image

Juridische vraag: mag systeembeheer Dropbox verbieden?

woensdag 2 september 2015, 11:16 door Arnoud Engelfriet, 34 reacties

ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Bij ons bedrijf heerst een erg open cultuur, behalve bij onze systeembeheerders. Die zijn erg tegen gebruikers die zelf dingen installeren of eigen apparatuur aansluiten. Zo verbieden ze gebruik van Dropbox en het mailen van gegevens naar je privéadres, en dat wordt steeksproefgewijs gecontroleerd door een beheerder. Kan dat zomaar, mogen zij de regels maken?

Antwoord: Binnen een bedrijf maakt de directie de regels. Zij hebben daar grote vrijheid in. Als zij iedereen op Windows willen laten werken, heb je als Mac-fan toch echt pech. Vinden zij Dropbox stom, dan mag je geen Dropbox gebruiken hoe handig het ook is en hoe ongefundeerd hun reden om Dropbox te weigeren ook is.

De directie mag die regelmakende bevoegdheid delegeren, bijvoorbeeld naar de IT-afdeling. Dat hoeft niet heel expliciet te gebeuren, maar vaak zie je dat de directie überhaupt geen mening heeft over ICT en erop vertrouwt dat het systeembeheer in staat is de goede regels te maken.

Als het beheer dan weinig feeling heeft met de cultuur in het bedrijf, dan krijg je dus situaties als van deze vraagsteller. Streng beleid is begrijpelijk vanuit een beheer-achtergrond, en als je in de positie bent dat te mogen invoeren dan krijg je dat ook.

De handhaving van zulk beleid middels steekproeven is iets gevoeliger. Er mag niet zonder reden worden gesteekproefd in accounts of apparatuur van werknemers, ook niet als het werkgerelateerde bestanden of dingen betreft. Je loopt al heel snel tegen de privacy van de werknemer aan, zeker in een bedrijf waar een open cultuur heerst en het dus toegestaan is om privédingen te doen op je werkcomputer of met je werkaccount.

Op zijn minst moet er expliciet beleid zijn dat regelt wanneer accounts of apparatuur mogen worden doorzocht en welke waarborgen omtrent privacy er zijn. Dat beleid mag de directie aan de IT-afdeling laten, maar het moet er wel zijn. En als een bedrijf een open cultuur heeft, dan verwacht ik niet dat de directie snel zulk beleid wíl gaan maken. Het botst immers nogal met elkaar.

Een echte oplossing heb ik niet, behalve "ga eens met z'n allen op de hei zitten en verzin iets dat voor iedereen werkt". Je verschuilen achter beleid en security is natuurlijk dé manier om een bedrijfscultuur om zeep te helpen.

Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (34)
02-09-2015, 11:29 door PietdeVries
Het nadeel van dropbox en het mailen van bedrijfsdata naar je privéadres is dat het bedrijf totaal geen controle meer heeft over haar (gevoelige) data. Als je in de plantsoenendienst werkt is dat wellicht geen probleem, maar als je patiënten dossiers behandelt en 's avonds even thuis dingen wil doornemen dan zie ik wel een paar goede redenen om daar als bedrijf tegen te zijn.
Het zou de IT afdeling overigens wel sieren als ze uitleggen waarom iets niet toegestaan is in plaats van het alleen maar te verbieden of onmogelijk te maken. Regels worden beter nageleefd op het moment dat de gebruikers weten waarom ze er zijn...
02-09-2015, 11:29 door Reinder
@vraagsteller: Uit nieuwsgierigheid, voor welke doeleinden wil je/jullie Dropbox gebruiken en dingen e-mailen naar een prive-adres? Ik kan me goed voorstellen dat je misschien links naar interessante of relevante artikelen of documentatie en dergelijke e-mailt tussen je prive en je werk mail, het betreft dan in principe openbare informatie. Het nog niet gepubliceerde koersgevoelige jaarverslag emailen naar je hotmail account is misschien minder verstandig. Met iets als Dropbox vraag ik me af wat voor data je daar dan op wilt zetten. Ik denk dat het uitgangspunt van de beheerders niet verkeerd is gezien vanuit veiligheid e.d, Dropbox is niet de meest geschikte plek om gevoelige bedrijfsinformatie op te zetten natuurlijk. Als je er je mp3'tjes op zet zodat je die fijn overal kan luisteren is het misschien iets anders.
02-09-2015, 11:38 door Mozes.Kriebel
Dropbox o.i.d. is een potentieel datalek. Nuf said.
Er zijn heel veel alternatieven mogelijk, rigide IT-ers (met gebrek aan budget misschien, want informatie beveiliging is een sluitpost) zouden wellicht iets klantvriendelijker mogen zijn en de bal terugkaatsen naar de gebruikersorganisatie: wil je data beschikbaar hebben buiten kantoor(tijden), trek dan de portemonaie maar... 1 datalek met reputatieschade en je hebt een rock solid business case.
02-09-2015, 11:49 door Anoniem
Er zijn genoeg mogelijkheden om data veilig beschikbaar te stellen aan personeel. Wellicht wil het bedrijf dit niet.

Een "consumenten" oplossing zoals cloud storage en mail brengt de nodige risico's met zich mee. Een aanvaller kan data exfiltreren maar het ook inrichten als C&C kanaal. Daarom kan blokkeren nuttig zijn. Er dient echter wel beleid te zijn en bewustzijn bij het personeel.
02-09-2015, 12:01 door Anoniem
Het spijt me, maar het lijkt me dat:

-De gebruiker geen geavanceerde gebruiker is; er zijn legio legitieme redenen te bedenken om deze praktijken niet te willen, vóóral met het oog op gegevensveiligheid.
(Ook gebruikers zo min mogelijk zelf laten installeren zijn meer redenen voor dan tegen te bedenken.)

- Het beheer zal aangeven steekproeven uit te voeren, maar die zullen niet geheel/enkel op schering en inslag of het werpen van een dobbelsteen gebaseerd zijn.
Een slim systeembeheer welk tegen de in het artikel genoemde acties is, zal actief monitoren naar pogingen tot ssl/tunnel/proxygebruik en zal waarschijnlijk ook een uitvoer van non-whitelisted programma's bij laten houden. op basis van die gegevens is vervolgens makkelijk af te leiden welke machines/gebruikers de aandacht het meest verdienen.

De gebruiker die u benaderde zal hoogstwaarschijnlijk geprobeerd hebben om de regels van het systeembeheer te werken en ondervindt door middel van de 'steekproeven' nu wat de consequenties zijn.

De belangrijkste hint hiervoor is de regel dat er niet gemaild mag worden naar het privé-adres, het bedrijf heeft dus baat bij dat de bestanden/communicatie geheel in eigen beheer blijven (of een nog beter en vaker vergeten punt, ervaring met de mogelijke consequenties als hier niet zo hard op gehamerd wordt)... en dat heb jij als gebruiker binnen dat netwerk simpelweg te respecteren.

Zelf vind ik het toepassen van openbare clouds of andere bestandsoverdracht/hosting-oplossingen in bedrijfsmatige sfeer simpelweg uit den boze. De clouds worden veelal als 'makkelijke' (dus door luie gebruikers) backup of synchronisatie ingezet. Punt is, de gebruikers wie aan deze kant al een makkelijke oplossing kiezen zullen al helemaal geen zorg dragen voor de verdere bescherming van die gegevens. Voor het verplaatsen van data kan je altijd nog een usb-stick gebruiken, o.i.d. en dan vermijd je er meer problemen mee dan het gemak dat het veroorzaakt. Ook met het oog op iCloud-hacks, e.d. kan ik mensen alleen zeggen dat het hun eigen schuld is wanneer privé-(danwel om andere redenen gevoelige/belangrijke) gegevens op straat belanden. De voorspelbaarheid dat gebruikers van bepaalde diensten gebruik maken is hierin het grootste gevaar als we vervolgens ook kijken naar hoe 'zorgvuldig' die gebruikers ook zullen omgaan met het kiezen van wachtwoorden. En de kans dat één gebruiker op die manier het imago of de bedrijfsvoering op die manier kan aantasten weegt nou eenmaal zwaar.

Let; de systeembeheerder moet preventief met security-issues te werk gaan, hierdoor is 'gebruiksgemak' (zeker clouds en privemail wat duidelijk hier uit vandaan komt) simpelweg terecht een lagere prioriteit. In ieder geval in mijn ogen. Het is ook een wel héél typerende kwestie, clouddiensten en privémail op de werkcomputer...
02-09-2015, 12:23 door Anoniem
Laten we de vraag eens andersom stellen... Waarom zou je in vredesnaam Dropbox of eender welke cloud dienst willen gebruiken cq. als bedrijf toestaan op jouw apparatuur?
02-09-2015, 12:30 door Anoniem
Zelf een keer meegemaakt. Een gebruiker klaagt dat hij geen rechten had om zelf applicaties te kunnen installeren. Op de vraag hoe het zit met licenties, en dan met name omdat hij een bepaalde applicatie wilde gebruiken voor bedrijfsdoeleinden wat voor licenties regelmatig uitmaakt, was zijn antwoord: "Er staat gratis downloaden, dus het is gratis".

Binnen twee minuten de voorwaarden gevonden waar stond dat als bedrijf je voor die applicatie gewoon moet betalen. Naast security issues met gebruikers met veel rechten, zijn er ook nog andere problemen welke kunnen optreden.
02-09-2015, 13:11 door N4ppy
Gezien de europese wetgeving en de toekomstige meldplicht is het gebruik van dropbox of cloud prive email al snel een potentieel probleem als de data dan buiten europa terecht komt.

Ook zaken als bewaartermijn van gegevens is niet meer te beheersen aangezien de data niet meer te wissen is door de organisatie.

Maar gebruikers zijn creatief :)
02-09-2015, 13:55 door Anoniem
IT heeft volledig gelijk om dropbox te verbieden in een bedrijf. Dropbox en de rest van Internet heeft geen enkel recht of noodzaak om over interne bedrijfsstukken te beschikken of prematuur inzicht te krijgen in hetgeen wat het bedrijf ontwikkelt. Openbaring van interne stukken kunnen een bedrijf ernstige schade (soms miljoenen tot aan faillissement) toebrengen.

Als je nu eens zelf naar IT toestapt en vraagt hoe je het beste bestanden kunt uitwisselen, dan komt daar vast iets uit. Ik denk dat dat niet is gebeurt de vraag lezende.
02-09-2015, 22:34 door Rarsus
Alle goede argumenten ten spijt, zijn het stuk voor stuk argumenten die door systeembeheerders worden gegeven.

Waar het volgens mij om gaat is de vraag of het mag (antwoord hierop door A. was 'ja' vwb het opstellen van de regels en 'mwa' vwb de steekproeven) en of het wenselijk is.

In een open organisatiecultuur is het wederzijds respect en vertrouwen in professionaliteit van belang. Door het krampachtig vast te houden aan zelfopgelegde regels, blijkbaar zonder deze helder te motiveren, creëer je een gesloten subcultuur (de iT afdeling. Iedere organisatie deskundige kan uitleggen dat dit niet bevordelijk is voor het wederzijds vertrouwen.

Het gaat, als de vraag goed wordt gelezen, dan ook niet alleen om dropbox, maar om een veel bredere kloof tussen IT en de gebruiker. Zoals Arnoud dan ook terecht aangeeft: een heidagje/weekje/maandje (afhankelijk van de schijnbare tegenstellingen) zou nuttig kunnen zijn.

-R
02-09-2015, 22:34 door Rarsus
[Verwijderd]
02-09-2015, 22:38 door Anoniem
"Als het beheer dan weinig feeling heeft met de cultuur in het bedrijf, dan krijg je dus situaties als van deze vraagsteller. "

Misschien heeft de vraagsteller wel weinig feeling met de cultuur in dat bedrijf. Een cultuur van beschermen van klantgegevens ten koste van enige beperkingen bv. Zouden meer bedrijven een voorbeeld aan moeten nemen.
02-09-2015, 23:55 door Anoniem
Ik heb last van it maar ben er ook blij mee. Net zoals van leveranciers, klanten, etc.

In mijn bedrijf is alles beschermd...
- whitelist internet
- whitelist mail
- user rechten
- geen USB, removable media
- geen telefoon, camera, ... Mits company phone met policy....
- access cars soms card + code
- geen pen / papier mits tracking document, nummering, schredder procedure, ...
- nog van alles

Kan dat, ja.
Moet dat, ja want wij gaan om met gevoelige info
Ben ik privé of zakelijk bezig? Dus, ik ben een user, ik moet dingen doen en ik kan alles doen wat ik moet doen, daar krijg ik dan weer salaris voor. Soms is het vervelend want is pen en papier best handig maar een tablet werkt best goed als alternatief.

Kortom, als je een god mode it afdeling hebt en geen goed management team dan zuigt het, in een ander geval doet it wat moet van het management team en legt dit team zijn medewerkers door middel van policies uit wat, waarom, hoe uitvoeren, hoe controle erop.

Dus... Ja het is it, nee het is niet it, eigenlijk hangt dat dus af van je management team, altijd ;)
03-09-2015, 07:16 door karma4
Die bredere kloof is een veel wezenlijker probleem.
ICT is niet een doel op zich maar een hulpmiddel ondersteuning voor de bedrijfsvoering.

Met de desinteresse door de top heb je een heel slechte beginsituatie. Dan verwordt ICT tot een lastig iets wat vervolgens enkel gezien wordt als een kostenpost. Ben je als gebruiker aangewezen op ICT dan ga je heel veel zelf doen.

Gegevensbeveiliging is een bedrijfsbelang, niet een ICT feestje. De houding: "oei wat zijn de gebruikers dom" is niet een best uitgangspunt voor samenwerking.
03-09-2015, 08:03 door Anoniem
Door karma4: Die bredere kloof is een veel wezenlijker probleem.
ICT is niet een doel op zich maar een hulpmiddel ondersteuning voor de bedrijfsvoering.

Met de desinteresse door de top heb je een heel slechte beginsituatie. Dan verwordt ICT tot een lastig iets wat vervolgens enkel gezien wordt als een kostenpost. Ben je als gebruiker aangewezen op ICT dan ga je heel veel zelf doen.

Gegevensbeveiliging is een bedrijfsbelang, niet een ICT feestje. De houding: "oei wat zijn de gebruikers dom" is niet een best uitgangspunt voor samenwerking.

Het voorkomt echter ook een heleboel zwakke schakels wanneer je er vanuitgaat dat niet elke gebruiker een geweldige gebruiker is. Dat hier überhaupt dropbox ipv bijvoorbeeld OwnCloud of een gewone FTP-server genoemd wordt toont ook richting daadwerkelijk geïnteresseerden hoeveel conversatie hier over heeft plaatsgevonden... Geen.

Tevens is het probleem niet (alleen) desinteresse vanuit de top, maar net-zogoed de gebruiker die (normaliter, lijkt dit) elke it-regel als obstakel vergelijkbaar met een boom op een fietspad lijken te zien, terwijl het zou schelen als de gebruiker het als een dranghek kan zien en zich dan ook afvraagt wáárom dat dranghek er in hemelsnaam staat.
Nee, in plaats daarvan wordt er normaliter enkel gedramt dat zij het belangrijk vinden dat iets willen gebruiken om de reden 'gemak' zonder te kunnen verstaan dat er net-zogoed motivaties zijn om diezelfde dingen per-definitie niet toe te staan.
Sterker nog, van alle personen in dit hele proces mogen we toch verwachten dat de IT'er een "net zo makkelijke maar betere" oplossing kan vinden, maar daar wordt zelden naar gevraagd door deze zelfde gebruikers. Deze tegenstrijdigheid maakt, inderdaad, dat die gebruiker door IT'ers bestempeld zal worden als 'Dom'. Maar in praktijk zijn ze 'gewoon' gedesinteresseerd en egoïstisch, maar als je ze dat durft te vertellen, dan ben jij ineens weer de boeman en is het hek van de dam...
03-09-2015, 08:21 door Anoniem
Vertrouwen is een goed ding maar als je echt op safe wil spelen geef je gebruikers geen toegang tot de lokale dns en laat je dit alleen via je eigen dns gaan, zo filter je dingen zoals dropbox eruit. Let wel dat het filteren een dns blokkade is en niet gaat zitten neuzen van wie dropbox probeert te gebruiken imho privacy schending.
03-09-2015, 09:47 door Anoniem
Ik denk dat dit meer een tekortkoming is aan een capabel management, omdat IT krampachtig probeert om de security te waarborgen
management hoort policy ‘s te maken wat wel en niet mag en niet IT, deze heeft hier in alleen een adviserende en uitvoerende rol

Dit creëert conflicten in een bedrijf die onnodig zijn als management goed optreed.

Aan de andere kant vind ik dat IT moet luisteren naar de gebruiker en hiervoor een secure alternatief aanbieden, wat wel volgens 'bedrijfspolicy ‘is.
03-09-2015, 09:54 door mcb - Bijgewerkt: 03-09-2015, 09:59
Door karma4: Die bredere kloof is een veel wezenlijker probleem.
ICT is niet een doel op zich maar een hulpmiddel ondersteuning voor de bedrijfsvoering.

Met de desinteresse door de top heb je een heel slechte beginsituatie. Dan verwordt ICT tot een lastig iets wat vervolgens enkel gezien wordt als een kostenpost. Ben je als gebruiker aangewezen op ICT dan ga je heel veel zelf doen.

Gegevensbeveiliging is een bedrijfsbelang, niet een ICT feestje. De houding: "oei wat zijn de gebruikers dom" is niet een best uitgangspunt voor samenwerking.
Je hebt hier zeker een punt maar vergeet niet dat die policies er om een reden zijn.
Paar voorbeelden:
- Hoe vaak lees je niet in de media dat iemand bedrijfsgevoelige/vertrouwelijke info op een stick heeft gezet (tegen de regels in) en dan die stick verliest?
- Er zijn bij ons user geweest die TeamViewer, LogMeIn e.d. op hun pc hadden gezet zodat van buitenaf zonder lokale userinteractie het interne netwerk wordt bereik. Een security hole waar je U tegen zegt.
- Bij een eerdere werkgever hadden wij: pc's gestandaardiseerd, adminrechten weggenomen (alleen toegestaan bij uitzondering en op aanvraag), en allerlei beperkende policies ingesteld. Het aantal helpdesktickets nam daarna drastisch af. Dusdanig dat de IT afd. met meer dan de helft kon worden ingekrompen, dus kostenbesparing (managment blij), en de users hoefden niet om de haverklap IT te bellen.

Het scheelt natuurlijk dat die opdracht van managment kwam en wij daar input over gaven.
Ook is er met de users gecommuniceerd over hoe, wat en vooral waarom. Na enig gemor in het begin, zagen zij ook wel dat het zo beter was. En als users iets wilden konden altijd bij ons terecht en konden we per geval besluiten om iets wel of niet toe te staan.

Dus als je het als IT goed wilt doen:
- regels: ja. het is immers noodzakelijk
- starre houding: nee.
- communiatie naar de users


(edit: typo)
03-09-2015, 10:09 door Anoniem
Vrijheid van handelen kent een relatie met het dragen van de gevolgen, wanneer deze twee op dezelfde plek belegd zijn zit je goed. Alles moet mogen; maar de risico's moeten gedragen worden door de afdeling/directie die het risico neemt.

Dropbox open? Prima, overziet de organisatie de risico's? zijn die acceptabel?.... dan open die spullen....

Maar bijna altijd zijn het gebruikers die bepalen wat kan en de ICT de schuld geven als het misgaat... het onbegrip ontstaat eerder dan bij de dropbox blokkade. de bedrijfsinformatie is veelal niet van de ICT organisatie, maar vraag je ICT om lekken te voorkomen, accepteer dan hun maatregelen ... wil je als afdeling/directie daar zelf over beschikken? prima, geef op wat acceptable use is en laat dat handhaven door ICT... menig beheerder dankt een dergelijke directie op de blote knieën..

Wat ik jammer vind is dat deze discussie op de werkvloer speelt tussen partijen die hier niks over te zeggen hebben.
03-09-2015, 11:36 door Anoniem
Een eeuwenoude discusse.

Met alle respect wat uitgangspunten:

- de eindgebruikersgroep is niet ter zake kundig en kan de gevolgen niet overzien, daarom zijn er opgeleide mensen die dat wel kunnen. Helaas is het met ICT net als met voetbal, iedereen heeft een mening en mengt zich in de discussie;

- de management-, directieleden en andere beleidsmakers kunnen ook niet betrapt worden op enige diepgaande kennis betreft IT-middelen en security;

- De "beleidsmakers" binnen een organisatie laten zich in meer of mindere mate adviseren door deskundigen op het gebeid van ICT en hebben aan de andere kant de druk van de eindgebruiker. In de praktijk komt het er vaak op neer dat adviezen worden genegeerd en "alles mogelijk" moet zijn (Ook omdat de beleidsmakers zelf ook op de eerste plaatszelf eindgebruiker zijn MET BESLISSINGSBEVOEGDHEID);

Gevolg:
Bedrijfsnetwerken zijn niet goed afgeschermd. Immense kosten worden besteed aan ICT om e.e.a. nog zo veilig mogelijk te houden binnen de mogelijkheden en bevoegdheden die daarvoor zijn geformuleerd binnen een bedrijf/organisatie.

Vragen:
Wie is verantwooordelijk voor beveiliging ?
Wie voelt zich vernantwoordelijk voor beveiliging van data ?
Wie schuift na een incident de verantwoordelijkheid op de ICT af ?

Een voorbeeld:
BYOD. Mag gebruikt worden binnen het netwerk(beleid directie). Via hotmail wordt een ransomware binnengehaald en geopend. Door toegang tot gedeelde mappen op de afdeling raakt de boel besmet.
Waarneming:
1. De gebruiker voelt zich lullig, maar ja had ICT het maar moeten blokken;
2. Beleidmakers komen verhaal halen bij de ICT afdeling, hoe kon dit gebeueren ?;
3. ICT-ers( die zich daarvoor verantwoordelijk voelen) ruimen de puinhoop op, redden wat er te redden valt met de hen gegunde middelen;
4. Als de rust is weergekeerd komt de volgende eindgebruiker met de vraag:

Vraag: Bij ons bedrijf heerst een erg open cultuur, behalve bij onze systeembeheerders. Die zijn erg tegen gebruikers die zelf dingen installeren of eigen apparatuur aansluiten. Zo verbieden ze gebruik van Dropbox en het mailen van gegevens naar je privéadres, en dat wordt steeksproefgewijs gecontroleerd door een beheerder. Kan dat zomaar, mogen zij de regels maken?

En de cyclus begint opnieuw. Gewoon omdat het kan.
03-09-2015, 14:23 door Anoniem
@ Vandaag, 11:36 door Anoniem

Helemaal mee eens!
03-09-2015, 15:56 door Anoniem
"Wat was er eerst; De fouten-makende gebruiker... Of de preventieve systeembeheerder?"
03-09-2015, 21:04 door William Jansen
Nee, bij gebruikmaking van een goede transparante encryptie voor Cloud Storage zal de data voordat hij op Dropbox of gelijkwaardige storage platformen komt al beschermd zijn en onleesbaar voor niet ge-autoriseerden.
04-09-2015, 00:36 door [Account Verwijderd]
Veiligheid en gebruikersgemak zijn helaas vaak twee conflicterende eigenschappen.

Als ICT-er ben je *verantwoordelijk* voor het welzijn van de data / infra / systemen en maar al te makkelijk wordt er een opt-in besloten . Niets mag, tenzij.

Als werknemer ben je verantwoordelijk voor het verdienen van zoveel mogelijk Euries en is het maar al te makkelijk om een opt-out te eisen. Ik *moet* alles, tenzij.

Het afwegen van deze opties is voor management, het communiceren van deze afwegingen ook.

Werknemers die roepen dat ICT hun god-status gebruiken om "gebruikertje te pesten" en ICT die roept dat werknemers "dom zijn" is vaak het gevolg van het totaal ontbreken van duidelijke richtlijnen naar beide partijen.


Bij ons bedrijf heerst een erg open cultuur, behalve bij onze systeembeheerders
Daar ligt het pijnpunt. Het ligt niet zozeer aan de systeembeheerders, maar aan het gebrek aan communicatie vanaf boven waarom bepaalde zaken zo geregeld zijn. Don't blame the messenger.

(En nee, the C in ICT betekent niet dat ze goed kunnen communiceren naar mensen. Dat faalt maar al te vaak)
04-09-2015, 06:07 door Anoniem
Regelgeving mbt bedrijfsinformatie is helemaal niks mis mee.
Daarnaast heeft beleid niks te maken met cultuur. Het steeksproefgewijs controlleren is zeker niet verboden, de laptop / computer van de betreffende gebruiker is namelijk nog steeds eigendom van het bedrijf.

IT kan het nog veel vervelender maken dmv het implementeren van tooling om data lekken te voorkomen.

Blijkbaar beseft deze gebruiker niet wat de consequencies zijn van zijn / haar gedrag en denkt dat met het excuus van een open cultuur alles maar mogelijk moet zijn.
04-09-2015, 10:39 door Anoniem
Dropbox handig?
Patriot act maybe guys?

Bedrijfsgegevens moet je nooit buiten je domein hosten als ze enkel voor bv specifieke klanten zijn of voor internal use only.

Ik gok dat de vraag van een marketing of sales manager af komt.
Blijkbaar is conform de regels werken lastig voor mensen.

Maar dit is ook de admin zijn schuld deels, hij kan natuurlijk makkelijk iets op poten zetten wat intern gehost kan worden in een DMZ bv om zo toegang voor externe te regelen.
04-09-2015, 11:31 door karma4
Door NedFox:
Het afwegen van deze opties is voor management, het communiceren van deze afwegingen ook.
- Werknemers die roepen dat ICT hun god-status gebruiken om "gebruikertje te pesten" en
- ICT die roept dat werknemers "dom zijn" is vaak het gevolg van het totaal ontbreken van duidelijke richtlijnen naar beide partijen.
Prima, mee eens, Die is heel bondig neergezet.
Ik zie meer reacties in die richting, dat is goed. Als dat problem erkend wordt, draagvlak heeft , kan er wat aan gedaan worden.


(En nee, the C in ICT betekent niet dat ze goed kunnen communiceren naar mensen. Dat faalt maar al te vaak)
https://nl.wikipedia.org/wiki/Informatietechnologie De C komt van teleCommunicatie, de fysieke netwerken (kabels) routers en al het andere zeer technische (beta vak).

Dat communicatie en netwerken in een poging van mensen die met elkaar via praten / overleggen / vergaderen (alpha) elkaar proberen te begrijpen een heel andere betekenis heeft is een duidelijk gevalletje van andere werelden,

(context object metadata) https://nl.wikipedia.org/wiki/Homoniem is niet gelijk aan synoniem
04-09-2015, 11:32 door Anoniem
It's all about awareness:
Als iedereen Cloud voortaan eens gaat aanduiden als "De-computer-van-iemand-anders", dan is er heel veel transparantie naar eindgebruikers en wordt de kloof tussen beheerders en eindgebruikers een stuk kleiner. Dit helpt heel veel als het gaat om het de discussie of bedrijfsinfromatie opgeslagen mag worden op "De-computer-van-iemand-anders". Waar staat die computer van iemand anders eigenlijk (dat hoeft helemaal niet in Nederland/EU te zijn)? En wie is die iemand anders? En heeft die iemand anders wellicht toegang tot mijn gegevens? En wat doet die iemand anders met mijn gegevens?........
Case closed.
04-09-2015, 19:46 door Anoniem
@ 02-09-2015, 23:55 door Anoniem

Dit is een droombaan voor mij als systeem/netwerkbeheer. Dat noem ik SECURE. Je ben vast zeer gelukkig. niemand mag onverantwoord met de burgergegevens omgaan.

Je systeem/netwerkbeheerder(s) hebben van mij 10 sterren verdient.

mvg,

Fraidon.
07-09-2015, 09:20 door Anoniem
@Fraidon : Volgens mij snap je het niet helemaal: IT hoort de regels niet te maken, dat hoort het management/directie te doen. IT is uitvoerend, en als IT het helemaal potdicht heeft zitten omdat management/directie dat wil, dan hebben ze een goede job gedaan, verdienen complimenten, maar net zoveel complimenten en lof verdient de directie/management omdat zij inzien dat dit voor hun toko nodig is.

Een IT afdeling die zelfstandig besluit om alles potdicht te gooien zonder dat management/directie hier achter staat hoort een probleem te hebben met management/directie: zij zijn verantwoordelijk voor bedrijfscultuur, wat wel/niet moet kunnen etc. En als je het als IT afdeling het daar niet mee eens bent: zoek de discussie op, kom je er niet uit: ga iets anders zoeken, want dan pas je niet bij elkaar.

Klinkt allemaal hard, maar ik heb een aantal keer bij/met IT afdelingen gewerkt die menen de bedrijfscultuur op het gebied van IT wel even te kunnen bepalen buiten de directie om. Dat leidt tot een totaal niet prettige werksfeer, en dat is dus niet goed. IT is een middel, geen doel. En een middel moet je gebruiken op een prettige manier. Als directie daarin het risico wil lopen door Dropbox toe te staan: be my guest. Als ik het er als IT niet mee eens ben kan ik adviseren, ik kan het ontraden, ik kan alternatieven aandragen (de vraag achter de vraag proberen te begrijpen), maar ik kan niet de regeltjes maken.

Directeur, jij wilt onbeschermd internet op de werkplekken? Prima: dit zijn de risico's; als alternatief heb ik... Geen optie? Hier tekenen dat je ervan op de hoogte bent. En o ja, volgende week krijg je mijn brief dat ik iets anders ga doen, want hier wil ik niet langer deel van uitmaken.
07-09-2015, 11:48 door Patio
Piet schreef: "Regels worden beter nageleefd op het moment dat de gebruikers weten waarom ze er zijn..."

Was het maar waar. Iedereen weet dat je niet door rood licht mag lopen of rijden. Het eerste is een stukje zelfbescherming en je zal er niet snel voor aangehouden worden. Met het tweede wordt het anders. Daarmee ben je een gevaar op de weg en kan je grote schade aan andermans goed en gezondheid veroorzaken.

Zo is het met privacygevoelige informatie ook. Je kan iemand maken en breken als je weet aan welke lichamelijke of geestelijke ziekte zij of hij lijdt. Als je in dat werk zit kan een weldenkend mens op de klompen aanvoelen waarom je daar zorgvuldig mee om moet gaan en dat niet letterlijk op straat laten vallen.

Helaas zijn er mensen die zich daar minder van bewust zijn of zelfs moedwillig de regels overtreden om een concurrent de das om te doen voor eigen gewin.
10-09-2015, 11:37 door [Account Verwijderd]
[Verwijderd]
14-09-2015, 10:47 door Anoniem
Dat de IT diensten als Dropbox verbiedt is zeer begrijpelijk. Bedrijfsgegevens moeten immers geheim blijven en dat hier op gecontroleerd wordt is daarom logisch. Wij gebruiken hier zelf vBoxxcloud voor. afkomstig van een Nederlands bedrijf die zich extra inzet als het gaat om privacy en activiteitenbeheer. het werkt hetzelfde als Dropbox, maar dan overzichtelijker en staan je gegevens wel in Nederland. Zie www.vboxxcloud.nl
21-09-2015, 20:49 door Anoniem
Ik begrijp dat Dropbox wordt verboden. Wat ik niet begrijp is dat een ICT afhankelijk bedrijf geen eigen cloud heeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.