Merendeel bewindspersonen gebruikt soms privémail voor werk
Het merendeel van de bewindspersonen maakt soms gebruik van privémail voor werkgerelateerde zaken, bijvoorbeeld om een document te bewerken of te printen, zo meldt minister Bruins Slot van Binnenlandse Zaken. Ook is het voorgekomen dat een niet werkend zakelijk apparaat of een technische beperking aanleiding was een vergaderlink of document door te sturen naar het privé-emailadres.
Verschillende partijen in de Tweede Kamer hadden de minister om opheldering gevraagd over het gebruik van privémail en privé chatapps door ministers en staatssecretarissen. Dit naar aanleiding van minister Hugo de Jonge die tijdens de coronacrisis zijn privémail voor communicatie met ambtenaren gebruikte en hier pas kortgeleden mee stopte.
Volgens Bruins Slot geeft het merendeel van de bewindspersonen aan dat zij incidenteel, onder meer in de beginfase na hun beëdiging, hun privémail gebruiken. "Zij melden dat ze dit bijvoorbeeld doen om een document te bewerken of uit te printen, een bericht cq uitnodiging die op hun privé mail is binnen gekomen door te sturen naar een zakelijk account (met name hun secretariaat), agenda- of administratieve aangelegenheden die relevant waren voor de privé agenda te ontvangen vanaf het werk-mailadres", aldus de minister.
Chatapps
Verder blijkt dat twaalf bewindspersonen gebruik hebben gemaakt van privé-chatapps voor het werk. Op advies van hun ministerie hebben alle bewindspersonen van het kabinet een door het ministerie verstrekte telefoon genomen. Bruins Slot merkt op dat het telefoonnummer dat de bewindspersonen voor hun aantreden gebruikten in hun bestuurlijk netwerk bekend is.
"Zij worden via die route aangezocht in hun functie als bewindspersoon, ook via een berichtenservice. Indien de inhoud van deze berichten daarvoor in aanmerking komt, is deze aangeboden ter archivering", voegt de minister toe. Ze merkt op dat drie bewindspersonen hebben aangegeven dat zij incidenteel gebruik hebben gemaakt van privé-chatapps. Redenen hiervoor zijn onder andere een defecte telefoon of slecht bereik van de zakelijke telefoon, meldingen over nieuwsberichten of bijgeplaatste stukken in de zakelijke omgeving.
Geen beveiligingsincidenten waargenomen
De ministeries hebben Bruins Slot laten weten dat er met betrekking tot het gebruik van privémail en chatapps geen beveiligingsincidenten zijn waargenomen. Ook zegt ze dat er geen aanleiding is om aan te nemen dat documenten niet zijn gearchiveerd. Kamerleden waren bang dat door het gebruik van privémail en chatapps bepaalde documenten niet via bijvoorbeeld een Wob-verzoek zouden kunnen worden opgevraagd.
Motie
Vanwege het gebruik van privémail door De Jonge hadden de SP, PVV en Partij voor de Dieren recentelijk een motie ingediend waarin ze het kabinet opriepen om het ministers en staatssecretarissen te verbieden om hun privémail voor werk te gebruiken. In het Handboek voor bewindspersonen staat op dit moment dat het gebruik van privémail of chatapps voor werk ernstig wordt ontraden, maar is het niet verboden.
"In de praktijk kunnen zich situaties voordoen waarbij van de voorgeschreven werkwijze wordt afgeweken. Het is gebruikelijk dat mensen naast werk-apparaten ook privé-apparaten hebben. Er kan een praktische reden zijn waarom een zakelijk bericht of uitnodiging die op een privémail of berichtenservice is binnengekomen doorgestuurd wordt naar een zakelijk account of vice versa. Voorts kan het in noodgevallen voorkomen dat zakelijk- en privégebruik vermengen", reageert de minister op de motie.
Afsluitend stelt ze dat naar aanleiding van eerder gestelde Kamervragen in het kabinet nog eens is bevestigd dat alleen in uitzonderingsgevallen gebruik kan worden gemaakt van privémail en chatapps voor zakelijk gebruik.
Reacties (20)
Hoezo geen beveiligingincidenten?
Moment dat je gebruikers zich niet houden aan de beveiligde en gemonitorde middelen van communicatie die zijn vastgelegd in beleidsvoering en werknemers overeenkomst, heb je te maken met een beveiligingincident.
Of het een datalek betreft dat moet per geval bekeken worden maar menig bedrijf zou over gaan tot reprimande en aantekening bij HR.
Dat is hetzelfde dat een gebruiker een corporate malwarescan zou tegenhouden in een byod situatie. Er hoeft geen malware gevonden te zijn om zo situatie te zien als een beveiligingincident je vormt namelijk een verhoogd risico voor het bedrijf op dat moment.
Walgelijk hoe de situatie weer wordt gebagatelliseerd.
Moment dat je gebruikers zich niet houden aan de beveiligde en gemonitorde middelen van communicatie die zijn vastgelegd in beleidsvoering en werknemers overeenkomst, heb je te maken met een beveiligingincident.
Of het een datalek betreft dat moet per geval bekeken worden maar menig bedrijf zou over gaan tot reprimande en aantekening bij HR.
Dat is hetzelfde dat een gebruiker een corporate malwarescan zou tegenhouden in een byod situatie. Er hoeft geen malware gevonden te zijn om zo situatie te zien als een beveiligingincident je vormt namelijk een verhoogd risico voor het bedrijf op dat moment.
Walgelijk hoe de situatie weer wordt gebagatelliseerd.
08:13 Door Anoniem: Hoezo geen beveiligingincidenten?
Er staat:
"geen beveiligingsincidenten waargenomen."
Dat is wat anders dan dat er geen beveiligingincidenten zouden zijn geweest.Dus misschien waren er wel incidenten, maar het is niemand nog opgevallen tot nu toe.
Maar we kennen natuurlijk allemaal dit verhaal nog wel:
https://nos.nl/artikel/2140203-de-e-mails-van-clinton-hoe-zit-het-ook-alweer
Overheidszaken horen niet thuis op de privé-mail,
of er moet werkelijk absoluut sprake zijn van een noodgeval, dat niet op een betere manier is op te lossen.
Simple as that.
Gevalletje van het ene prefereren en toch het andere doen.
Wel zo handig als je een later wob-verzoekje wil kunnen negeren.
Dit zijn de leuke dingen die vanover de Atlantic zijn komen overwaaien.
Alles wat hen niet uitkomt is fake news of niet relevant.
Wat er niet is, kan je later de k*nt niet kosten.
Wel zo handig als je een later wob-verzoekje wil kunnen negeren.
Dit zijn de leuke dingen die vanover de Atlantic zijn komen overwaaien.
Alles wat hen niet uitkomt is fake news of niet relevant.
Wat er niet is, kan je later de k*nt niet kosten.
Toen iedereen in Nederland alleen een vaste telefoon had, had je dit probleem veel minder. Je partner kon dan zeggen: "Wil je niet op dit privé nummer bellen". De meeste mensen hadden voor de doorbraak van de home computer niet eens een computer thuis. En zeker geen internet. Hoe deden alle mensen dat toen? En wat kan het huidige kabinet hiervan leren?
Zitten er geen bewindspersonen met verstand van geschiedenis in het kabinet? Als je niet vooruit wilt kijken, kijk dan tenminste naar het verleden.
Zitten er geen bewindspersonen met verstand van geschiedenis in het kabinet? Als je niet vooruit wilt kijken, kijk dan tenminste naar het verleden.
Door Anoniem: Toen iedereen in Nederland alleen een vaste telefoon had, had je dit probleem veel minder. Je partner kon dan zeggen: "Wil je niet op dit privé nummer bellen". De meeste mensen hadden voor de doorbraak van de home computer niet eens een computer thuis. En zeker geen internet. Hoe deden alle mensen dat toen? En wat kan het huidige kabinet hiervan leren?
Ik vind dit niet zo relevant. Je kunt bij alles wel zeggen "ja maar vroeger konden we ook leven en toen hadden we geen X"maar dat soort vastgeroest gedrag daar hebben we niets aan.
Waar het in dit geval om gaat is niet "wil je me niet op dit nummer bellen" maar "de werkgever heeft standaards opgesteld
voor beveiliging en die geimplementeerd, we vinden die lastig, dus gebruiken we onze prive spullen".
Dit zou op zich een goede les moeten zijn voor veel mensen die hier keer op keer declameren dat alleen de beste
beveiligingen goed genoeg zijn om toegepast te worden. Je kunt hier uit leren dat als je de beveiling heel goed maakt
je systeem zelf wel heel veilig is of lijkt, maar dat de informatiestromen eromheen gaan lopen en de informatie dus
nog steeds onveilig is.
Denk daar eens aan als je je passwordzinnen van 20 tekens, je 2nd factor authenticatie met externe sleutelhanger,
je screensaver die na 30 seconden erop springt, enz enz bedenkt en invoert. Je DENKT wellicht dat je goed bezig
bent, maar misschien bereik je wel heel iets anders dan je denkt.
Door Anoniem: Toen iedereen in Nederland alleen een vaste telefoon had, had je dit probleem veel minder. Je partner kon dan zeggen: "Wil je niet op dit privé nummer bellen". De meeste mensen hadden voor de doorbraak van de home computer niet eens een computer thuis. En zeker geen internet. Hoe deden alle mensen dat toen? En wat kan het huidige kabinet hiervan leren?
Toen lieten ze aktentassen met stukken wel eens in de trein liggen. (of in de trekschuit, wellicht).
Incidenteel gebeurt dat nog steeds .
Zitten er geen bewindspersonen met verstand van geschiedenis in het kabinet? Als je niet vooruit wilt kijken, kijk dan tenminste naar het verleden.
Maar dat soort nostalgisch gezeur is dat - gezeur. In een tijd waarin _alles_ traag was kon 'men' op 'traag' werken.
Een gedeputeerde die met de trekschuit naar Friesland moest om te overleggen was ooit normaal .
Maar nu als _enige_ werken op briefpost en trekschuit snelheid zet je gewoon gigantisch op achterstand .
Als het belangrijk is , wacht de rest van de wereld NIET op die eenling met 9-5 werktijden en de secretaresse die de e-mail uitprint en opstuurt .
Nu even de huisbediende de gaslampen laten schoonmaken, en de kolenboer een paar mud antraciet laten bezorgen.
Zo deden ze dat ooit ook.
30-04-2022, 16:50 door
karma4
Door Anoniem: Toen iedereen in Nederland alleen een vaste telefoon had, had je dit probleem veel minder. Je partner kon dan zeggen: "Wil je niet op dit privé nummer bellen". ....
Met die vaste lijn was er geen onderscheid tussen privé en werk. De persoon werd benaderd. Waar zit je historisch besef.
Door Anoniem: .....
Overheidszaken horen niet thuis op de privé-mail, of er moet werkelijk absoluut sprake zijn van een noodgeval, dat niet op een betere manier is op te lossen. Simple as that.
De bewindspersoon kent geen onderscheid in persoon tussen werk en privé. Het is geen duplicaat robot die je inzet.Overheidszaken horen niet thuis op de privé-mail, of er moet werkelijk absoluut sprake zijn van een noodgeval, dat niet op een betere manier is op te lossen. Simple as that.
Het is pas recent dat de apparatuur goedkoop genoeg is om dubbel aanwezig te hebben.
Nog steeds blijft de privé omgeving vermengd, dat is in de huidige wob als sleepnet ook zo bepaald. Als we nu de wobs zouden beperken to overheids mail en overheis offciële verslagen (geen notities) is het dan beter?
De ICT afdelingen moet eens realiseren dat ze een faciliterende rol vervullen. Wanneer de ICT niet goed is ingeregeld, dan gaan mensen andere oplossingen bedenken om tot hun doel te komen.
Ik loop al jaren tegen rechtlijnige ICT-ers aan die 'goede service' niet snappen.
Ik loop al jaren tegen rechtlijnige ICT-ers aan die 'goede service' niet snappen.
Door Anoniem: Toen lieten ze aktentassen met stukken wel eens in de trein liggen. (of in de trekschuit, wellicht).
Incidenteel gebeurt dat nog steeds .
Incidenteel gebeurt dat nog steeds .
Zoals het notitieblok van een onbekend gebleven onderzoeker van Deloitte, met aantekeningen over Sywert van Lienden en zijn kornuiten. Dat werd vergeten in de trein. Een maand later werd het door de eerlijke vinder geretourneerd. :-)
https://www.security.nl/posting/729606#posting731335
Door Anoniem: Maar dat soort nostalgisch gezeur is dat - gezeur. In een tijd waarin _alles_ traag was kon 'men' op 'traag' werken.
Een gedeputeerde die met de trekschuit naar Friesland moest om te overleggen was ooit normaal .
Een gedeputeerde die met de trekschuit naar Friesland moest om te overleggen was ooit normaal .
Daar heeft de overheid couriersdiensten voor. Is nog superveilig ook. Geef de courier een pistool mee en je kan er zelfs in oorlogstijd mee uit de voeten. One Time Pad over je documenten heen en je bericht is onkraakbaar. Ook als Poetin KPN en Vodafone heeft gehackt met een 0-day.
Door Anoniem:
Daar heeft de overheid couriersdiensten voor. Is nog superveilig ook. Geef de courier een pistool mee en je kan er zelfs in oorlogstijd mee uit de voeten. One Time Pad over je documenten heen en je bericht is onkraakbaar. Ook als Poetin KPN en Vodafone heeft gehackt met een 0-day.
Door Anoniem: Maar dat soort nostalgisch gezeur is dat - gezeur. In een tijd waarin _alles_ traag was kon 'men' op 'traag' werken.
Een gedeputeerde die met de trekschuit naar Friesland moest om te overleggen was ooit normaal .
Een gedeputeerde die met de trekschuit naar Friesland moest om te overleggen was ooit normaal .
Daar heeft de overheid couriersdiensten voor. Is nog superveilig ook. Geef de courier een pistool mee en je kan er zelfs in oorlogstijd mee uit de voeten. One Time Pad over je documenten heen en je bericht is onkraakbaar. Ook als Poetin KPN en Vodafone heeft gehackt met een 0-day.
Als je dit onderwerp en de eerdere discussie hierboven een beetje gesnapt had, dan had je begrepen dat als "de overheid" gebruik zou maken van dergelijke mechanismen de reactie van de mensen "op de werkvloer" (in dit geval dus ook de bewindsvoerders) zou zijn om mekaar gewoon even te bellen.
Dat is waar het fout gaat: technische oplossingen die wel veilig zijn maar "onwerkbaar". En techneuten die denken dat ze het goed opgelost hebben.
Door Anoniem:
Daar heeft de overheid couriersdiensten voor. Is nog superveilig ook. Geef de courier een pistool mee en je kan er zelfs in oorlogstijd mee uit de voeten. One Time Pad over je documenten heen en je bericht is onkraakbaar. Ook als Poetin KPN en Vodafone heeft gehackt met een 0-day.
Door Anoniem: Maar dat soort nostalgisch gezeur is dat - gezeur. In een tijd waarin _alles_ traag was kon 'men' op 'traag' werken.
Een gedeputeerde die met de trekschuit naar Friesland moest om te overleggen was ooit normaal .
Een gedeputeerde die met de trekschuit naar Friesland moest om te overleggen was ooit normaal .
Daar heeft de overheid couriersdiensten voor. Is nog superveilig ook. Geef de courier een pistool mee en je kan er zelfs in oorlogstijd mee uit de voeten. One Time Pad over je documenten heen en je bericht is onkraakbaar. Ook als Poetin KPN en Vodafone heeft gehackt met een 0-day.
Men spelt 'koerier' in het nederlands.
Ook met een blauw zwaailicht duurt het een uur of twee, drie om van Den Haag naar Friesland te komen - enkele reis.
Een rondtrip latency van vijf of zes uur is _extreem_ als er snel gereageerd moet worden.
En duurt het gewoon een uur of zeven enkele reis om naar Washington te komen .
Op wereldschaal was het geDrimmel bij D66 drie keer niks - maar hier precies een illustratie dat dingen zich soms snel ontwikkelen en dat een hoge leider dan snel moet kunnen reageren .
Voor lange termijn (strategisch) keuzes heb je tijd - en kun je uit je bol gaan met koeriers en OTPs . Op kortere termijn is snel reageren vaak belangrijker dan perfecte geheimhouding.
(Iets dat legers op het slagveld ook wel ontdekt hebben - de informatie die uitgewisseld wordt verliest heel snel aan waarde voor de vijand, maar een grote vertraging vanwege onhandige code/crypto is erg beperkend. Navaho sprekers in de Pacific waren een mooie oplossing . )
Door Anoniem: De ICT afdelingen moet eens realiseren dat ze een faciliterende rol vervullen. Wanneer de ICT niet goed is ingeregeld, dan gaan mensen andere oplossingen bedenken om tot hun doel te komen.
Ik loop al jaren tegen rechtlijnige ICT-ers aan die 'goede service' niet snappen.
Ik loop al jaren tegen rechtlijnige ICT-ers aan die 'goede service' niet snappen.
Dat is zeker een punt. Je vraagt je af mbt tot die bewindslieden of ze nu echt zo eigenwijs waren of dat de officiele oplossing zo ontzettend crappy is.
Beiden zijn mogelijk - eigenwijsheid van bewindslieden, en erg matig werkende overheids ICT passen allebei in een vooroordeel.
Je ziet op dit forum een hoop ICTers (of wannabe aanstaande ICTers) die graag allerlei technische vinkjes perfect en maximaal zetten, en helemaal schijt hebben aan de mensen die daar mee moeten _werken_ . Dat is niet hun probleem, als het systeem maar technisch perfect is .
Het begrip dat ze er zijn om het echte werk te ondersteunen zit niet altijd tussen de oren van de ICTers die vinden dat gebruikers maar hinderlijk zijn voor hun systeem.
Door Anoniem: Ook met een blauw zwaailicht duurt het een uur of twee, drie om van Den Haag naar Friesland te komen - enkele reis.
Een rondtrip latency van vijf of zes uur is _extreem_ als er snel gereageerd moet worden.
Een rondtrip latency van vijf of zes uur is _extreem_ als er snel gereageerd moet worden.
Altijd nog sneller als PostNL. Als je zaterdagmiddag iets op de bus doet, komt het dinsdagochtend pas op zijn vroegst aan. Maar een papieren brief of kaart heeft wel zijn charme. Een verjaardagskaart is veel leuker als een hallmark kaart per e-mail. Die e-mails ga je niet bewaren of op je tafel zetten.
Ik ben gewoon nostalgisch naar oude analoge technologieën. Je had de cryptofax, maar die waren van Crypto AG zie ik nu, dus daar zat een Amerikaanse backdoor in :-( In GMail worden je keywords en interests zelfs met adverteerders gedeeld. Niet zo handig voor een minister.
Door Anoniem:
Altijd nog sneller als PostNL. Als je zaterdagmiddag iets op de bus doet, komt het dinsdagochtend pas op zijn vroegst aan. Maar een papieren brief of kaart heeft wel zijn charme. Een verjaardagskaart is veel leuker als een hallmark kaart per e-mail. Die e-mails ga je niet bewaren of op je tafel zetten.
Ik ben gewoon nostalgisch naar oude analoge technologieën. Je had de cryptofax, maar die waren van Crypto AG zie ik nu, dus daar zat een Amerikaanse backdoor in :-( In GMail worden je keywords en interests zelfs met adverteerders gedeeld. Niet zo handig voor een minister.
Door Anoniem: Ook met een blauw zwaailicht duurt het een uur of twee, drie om van Den Haag naar Friesland te komen - enkele reis.
Een rondtrip latency van vijf of zes uur is _extreem_ als er snel gereageerd moet worden.
Een rondtrip latency van vijf of zes uur is _extreem_ als er snel gereageerd moet worden.
Altijd nog sneller als PostNL. Als je zaterdagmiddag iets op de bus doet, komt het dinsdagochtend pas op zijn vroegst aan. Maar een papieren brief of kaart heeft wel zijn charme. Een verjaardagskaart is veel leuker als een hallmark kaart per e-mail. Die e-mails ga je niet bewaren of op je tafel zetten.
Ik ben gewoon nostalgisch naar oude analoge technologieën. Je had de cryptofax, maar die waren van Crypto AG zie ik nu, dus daar zat een Amerikaanse backdoor in :-( In GMail worden je keywords en interests zelfs met adverteerders gedeeld. Niet zo handig voor een minister.
Alles heeft z'n plek -
ik reis graag (een stukje) met een stoomtrein. Op een mooie dag, als ik vrij ben, en alle tijd heb. En een relais of buizencomputer is fantastisch.
Dat wil niet zeggen dat ik dat ik dat propageer voor dagelijks gebruik en roep dat de samenleving ernaar terug zou moeten.
Door Anoniem: De ICT afdelingen moet eens realiseren dat ze een faciliterende rol vervullen. Wanneer de ICT niet goed is ingeregeld, dan gaan mensen andere oplossingen bedenken om tot hun doel te komen.
Ik loop al jaren tegen rechtlijnige ICT-ers aan die 'goede service' niet snappen.
De andere kant van de medaille is dat de mensen die door die ICT gefaciliteerd worden eens moeten beseffen dat ICT geen magie is waarmee alles wat je wilt zomaar kan zonder dat je ergens tegen grenzen aanloopt. Als bijvoorbeeld de eis is gesteld dat de beveiliging minimaal van een bepaald niveau is dan heb je te leven met de ongemakken die kleven aan het voldoen aan die eis. Een eis is namelijk geen wens, een eis is iets waar hoe dan ook aan voldaan moet worden, iets waar geen concessies aan gedaan worden. Kan dat wel, dan is het geen eis maar een wens. Een heel belangrijke misschien, maar wel degelijk een wens.Ik loop al jaren tegen rechtlijnige ICT-ers aan die 'goede service' niet snappen.
Laat even tot je doordringen dat de ICT-afdelingen ook de gestelde eisen moeten faciliteren, inclusief het ongemak wat dat met zich meebrengt.
Als er niemand rechtlijnig is krijg je gegarandeerd systemen die niet aan de gestelde eisen voldoen. Wil je dat ze er toch niet aan voldoen, als opdrachtgever, dan moet je onder ogen zien dat je eisen bij nader inzien geen eisen zijn, of dat heel belangrijke wensen bij nader inzien toch niet zo belangrijk zijn. En je moet dan ook beseffen dat je achteraf de uitgangspunten verandert waar de systemen op ontworpen en gebouwd zijn, die ook de grondslag vormen voor hoe het beheer ervan is opgezet. Zo'n verandering kan een erg dure grap zijn, want als je de uitgangspunten verandert zijn het vaak geen details die even bijgeschaafd moeten worden maar klopt het hele ontwerp niet meer met hoe het bij nader inzien moet. Je zet niet zomaar even een ander fundament onder een huis, dat is een grote operatie. Je kan een hoop van dit soort kosten besparen door zelf voldoende rechtlijnig te zijn als dingen worden uitgedacht en gebouwd.
Als er wettelijke eisen zijn waar je systemen aan moeten voldoen dan heb je trouwens helemaal de optie niet om die eisen niet te stellen. Niet zonder de wet te overtreden, althans. En als je daarvoor kiest loop je het risico dat je achteraf alsnog moet (laten) implementeren wat je eerst hebt nagelaten, en ook dat is het veranderen van uitgangspunten, en ook dat kan dus een dure grap blijken te zijn.
Verder geldt wat altijd geldt: goed, snel, goedkoop, kies er twee. Je kan simpelweg niet alles hebben. Maar al te vaak lijkt in de praktijk aangenomen te worden dat dat wel kan. Snel en goedkoop zijn dingen die je meteen ziet. Dat het resultaat niet goed is ontdek je pas op het moment dat het misgaat, en het kan best lang duren voor het zover is. Dit zou wel eens de reden kunnen zijn dat we wereldwijd zo godsgruwelijk veel mis zien gaan. Je kreeg het misschien snel en goedkoop, en het oogt goed maar is niet goed.
Het vergt rechtlijnigheid om dit soort dingen goed te doen. Rechtlijnigheid waar je onvermijdelijk ook last van hebt. Het is onderdeel van het pakket. Het werkt het beste als er tussen de rekkelijken en de preciezen een buffer is van mensen die met allebei om kunnen gaan. Goede automatiserings- en IT-teams bestaan niet uit één soort mensen. Maar als je daarvoor kiest kies je voor teams die heel wat in huis hebben, en dan kies je niet voor goedkoop.
Door Anoniem:
Door Anoniem: De ICT afdelingen moet eens realiseren dat ze een faciliterende rol vervullen. Wanneer de ICT niet goed is ingeregeld, dan gaan mensen andere oplossingen bedenken om tot hun doel te komen.
Ik loop al jaren tegen rechtlijnige ICT-ers aan die 'goede service' niet snappen.
De andere kant van de medaille is dat de mensen die door die ICT gefaciliteerd worden eens moeten beseffen dat ICT geen magie is waarmee alles wat je wilt zomaar kan zonder dat je ergens tegen grenzen aanloopt. Als bijvoorbeeld de eis is gesteld dat de beveiliging minimaal van een bepaald niveau is dan heb je te leven met de ongemakken die kleven aan het voldoen aan die eis. Een eis is namelijk geen wens, een eis is iets waar hoe dan ook aan voldaan moet worden, iets waar geen concessies aan gedaan worden. Kan dat wel, dan is het geen eis maar een wens. Een heel belangrijke misschien, maar wel degelijk een wens.Ik loop al jaren tegen rechtlijnige ICT-ers aan die 'goede service' niet snappen.
Waar het meestal fout gaat is dat er de eis is dat het heel veilig moet zijn, en dat ICT dat vertaalt naar een implementatie
die naar hun idee heel veilig is, en waarbij allerlei zaken van de gebruiker vereist worden die onwerkbaar zijn.
Zoals het onthouden van een heel moeilijk wachtwoord en dan ook nog eisen dat het regelmatig veranderd wordt.
Deze implementatie details worden vaak ook overgeschreven uit standaardteksten en -boekjes waarin staat dat je
dit soort dingen (zoals opdringen dat het wachtwoord gewijzigd wordt) moet doen om het veilig te maken.
ICT wijst naar de gebruikers/management "ja maar het moest toch veilig en ik heb deze best practices gevolgd" en
de gebruikers zitten met het dilemma "moeten we dit nu gebruiken of verzinnen we zelf wel wat".
Dat speelt trouwens niet alleen op het gebied van beveiliging hoor. Als je keer op keer als ICT zegt dat dingen niet
zo makkelijk zijn en moeilijke en dure oplossingen voorschotelt, dan krijg je vanzelf dat gebruikers eigen oplossingen
verzinnen (Excel sheets, Google forms, etc) buiten ICT om. Dan kun je het de gebruiker gaan verwijten, maar je zou
ook eens kunnen kijken of je wellicht ICT-technisch heel goed, maar communicatief en inlevend niet zo goed bezig
bent geweest.
Door Anoniem: Dat speelt trouwens niet alleen op het gebied van beveiliging hoor. Als je keer op keer als ICT zegt dat dingen niet
zo makkelijk zijn en moeilijke en dure oplossingen voorschotelt, dan krijg je vanzelf dat gebruikers eigen oplossingen
verzinnen (Excel sheets, Google forms, etc) buiten ICT om. Dan kun je het de gebruiker gaan verwijten, maar je zou
ook eens kunnen kijken of je wellicht ICT-technisch heel goed, maar communicatief en inlevend niet zo goed bezig
bent geweest.
Ik heb zelf tientallen jaren als automatiseerder in de financiële sector gewerkt, en ik heb dat soort situaties meegemaakt. Het patroon was steeds dat die dure, stugge automatiseerders werden gepasseerd door enthousiaste teams die zelf aan het bouwen sloegen. Er werden dan inderdaad gelikte systemen uit de grond gestampt die werkelijk heel fraai waren.zo makkelijk zijn en moeilijke en dure oplossingen voorschotelt, dan krijg je vanzelf dat gebruikers eigen oplossingen
verzinnen (Excel sheets, Google forms, etc) buiten ICT om. Dan kun je het de gebruiker gaan verwijten, maar je zou
ook eens kunnen kijken of je wellicht ICT-technisch heel goed, maar communicatief en inlevend niet zo goed bezig
bent geweest.
Maar na een aantal jaar bleken de makers ervan volstrekt niet meer in staat te zijn om zelf nog te overzien hoe hun systemen in elkaar zaten, niet meer in staat te zijn om er onderhoud op te plegen, omdat als ze hier wat aanpasten er daar van alles kapot bleek te gaan. En dan bleek dat al dat moeilijk en duur doen van de professionele automatiseerders een functie had: namelijk om het goed te doen, om systemen te maken die niet omvielen, die robuust waren, die aan eisen voldeden, inclusief wettelijke eisen. Je zag zo'n bij nader inzien toch niet zo zelfredzame afdeling dan met hangende pootjes bij de professionele automatiseerders aankloppen om de situatie te komen redden. Zoals ik het heb meegemaakt werden dan de systemen én de automatiseerders van zo'n afdeling overgenomen, werden de laatsten opgeleid tot goede automatiseerders (want die mensen hadden echt wel een serieuze dosis talent ervoor in huis), en ging het daarna beter. Alleen wel tegen een hoger prijskaartje, want dingen degelijk doen kost nou eenmaal wat.
Goed, snel, goedkoop, kies er twee. Dit zijn gewoon voorbeelden waar men voor snel en goedkoop koos omdat men niet door had dat dat niet goed genoeg was.
Als je wilt dat je IT'ers het beter doen, geef ze dan voldoende budget om het beter te doen en trek als dat ontbreekt ook een aantal echt goede mensen aan. Ook daar geldt dat als je op snel en goedkoop stuurt er geen ruimte is om alles goed te doen.
Met andere woorden: als je mensen afknijpt zodat ze eigenlijk hun werk niet goed kunnen doen, ga dan niet vervolgens klagen dat ze hun werk niet goed doen. Je krijgt waar je voor betaalt.
Mijn punt is niet dat het geen gewenste situatie is, dat is duidelijk, maar dat ICT boter op het hoofd heeft als ze
de gebruiker verwijten dit soort dingen gedaan te hebben terwijl die zelf bij ICT heeft aangeklopt met een naar eigen
idee simpel probleem, en de neus gestoten heeft tegen de "dat is niet zo gemakkelijk, meneer" muur die men bij
ICT vaak opwerpt.
En ik breng dat in dit topic naar voren omdat het parallellen heeft met de situatie rond beveiliging. De gebruiker
begrijpt niet wat het probleem is en wordt afgepoeierd, in plaats van dat er in zijn situatie wordt ingeleefd.
de gebruiker verwijten dit soort dingen gedaan te hebben terwijl die zelf bij ICT heeft aangeklopt met een naar eigen
idee simpel probleem, en de neus gestoten heeft tegen de "dat is niet zo gemakkelijk, meneer" muur die men bij
ICT vaak opwerpt.
En ik breng dat in dit topic naar voren omdat het parallellen heeft met de situatie rond beveiliging. De gebruiker
begrijpt niet wat het probleem is en wordt afgepoeierd, in plaats van dat er in zijn situatie wordt ingeleefd.
Door Anoniem:
Maar na een aantal jaar bleken de makers ervan volstrekt niet meer in staat te zijn om zelf nog te overzien hoe hun systemen in elkaar zaten, niet meer in staat te zijn om er onderhoud op te plegen, omdat als ze hier wat aanpasten er daar van alles kapot bleek te gaan. En dan bleek dat al dat moeilijk en duur doen van de professionele automatiseerders een functie had: namelijk om het goed te doen, om systemen te maken die niet omvielen, die robuust waren, die aan eisen voldeden, inclusief wettelijke eisen. Je zag zo'n bij nader inzien toch niet zo zelfredzame afdeling dan met hangende pootjes bij de professionele automatiseerders aankloppen om de situatie te komen redden. Zoals ik het heb meegemaakt werden dan de systemen én de automatiseerders van zo'n afdeling overgenomen, werden de laatsten opgeleid tot goede automatiseerders (want die mensen hadden echt wel een serieuze dosis talent ervoor in huis), en ging het daarna beter. Alleen wel tegen een hoger prijskaartje, want dingen degelijk doen kost nou eenmaal wat.
Goed, snel, goedkoop, kies er twee. Dit zijn gewoon voorbeelden waar men voor snel en goedkoop koos omdat men niet door had dat dat niet goed genoeg was.
Als je wilt dat je IT'ers het beter doen, geef ze dan voldoende budget om het beter te doen en trek als dat ontbreekt ook een aantal echt goede mensen aan. Ook daar geldt dat als je op snel en goedkoop stuurt er geen ruimte is om alles goed te doen.
Met andere woorden: als je mensen afknijpt zodat ze eigenlijk hun werk niet goed kunnen doen, ga dan niet vervolgens klagen dat ze hun werk niet goed doen. Je krijgt waar je voor betaalt.
Door Anoniem: Dat speelt trouwens niet alleen op het gebied van beveiliging hoor. Als je keer op keer als ICT zegt dat dingen niet
zo makkelijk zijn en moeilijke en dure oplossingen voorschotelt, dan krijg je vanzelf dat gebruikers eigen oplossingen
verzinnen (Excel sheets, Google forms, etc) buiten ICT om. Dan kun je het de gebruiker gaan verwijten, maar je zou
ook eens kunnen kijken of je wellicht ICT-technisch heel goed, maar communicatief en inlevend niet zo goed bezig
bent geweest.
Ik heb zelf tientallen jaren als automatiseerder in de financiële sector gewerkt, en ik heb dat soort situaties meegemaakt. Het patroon was steeds dat die dure, stugge automatiseerders werden gepasseerd door enthousiaste teams die zelf aan het bouwen sloegen. Er werden dan inderdaad gelikte systemen uit de grond gestampt die werkelijk heel fraai waren.zo makkelijk zijn en moeilijke en dure oplossingen voorschotelt, dan krijg je vanzelf dat gebruikers eigen oplossingen
verzinnen (Excel sheets, Google forms, etc) buiten ICT om. Dan kun je het de gebruiker gaan verwijten, maar je zou
ook eens kunnen kijken of je wellicht ICT-technisch heel goed, maar communicatief en inlevend niet zo goed bezig
bent geweest.
Maar na een aantal jaar bleken de makers ervan volstrekt niet meer in staat te zijn om zelf nog te overzien hoe hun systemen in elkaar zaten, niet meer in staat te zijn om er onderhoud op te plegen, omdat als ze hier wat aanpasten er daar van alles kapot bleek te gaan. En dan bleek dat al dat moeilijk en duur doen van de professionele automatiseerders een functie had: namelijk om het goed te doen, om systemen te maken die niet omvielen, die robuust waren, die aan eisen voldeden, inclusief wettelijke eisen. Je zag zo'n bij nader inzien toch niet zo zelfredzame afdeling dan met hangende pootjes bij de professionele automatiseerders aankloppen om de situatie te komen redden. Zoals ik het heb meegemaakt werden dan de systemen én de automatiseerders van zo'n afdeling overgenomen, werden de laatsten opgeleid tot goede automatiseerders (want die mensen hadden echt wel een serieuze dosis talent ervoor in huis), en ging het daarna beter. Alleen wel tegen een hoger prijskaartje, want dingen degelijk doen kost nou eenmaal wat.
Goed, snel, goedkoop, kies er twee. Dit zijn gewoon voorbeelden waar men voor snel en goedkoop koos omdat men niet door had dat dat niet goed genoeg was.
Als je wilt dat je IT'ers het beter doen, geef ze dan voldoende budget om het beter te doen en trek als dat ontbreekt ook een aantal echt goede mensen aan. Ook daar geldt dat als je op snel en goedkoop stuurt er geen ruimte is om alles goed te doen.
Met andere woorden: als je mensen afknijpt zodat ze eigenlijk hun werk niet goed kunnen doen, ga dan niet vervolgens klagen dat ze hun werk niet goed doen. Je krijgt waar je voor betaalt.
Er speelt iets meer dynamiek dan "goedkoop is duurkoop" en de "afdelings hobbyist is niet zo goed als ie denkt" .
Wat de "afdelings bouwer" als enorm voordeel heeft - die snapt ECHT wat de gebruikers _eigenlijk_ willen .
Een klassieke IT organisatie werkt gewoonlijk met een loeizwaar project intake proces, requirements analyse , design phase - en dan mag het een wonder heten als daar nog iets gebouwd kan worden wat de vragende afdeling wilde .
Des te meer als de bouw dan ook nog geoutsourced is naar India .
In open source termen - kathedraal vs bazar . Agile/scrum is niet voor niks als methode in zwang gekomen omdat de klassieke waterval aanpak zoveel mismatchende producten opleverde .
En het is als vragende klant gewoon erg lastig om iets echt te formuleren zodanig dat een buitenstaander in de materie (en dat zijn de ITers) "do what I mean" bouwt wat er nodig is.
Daarnaast vraagt het officiele pad meteen de hoofdprijs - het is enterprise, of enterprise goudgerand , en vanaf dag 1 is alles driedubbel redundant .
Wanneer een afdeling in de proof-of-concept mindset zit is het logisch dat een maximaal prijskaartje, en klaar over veertien maanden niet doorgaat .
Ietwat subtieler - een ervaren manager begrijpt de sunk cost fallacy . Een "officieel" project from scratch vergt een budget dat misschien z'n bevoegdheid te boven gaat. En dat weet hij nog niet eens of het wel gaat vliegen, tegen de tijd dat "het IT project" dan eindelijk iets oplevert.
Dan kan het heel wel een bewuste (maar niet uitgesproken) keuze zijn om voor een overzichtelijke investering de afdelingsbouwer iets te laten maken dat feitelijk een proof of concept is , of net wat meer .
Dat is zijn eigen beslis-bevoegdheid .
Tegen de tijd dat het succes of beheer de afdeling boven het hoofd groeit - dan is de noodzaak bewezen, zijn de kosten al gemaakt - en gaat de zaak naar de IT afdeling met de melding "dit is precies wat we willen, wat we nodig hebben - maar dan meer schaalbaar/redundant" .
En de benodigde budgetten zijn heel goed verdedigbaar want de nut en noodzaak _zijn_ al bewezen, en "er is al geinvesteerd en dat geld is anders weg" .
Aan de IT-ontvangende kant wordt dan wel meer of minder gevloekt over het "amateur" werk - hangt ervan af hoe goed het basisconcept opgezet is . Maar wat de amateur wel goed gedaan heeft , als het zover komt is : iets maken dat _echt nuttig_ was voor die afdeling, en beschikbaar was toen ze het nodig hadden.
En klassieke IT organisaties zijn heel slecht ingericht op die twee wensen : doe wat ik wil maar moeilijk kan uitleggen, en doe het snel .
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (Operationele Techniek)
bij HHNK
Heb jij een passie voor informatiebeveiliging en wil je jouw expertise inzetten in een organisatie met impact? Solliciteer nu! Bij HHNK hechten we veel waarde aan de veiligheid van onze informatie en systemen. Met een breed scala aan operationele techniek (OT) voor onze taken, is het essentieel om deze veilig te houden.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.