop er zelf soms ook tegenaan. Maar als het beleid duidelijk is, weet iedereen waar hij/zij aan toe is en komen mensen inderdaad naar je toe in plaats van zelf maar dingen te downloaden en installeren (met goed beleid kan een gebruiker dat normaal gesproken ook niet, maar dat is een andere discussie).

Pietervs schreef op dinsdag 16 september 2025 @ 18:54:
[...]
Ja, ik chargeer. En ja, je hebt gelijk: hoepels. En die zijn af en toe knap vervelend. Ik loop er zelf soms ook tegenaan. Maar als het beleid duidelijk is, weet iedereen waar hij/zij aan toe is en komen mensen inderdaad naar je toe in plaats van zelf maar dingen te downloaden en installeren (met goed beleid kan een gebruiker dat normaal gesproken ook niet, maar dat is een andere discussie).

Ik vraag me sowieso af bij wat voor een bedrijven mensen hier werken. Waarbij met persoonsgegevens wordt gewerkt snap ik uiteraard direct dat je dat goed wil en moet afschermen. Maar ik krijg op Tweakers ook weleens het idee dat elke MKB systeembeheerder de handel verder wil dichttimmeren als bij de tech multinational waar ik werk.

Maar ja, dan is er beleid dat als iemand iets gevaarlijks als bijvoorbeeld Notepad++ wil installeren, dan moet je weer door 15 hoepeltjes springen om dat aangevraagd te krijgen. Oftewel dan ben je ook weer beter af om je eigen workaround te bedenken.

En voor de duidelijkheid waarmee ik ook begon: Ik snap prima dat afhankelijk van de situatie je een bepaalde hoeveelheid beveiliging wil hebben. En zelfs als er nou niet veel spannends wordt verwerkt, zal dat bij een werkgever altijd meer zijn dan op je thuis laptop. Maar onder de streep aan het eind van het jaar word ik afgerekend door mijn manager hoeveel ik heb gedaan. En als bij problemen IT niet verder komt als "tja dat is de policy", dan gaan mensen alternatieve oplossingen verzinnen. (En dat kan zoiets simpels zijn als van Chrome naar Firefox switchen, omdat IT opslaan van wachtwoorden heeft verboden in Chrome...).

Gr4mpyC3t schreef op dinsdag 16 september 2025 @ 14:55:
[...]


Niemand heeft volgens mij gezegd dat het een kwestie is van ‘u vraagt, wij draaien’. Je haalt precies de zaken aan die eigenlijk niet ter discussie staan (OS, mail, internetverbinding), en de cijfers die je eraan koppelt zetten het extra dik aan.

Je krijgt een laptop met Windows erop. Ik heb niet de indruk dat er in bedrijven shadow-IT ontstaat omdat mensen stiekem Linux installeren. Wat er wel gebeurt, is dat eindgebruikers het prettig vinden om Adobe Acrobat Reader, Foxit PDF of iets anders waar ze bekend mee zijn te gebruiken. Of ChatGPT, om te kijken of ze er wat zinnigs mee kunnen doen. Who cares?

Wanneer een organisatie mij wil hebbeb, staat juist het OS wel ter discussie. Ik wil namelijk gewoon met Linux kunnen werken. Anders werk ik er niet. Er zijn genoeg organisaties waar je zelf mag bepalen of je Windows, Mac of Linux gebruikt. Met alleen Windows of Mac doe ik niets voor je.

Juist de andere software (bijvoorbeeld Jetbrains, Eclipse of Visual Studio en pdf-lezer) conformeer ik mij aan. Mits het op Linux kan draaien.

* Blokker_1999 haalt even de pen boven. Zet je schrap

MOOS schreef op dinsdag 16 september 2025 @ 11:25:
Steeds vaker maken medewerkers gebruik van (gratis) clouddiensten voor hun werk, zoals WhatsApp, WeTransfer of ChatGPT.

Binnen mijn organisatie merk ik dat er weerstand en onbegrip ontstaat zodra wordt aangegeven dat dit soort toepassingen een risico vormen.

Zoals veel bedrijven werken wij met Microsoft 365, inclusief de basisfunctionaliteit van Copilot. Toch staat men daar niet voor open: ze willen ChatGPT, zonder dit goed te willen of kunnen onderbouwen.

Hetzelfde geldt voor andere hard- en software. Voor notities hebben wij OneNote, maar medewerkers vragen om Evernote, Notion of een reMarkable tablet. De reMarkable (v1) tablets zijn niet geschikt voor zakelijk gebruik (geen MDM, geen encryptie, etc.), maar het managementteam schaft ze toch buiten de IT-afdeling om aan.

Mijn vraag: hoe gaan jullie om met schaduw-IT?

• Accepteer je het risico?
• Faciliteer je uiteenlopende software om gebruikers tevreden te houden?
• Of blokkeer je diensten zoals ChatGPT actief?

Bestaat er bij jullie een formeel beleid, wie stelt dat op, hoe wordt dit gehandhaafd en wat zijn de gevolgen bij overtreding?

Onbegrip en weerstand zijn normaal. Mensen zien de gevaren niet in van externe tools. Zij gebruiken het privaat ook, zien daar geen probleem mee en vinden dan ook dat ze het professioneel ook maar moeten kunnen gebruiken. Dat kost tijd en moeite om uit te leggen aan die mensen. Maar het is wel tijd en moeite die je er in moet steken als je begrip wenst te krijgen voor die beslissingen.

Als men ChatGPT wenst te gebruiken, toon hen dan de kost aan van de niet gratis versie waarbij gelijkaardige gegevensbescherming zit zoals bij Copilot, en vraag hen om die kost te verantwoorden naar management toe. Als management ervoor wenst te betalen, dan wordt er ineens meer mogelijk.

We hebben bij ons ook enkele gebruikers die een reMarkable gebruiken, en dan komen klagen dat ze niet kunnen syncen met hun OneDrive/OneNote. Natuurlijk niet. Wij zetten dat dicht. Wil je die optie hebben? Passeer maar langs security en laat alles maar goedkeuren. Maar wij willen geen gevoelige bedrijfsdata die langs de servers van een Amerikaanse firma moet lopen waarmee wij geen enkele verwerkingsovereenkomst hebben of kunnen afsluiten om zo naar onze gebruikers te syncen.

Accepteer je het risico? Natuurlijk niet. Maar je komt er vaak pas veel te laat achter. Hoe vaak wij bij ICT niet de laatste zijn om te weten dat men een nieuw product reeds heeft aangeschaft, duizenden of zelfs tienduizenden Euro heeft uitgegeven, de contracten reeds getekend zijn zonder dat legal of secuirty erover zijn gegaan is niet meer op 1 hand te tellen. Maar ook daar, afblokken, zorgen dat alles vanuit onze kant alsnog de nodige goedkeuringen krijgt of anders kan men fluiten naar hun SSO integratie, hun Sharepoint/OneDrive integratie enzoverder. Management, security en legal moeten goedkeuring geven voordat wij tijd investeren binnen IT in het onboarden van een product.

Neen, wij hebben net een process met approval flow dat onder meer als doel heeft alles te stroomlijnen en geen 10 verschillende tools of services te hebben die bijna hetzelfde doen. Dat is ook te idioot, want elke tool die je aankoopt, elke integratie die je moet opzetten kost tijd en geld voor je IT afdeling. Want je moet dat ook onderhouden, als is het maar de SAML integratie die elke 2 jaar vernieud moet worden.

En waar nodig blokkeren we ook diensten. Enkel goedgekeurde AIs staan bijvoorbeeld open op onze firewall en dan ook enkel maar voor die groepen die het mogen gebruiken. Zelfde met bijvoorbeeld grammarly. En ja, dat wekt soms wrevel op. Mensen kunnen er ook niet rondwerken dankzij de always-on VPN functionaliteit. Al zit je thuis, je kan de VPN niet uitschakelen en de VPN hanteert dezelfde firewall regels voor internet toegang als onze on-premise firewalls.

Sissors schreef op dinsdag 16 september 2025 @ 11:34:
Als in, tot op zekere hoogte heb je weinig keuzes behalve risico's accepteren. Hoe voorkom je dat een medewerker een vraag stelt aan ChatGPT op zijn/haar telefoon? Daarnaast wordt er veel software gefaciliteerd, en via tegenwoordig admin on demand kunnen we het meeste zelf installeren (met beperkingen soms wel). En sommige dingen worden actief geblokkeerd, zoals ChatGPT. (En de blokkades van ChatGPT / Dropbox bijvoorbeeld lijken redelijk solide te zijn, andere blokkades kom je zo triviaal langs dat je je afvraagt of ze nou echt serieus ermee zijn).

Het is alweer een stuk moeilijker om te voorkomen dat een medewerker op een niet bedrijfstoestel vragen gaat stellen aan een AI systeem. Maar daar ga je dan weer op andere manieren mee om. Met goede DLP oplossingen voorkom je dan weer dat diezelfde gebruiker massaal data kan exfiltreren uit je omgeving om aan die AI te voeden. Bijkomend zorgt de blokkering op interne systemen ervoor dat gebruikers gewaarschuwd zijn dat het gebruik niet is toegestaan. Zoeken zij dan toch omwegen en worden zij daarop betrapt, dan zijn dat dus net verzwarende omstandigheden. Ga daar dus zeker niet zomaar omheen werken omdat je wel een omweg kent, want je weet net dat het niet mag vanuit de firma.

Admin on demand moet goed ingeregeld zijn. Enkel specifiek goedgekeurde processen mogen door een gebruiker op aanvraag gestart worden met admin rechten. Alles wat niet goedgekeurd is blokkeer je dus gewoon. Dat betekend verder ook dat je niet zomaar bijvoorbeeld PowerShell of andere interpreters kunt laten draaien met die rechten.

DukeBox schreef op dinsdag 16 september 2025 @ 11:43:
Ik heb wel gemerkt dat als je heel moeilijk doet als IT je helemaal geen grip meer krijgt op wat gebruikers wel/niet mogen aanschaffen. Persoonlijk zie ik niet veel verschil in een reMarkable tablet of een ouderwets notitie blok.. Ik heb als ICT op beiden geen invloed hoe deze gebruikt wordt.

Voor security redenen moet het bedrijf gewoon een policy opstellen, dat is niet aan ICT vind ik, wij spelen daar alleen een adviserende rol in. Als wij echt iets 'gevaarlijk' vinden dan zorgen we dat deze zover mogelijk niet te gebruiken zijn al is het met clouddiensten en zelfredzaamheid steeds lastiger (betaalbaar) af te schermen.

Er zit een heel groot verschil tussen een notitieblok en een reMarkable. Die laatste kan, als de gebruiker dat zo instelt, alles synchroniseren, maar dat kan alleen met een service van reMarkable, een Amerikaans bedrijf. Er is geen integratie met cloud aanbieders rechtstreeks. Dat notitieblok? Dat ziet enkel de schrijver in, en eventueel iemand die het vindt maar er voor de rest niets aan heeft.

En als ICT heb je dus wel een invloed, want als ICT, in samenwerking met security, bepaal je welke policies er zijn om toegang te verkrijgen tot bedrijfsgegevens. En je bent dus in staat om te voorkomen dat die reMarkable, via een omweg, gaat syncen met je data.

Het opstellen van security beleid is inderdaad niet aan de ICT afdeling. Daar heb je een security afdeling voor nodig en dus een CISO die het beleid uitstippelt.

kamerplant schreef op dinsdag 16 september 2025 @ 15:18:
Best wel ingewikkeld dit hoor. Ik denk dat een groot deel ook wel afhankelijk is van je persoon/type bedrijf. Zelf ben ik IT professional en ik zit er écht niet op te wachten dat IT beheerders bepalen welke tools ik wel of niet moet gebruiken. Ik weet zelf het best waarin ik het meest effectief en plezierig werk. Onderschat niet de impact die het kan hebben om mensen hierin te beperken: Voor veel medewerkers is dat prima, voor andere écht heel vervelend. Maar, dit zal niet voor ieder bedrijf / type medewerker gelden inderdaad.

In elke onderneming van iets of wat formaat zal het toch echt de business zijn die gaat bepalen welke tools je wel of niet kan en mag gebruiken. Onderschat niet de impact die jouw keuze kan hebben op de business. Al meermaals gezien dat persson X vertrekt uit het bedrijf, die persoon alles op zijn eigen manier deed en niemand weet waar alles staat of hoe alles werkt. Je werkt in een bedrijf als team, en je moet samenwerken. Dan kan niet iedereen zijn eigen favoriete tools gebruiken en op een eigen manier werken.

Vandaag werk ik in een onderneming waar software ontwikkeld wordt, en ook daar hoor ik de verhalen van onze developers dat er elk jaar wel weer nieuwe mensen bijkomen die de ontwikkeling van ons product even denken volledig overhoop te kunnen gooien omdat zij met de modernste trends mee zijn en onze codebase traag meebeweegt met nieuwe technologie.

Prachtig dat dev Y ineens iets in rust wil doen, maar daar heeft niemand anders in de firma iets aan, dus dat gaan we even niet doen. Zelfs bij ons op de ICT afdeling zien we dat soms wel eens. Mensen willen eigen tools binnen brengen en zijn dan kwaad omdat we neen zeggen en hen verwijzen naar de bestaande tools die hetzelfde kunnen doen maar op een andere manier. Spijtig dat je dat niet leuk vindt, en dien een aanvraag in voor jouw tool, motiveer die en we zullen zien of we omschakelen in de toekomst. Maar tot dan, sorry.

Want heb jij van de tools die jij wenst te gebruiken de licentievoorwaarden gelezen? Heb je naar de mogelijkse impact gekeken voor licentiekosten? Dataverwerking en vertrouwelijkheid? Onderhoudskosten? Ik trouwens ook niet, is mijn job niet. Daar heb ik legal en security voor. Zelfs tools die zeggen gratis te zijn voor eigen gebruik hebben soms zeer irritante gebruikersovereenkomsten voor bedrijven. Zo heeft (of had?) Oracle op VirtualBox een Personal Use License zitten. Je mag Vbox gebruiken, gratis, zonder beperkingen, zelfs in een bedrijfsomgeving zolang je het maar zelf installeert voor eigen gebruik. Toch is 1 van mijn vorige werkgevers daarmee bij Oracle in de problemen gekomen omdat men licentietechnisch toch niet in orde was. Leuk he, zo een licentie die op het eerste zicht duidelijke taal heeft.

Sissors schreef op dinsdag 16 september 2025 @ 19:09:
[...]

Ik vraag me sowieso af bij wat voor een bedrijven mensen hier werken. Waarbij met persoonsgegevens wordt gewerkt snap ik uiteraard direct dat je dat goed wil en moet afschermen. Maar ik krijg op Tweakers ook weleens het idee dat elke MKB systeembeheerder de handel verder wil dichttimmeren als bij de tech multinational waar ik werk.

Maar ja, dan is er beleid dat als iemand iets gevaarlijks als bijvoorbeeld Notepad++ wil installeren, dan moet je weer door 15 hoepeltjes springen om dat aangevraagd te krijgen. Oftewel dan ben je ook weer beter af om je eigen workaround te bedenken.

En voor de duidelijkheid waarmee ik ook begon: Ik snap prima dat afhankelijk van de situatie je een bepaalde hoeveelheid beveiliging wil hebben. En zelfs als er nou niet veel spannends wordt verwerkt, zal dat bij een werkgever altijd meer zijn dan op je thuis laptop. Maar onder de streep aan het eind van het jaar word ik afgerekend door mijn manager hoeveel ik heb gedaan. En als bij problemen IT niet verder komt als "tja dat is de policy", dan gaan mensen alternatieve oplossingen verzinnen. (En dat kan zoiets simpels zijn als van Chrome naar Firefox switchen, omdat IT opslaan van wachtwoorden heeft verboden in Chrome...).

Bij een bedrijf dat software levert aan sommige van 's werelds grootste productiebedrijven. Je wil niet dat data van die bedrijven ineens langs jouw bedrijf naar buiten glipt, want dan is het letterlijk boeken toe.

Als IT geen NPP toestaat, of niet toestaat dat je wachtwoorden opslaat in je browser dan moeten ze ook kunnen uitleggen waarom dat is en welke alternatieven je wel mag gebruiken. Een goede wachtwoordmanager bijvoorbeeld, waarbij de firma dan ook mag opdraaien voor de kosten er van. Al zou ik als IT zijnde dan toch ook een policy naar je Firefox duwen die ook daar het opslaan van wachtwoorden uitzet .

donkerlicht schreef op dinsdag 16 september 2025 @ 19:09:
[...]

Wanneer een organisatie mij wil hebbeb, staat juist het OS wel ter discussie. Ik wil namelijk gewoon met Linux kunnen werken. Anders werk ik er niet. Er zijn genoeg organisaties waar je zelf mag bepalen of je Windows, Mac of Linux gebruikt. Met alleen Windows of Mac doe ik niets voor je.

Juist de andere software (bijvoorbeeld Jetbrains, Eclipse of Visual Studio en pdf-lezer) conformeer ik mij aan. Mits het op Linux kan draaien.

En mochten Linux en mac nu nog eens dezelfde beheersmogelijkheden hebben als Windows, ik zou er nog niets op tegen hebben.

Maar dat is uiteraard ook iets dat je al zal weten na een eerste solicitatiegesprek en kan dus ook niet snel een breekpunt worden voor je achteraf.

MOOS schreef op dinsdag 16 september 2025 @ 11:25:
Steeds vaker maken medewerkers gebruik van (gratis) clouddiensten voor hun werk, zoals WhatsApp, WeTransfer of ChatGPT.

Binnen mijn organisatie merk ik dat er weerstand en onbegrip ontstaat zodra wordt aangegeven dat dit soort toepassingen een risico vormen.

Wat ik vaak zie gebeuren bij zulke schaduw-IT, is dat de oorzaak bij IT ligt (of management dat enorm treuzelt over beleid opstellen of maar halfbakken beleid opstellen). Geen tools bieden, of tools die gewoon zeer gebruiksonvriendelijk zijn. Of zijn de tools wel goed, maar worden ze op zo een manier aangeboden dat het een net-niet situatie oplevert.

Waar ik werk werd bijvoorbeeld Keepass aangeboden, maar die werd zo geïnstalleerd dat je bijvoorbeeld geen eigen Password Generator profiel kon gebruiken. Prima, als de standaard profielen wachtwoorden konden genereren die voldeden aan de eisen, maar zo een profiel werd dan weer niet ingeladen. En plugins om Keepass te koppelen aan browsers konden daardoor ook niet, dus toen ben ik maar naar de Portable versie gegaan waarin dat allemaal wel kon. Was dat de bedoeling? Misschien niet, maar ik liep ook geen risico dat ik mijn credentials per ongeluk verkeerd invulde (of per ongeluk mijn wachtwoord als username gebruikte).

Zoals veel bedrijven werken wij met Microsoft 365, inclusief de basisfunctionaliteit van Copilot. Toch staat men daar niet voor open: ze willen ChatGPT, zonder dit goed te willen of kunnen onderbouwen.

Hetzelfde geldt voor andere hard- en software. Voor notities hebben wij OneNote, maar medewerkers vragen om Evernote, Notion of een reMarkable tablet. De reMarkable (v1) tablets zijn niet geschikt voor zakelijk gebruik (geen MDM, geen encryptie, etc.), maar het managementteam schaft ze toch buiten de IT-afdeling om aan.

Uitleggen, uitleggen, uitleggen, en duidelijk uitleggen waarom het alternatief niet beschikbaar is.

• Faciliteer je uiteenlopende software om gebruikers tevreden te houden?

IT moet in eerste instantie vooral faciliterend zijn, maar soms moet het antwoord nee zijn, maar dan moet IT of management het ook uit kunnen leggen. De drempel om aanvragen te doen moet ook laag liggen, zodat gebruikers uitgenodigd worden om aanvragen te doen, en er duidelijk gecommuniceerd kan worden waarom tool X of Y niet kan, of dat er wel naar gekeken wordt of welke alternatieven er beschikbaar zijn.

• Of blokkeer je diensten zoals ChatGPT actief?

Je kan wel proberen het te blokkeren, maar gebruikers vinden altijd wel een weg, zeker als je alles dicht probeert te zetten, dan gaan ze manieren zoeken om het alsnog te kunnen doen, omdat als ze het eenmaal werkend hebben, ze wel de lusten hebben terwijl het misschien helemaal niet compliant is.

@Transportman, 1 van de problemen waar vele mensen niet blij mee zijn is dat een goedkeuringsprocess een lange doorlooptijd kan hebben. Bij mijn huidige firma mag je al snel op 3 a 4 weken rekenen, bij mijn vorige firma werd het zelfs uitgedrukt in maanden. Als je dan afkomt met een tooltje dat enkel jij wenst te gebruiken dan zal het antwoord, alsook de ervaring, al zeer snel negatief zijn.

De drempel voor aanvragen mag ook niet te laag liggen, want dan ga je enorm veel tijd steken in het gemotiveerd afwijzen van al die aanvragen. Want het begint al met een aanvraag waarbij meestal geen enkele goede motivatie zit van waarom men net dat stukje software wenst, dan moet je daar al achter aan gaan. Dan moet je gaan kijken welke software je eventueel al hebt die hetzelfde kan, dan terug naar de gebruiker en vragen waarom ze product X wensen terwijl Y al is goedgekeurd, als men dan toch doorzet weer met de juiste teams gaan samenzitten om na te gaan of het opportuun is om tijd te steken in die gevraagde tool. Dat kost ook weer tijd want de juiste mensen vastkrijgen is niet eenvoudig. En als dan uiteindelijk iedereen zegt dat ze de tool wensen kan je pas diensten als legal en security gaan lastigvallen want die zijn ook overbelast met alle andere werk.

En het is vooral dat wat we gebruikers duidelijker moeten maken. Het is niet een waardeoordeel van 1 persoon, maar net vele mensen die ernaar moeten kijken. Een nieuwe tool introduceren kost tijd en geld. En geen klein beetje.

En dan stuur je communicatie rond naar mensen waarom een tool verdwijnt, je motiveert dat, je legt uit waarom een tool die voorheen goedgekeurd was nu niet meer mag gebruikt worden. Je verwijderd die tool overal en wat zie je inderdaad onmiddelijk gebeuren? Een hele hoop mensen die een user install gaan doen ipv de system install die we voorheen aanboden. Kunnen we die ook weer beginnen verwijderen. En dat vind ik spijtig. Want daar leg je net uit aan de mensen waarom die tool niet veilig gebruikt kan worden, je motiveert dat en toch blijven mensen krampachtig vasthouden aan een tool die ze gewoon waren en brengen ze lievern hun job en het bedrijf in gevaar dan dat ze veranderen.

En daar heb ik spijtig genoeg niet te veel medelijden mee. Want ik ga mijn job niet op het spel zetten om iemand iets te laten gebruiken dat niet is toegestaan. En ja, dan zal ik kijken hoe we dat kunnen blokkeren.

@Gr4mpyC3t, die verleiding zal er altijd zijn. Daar is letterlijk niet veel aan te doen. Ik heb ook jarenlang aan de andere kant gezeten, als eindgebruiker, als iemand die shadow IT deed op een hele afdeling zelfs. Want dat krijg je natuurlijk ook.

Belangrijkste is dat communicatie enorm belangrijk is, dat de processen goed zijn ingeregeld, en eenmaal je op dat punt zit is het een kwestie van toepassen van de regels.

Er is een reden waarom ik heel graag iets als applocker zou introduceren in de firma. Veel werk om op te zetten, en er gaat enorm op gevloekt worden door velen, maar als dat eenmaal werkt is het wel gedaan met niet toegestane software te draaien. Want vriendelijk vragen zich aan de regels te houden heeft te weinig effect.

Blokker_1999 schreef op dinsdag 16 september 2025 @ 19:51:
[...]

Als IT geen NPP toestaat, of niet toestaat dat je wachtwoorden opslaat in je browser dan moeten ze ook kunnen uitleggen waarom dat is en welke alternatieven je wel mag gebruiken. Een goede wachtwoordmanager bijvoorbeeld, waarbij de firma dan ook mag opdraaien voor de kosten er van. Al zou ik als IT zijnde dan toch ook een policy naar je Firefox duwen die ook daar het opslaan van wachtwoorden uitzet .

Ik houd het even op alleen op deze reageren .

Ja we hebben Keepass. Met één of andere standaard plugin die gewoon veel beperkender is dan normale password manager in een browser. Sterker nog de IT handleiding verteld je dat je handmatig wachtwoorden vanuit Keepass moet kopieren naar je browser. Je dat werkt lekker...

En IT moet iets kunnen uitleggen? Dat zou een mooi utopie zijn ja .Het is beleid, en daar moet je het mee doen. (En voor de duidelijkheid, er zijn ook IT'ers bij ons die geweldig zijn, nadeel voor hun is dat met alle problemen we direct naar hun gaan en zoveel mogelijk ticketing overslaan). Maar volgens mij is de officiele reden omdat anders onze interne wachtwoorden bij Google uitkomen. Uiteraard kan je ook gewoon wachtwoord sync uitschakelen ipv de complete wachtwoord manager uitschakelen, maar tja. En laten we niet het erover hebben dat wanneer ik vanaf mijn privé laptop inlog op een webmail bijvoorbeeld, dat gaat met datzelfde wachtwoord in mijn Chrome browser...

Praktisch gezien hebben veel nog oudere laptops, van voor dit policy, en daar zijn wachtwoorden nog wel opgeslagen, en als je een wachtwoord moet aanpassen kan dat handmatig nog in de Chrome wachtwoord manager, hij kan alleen niks nieuws meer opslaan. Voor degene die wel een nieuwe laptop hebben is de oplossing uiteraard een stuk eenvoudiger: Of een andere browser gebruiken (wat ik nu doe), of simpelere wachtwoorden gebruiken. Geen hond gebruikt Keepass.