Mag het systeembeheer zomaar zelf regels maken?

bofh-systeembeheerEen lezer vroeg me:

Bij ons bedrijf heerst een erg open cultuur, behalve bij onze systeembeheerders. Die zijn erg tegen gebruikers die zelf dingen installeren of eigen apparatuur aansluiten. Zo verbieden ze gebruik van Dropbox en het mailen van gegevens naar je privéadres, en dat wordt steeksproefgewijs gecontroleerd door een beheerder. Kan dat zomaar, mogen zij de regels maken?

Binnen een bedrijf maakt de directie de regels. Zij hebben daar grote vrijheid in. Als zij iedereen op Windows willen laten werken, heb je als Mac-fan toch echt pech. Vinden zij Dropbox stom, dan mag je geen Dropbox gebruiken hoe handig het ook is en hoe ongefundeerd hun reden om Dropbox te weigeren ook is.

De directie mag die regelmakende bevoegdheid delegeren, bijvoorbeeld naar de IT-afdeling. Dat hoeft niet heel expliciet te gebeuren, maar vaak zie je dat de directie überhaupt geen mening heeft over ICT en erop vertrouwt dat het systeembeheer in staat is de goede regels te maken.

Als het beheer dan weinig feeling heeft met de cultuur in het bedrijf, dan krijg je dus situaties als van deze vraagsteller. Streng beleid is begrijpelijk vanuit een beheer-achtergrond, en als je in de positie bent dat te mogen invoeren dan krijg je dat ook.

De handhaving van zulk beleid middels steekproeven is iets gevoeliger. Er mag niet zonder reden worden gesteekproefd in accounts of apparatuur van werknemers, ook niet als het werkgerelateerde bestanden of dingen betreft. Je loopt al heel snel tegen de privacy van de werknemer aan, zeker in een bedrijf waar een open cultuur heerst en het dus toegestaan is om privédingen te doen op je werkcomputer of met je werkaccount.

Op zijn minst moet er expliciet beleid zijn dat regelt wanneer accounts of apparatuur mogen worden doorzocht en welke waarborgen omtrent privacy er zijn. Dat beleid mag de directie aan de IT-afdeling laten, maar het moet er wel zijn. En als een bedrijf een open cultuur heeft, dan verwacht ik niet dat de directie snel zulk beleid wíl gaan maken. Het botst immers nogal met elkaar.

Een echte oplossing heb ik niet, behalve “ga eens met z’n allen op de hei zitten en verzin iets dat voor iedereen werkt”. Je verschuilen achter beleid en security is natuurlijk dé manier om een bedrijfscultuur om zeep te helpen.

Arnoud

19 reacties

  1. Hoe zit dat dan eigenlijk als men deze controles automatisch zou uitvoeren door een script? Ervan uitgaande dat dat script goed werkt kan men achterhalen of de verboden websites bezocht zijn/programma’s geïnstalleerd zijn zonder iets te zien van overige (privé-)activiteiten.

  2. Als het bedrijf enige omvang heeft, is er wellicht een personeelsvertegenwoordiging of ondernemingsraad actief. Zeker een OR heeft instemmingsrecht op regelingen waarin het beleid ingrijpt op de manier waarop het werk gebeurt. Ga eens praten met de OR-leden, hoe zij hier bij betrokken zijn.

  3. Het is voor een beetje systeembeheerder geen enkele moeite om te kijken welke programmatuur er in het netwerk rondstuitert. Pakketten als Topdesk, ServiceDesk Plus, SCCM en dergelijke voeren bij ingebruikname een scan uit over het hele netwerk en kunnen je tot in detail vertellen waar welke machine uit bestaat, tot het typenummer van de aangesloten monitoren aan toe. Het is gekkenwerk om handmatig updates door te voeren bij netwerken van meer dan 10 gebruikers en met de snelheid waarmee sommige programma’s en plugins hun updates krijgen, is een geautomatiseerd proces de way to go.

    Er is een heel simpele reden waarom je gebruikers (of het nu een totale leek of een beheerder is) geen administrator-rechten wil geven op een systeem: malware. Er komt zoveel bagger binnen, ondanks firewalls, greylisting, antiviruspakketten en dergelijke, dat je niet het risico wil lopen om besmet te raken door een of ander crypto-virus die je netwerk onbruikbaar maakt, enkel omdat iemand een besmet programmaatje uitvoert of op een link in een e-mail klikt.

    Dan kun je wel zeggen: “Dat overkomt alleen anderen!” Yup, en die USB-stick die ik laatst voor je moest fiksen omdat je de connector af had gebroken en er op die stick allemaal uiterst belangrijke foto’s stonden die je nergens anders hebt staan, overkomt je doorgaans ook nooit…

  4. Er wordt nergens gezegd dat de steekproeven in het account gebeuren. Als ik een maillog controleer kan ik prima zijn wie er iets naar wat heeft verstuurd. Hetzelfde voor de installatie van en het controleren op software. Dat valt prima te scripten, waarmee ik een mooi overzicht krijg van alle software die erop staat. En dan ga ik er wel vanuit dat de apparatuur beschikbaar is gesteld door de werkgever: dan kan het toch niet zo zijn dat dat dan opeens van de werknemer is? Vooral omdat de werkgever nog steeds verantwoordelijk is voor de software die erop staat.

    Maar zo raar zijn de regels toch niet? Geen software installeren? Logisch, want als er illegale software wordt geïnstalleerd, is het bedrijf verantwoordelijk, niet de werknemer. En ik moet de eerste werknemer nog tegenkomen die netjes twee licenties van de software heeft aangeschaft, want thuis zullen ze het ook wel gebruiken. Voor het veilig houden van je gegevens vindt ik het verbod op cloudopslag of mailen naar privéadressen ook niet zo gek, eigenlijk… Wel zou ik, als beheerder zijnde, de toegang naar dat soort diensten dan gewoon blokkeren.

  5. Gangbaar: systeembeheer stelt regels op, directie bekrachtigd deze cq neemt deze over.

    Beetje goed beveiligd netwerk staat eigenhandig installeren niet toe, evenmin gebruik van USB / CD / DVD. In ieder geval zal automatisch starten uit zijn geschakeld.

    “Hufterige” systeembeheerders houden het netwerk wel zo veilig en stabiel. Vaak genoeg met gebruikers bij klanten gebotst, na maanden moesten ze wel toegeven dat er minder problemen zijn.. En ja, er is een causaal verband.

    Beleid is alleen door controle te handhaven. Zoals bijvoorbeeld max gebruik aan privé bestanden. Leuk wordt het pas als je de directie op gebruik aan moet spreken, wat uiteraard zonder aanzien des persoons wordt gedaan. Even vanzelfsprekend wordt het feit dat er wordt gecontroleerd gecommuniceerd en is dat eveneens vastgelegd.

    Over privacy: als je bestanden plaats die dusdanig privacy gevoelig zijn, dan zet je die maar niet op het netwerk.

    Zelfde gaat op voor websites. Vind je het een probleem dat iemand ziet/weet dat je op een bepaalde site kom, regel dan maar iets anders..
    1. Ik ben het compleet met je eens dat systeembeheerders de stabiliteit van computers en netwerk hoog op hun prioriteitenlijst horen te hebben. Daarbij wil ik wel opmerken dat computers en netwerk aangeschaft zijn met het doel om de gebruikers hun werk te laten doen en dat het systeembeheer dat niet mag dwarsbomen. Ik verwacht dat een gebruiker een werkstation krijgt dat geconfigureerd is voor zijn functie; dat benodigd extra software binnen een redelijke tijd (2-3 dagen als er licenties op de plank liggen) geïnstalleerd is; enz. Ja, het ontmoedigen van prive-computergebruik is een goed uitgangspunt, maar verbieden mag niet.

    1. Bedrijfscultuur is belangrijk. Ik mag als ontwikkelaar gebruiken wat ik wil en nodig heb, zolang ik maar zorg dat ik een licentie heb. Toen ik een nieuwste versie van office nodig had, betaalde de baas de licentie. Mijn collegas gebruiken notepad++, maar ik heb een voorkeur voor sublime; die licentie heb ik zelf moeten betalen. In Visual Studio gebruik ik mijn eigen uitgebreidere Resharper licentie.

      De software moet met alle browsers getest worden, dus VMs voor oude IE versies. Moderne browsers met hun ‘evergreen’ functie zijn makkelijker. Binnenkort ga ik over op Windows 10 zodat ik ook met Edge kan testen. We zijn nu aan het kijken of onze tooling alemaal werkt onder windows 10 op een testmachine.

      Bij mijn vorige werkgevers mocht ik juist weer helemaal niets, toestemming moest internationaal goedgekeurd worden voor nieuwe software op het netwerk. Dat gaf enorme hoofdpijn toen door de DNB voorgeschreven software, zonder welke wij ons werk niet konden doen, in het buitenland werd afgekeurd omdat het niet aan de veiligheids regels van het bedrijf voldeed.

      Een middenweg hier tussen lijkt mij voor de meeste normale gebruikers redelijk. Alhoewel ik niet weg ben van portable apps, omdat die vaak niet geupdate worden.

  6. Als het beheer dan weinig feeling heeft met de cultuur in het bedrijf, dan krijg je dus situaties als van deze vraagsteller.

    Dit zou je ook kunnen omdraaien: De vraagsteller heeft weinig feeling met de verantwoordelijkheden van ICT beheer. Die ziet een Dropbox-ban als een irritante regel, en niet als de gewoonste zaak van de wereld. Die heeft een regel nodig om geen bedrijfsgegevens naar een privé-Hotmail adres te sturen.

    Niets irritanter dan regels om regels, dan regels om je eigen hachje te redden of je verantwoordelijkheid te laten gelden. Maar andersom niets irritanter dan medewerkers die lekker willen doen wat ze zelf willen, zonder op de hoogte te zijn van de consequenties van een laks veiligheidsbeleid.

    1. Het punt is dat het beleid bepaald wordt door het bedrijf, niet door ICT. Als ‘iedereen’ vindt dat Dropbox handig is voor het bedrijf, dan is het een rare regel vanuit ICT om Dropbox te verbieden. Dan kun je dat honderd keer securitybeleid noemen, het blijft raar en ongepast omdat het niet aansluit bij hoe het bedrijf denkt. Het zou vergelijkbaar zijn met een HR-medewerker die bij een snelle 100% Agile ICT-startup eist dat iedereen een pantalon en stropdas draagt vanwege de representativiteit. Dat dóe je gewoon niet bij zo’n club.

      1. Als iedereen denkt dat dropbox handig is dan was het zo omdat ze het op school/tijdens studie hebben gebruikt. Dropbox verbieden, prima, maar dan biedt je vanuit ICT een alternatief.

        Voor thuiswerken kan je beter voorzien in een terminal server / citrix / whatever omgeving. Al was het een centraal beheerde (private) cloud oplossing. Want beveiliging en voorkomen versieconflicten en …. en…

    2. Dat kun je ook omdraaien.

      Wat je hier leest is vooral averechts: Mensen willen thuis werken en bestanden met elkaar delen. Beheer verbiedt dat en maakt dropbox onmogelijk. Dus gaan mensen mailen. Dan maakt beheer dat onmogelijk. Dus gaan mensen USB sticks gebruiken.

      En onderwijl klaagt beheer over die gebruikers die zo onverantwoordelijk zijn, en de gebruikers klagen over beheer.

      Beheer maakt niets, produceert niets; beheer is faciliterend. Als ze vooral kijken hoe ver ze kunnen gaan met verbieden, is het zinvol dat ze zich eens gaan bezinnen op de reden van hun bestaan.

      Dus niet: verbiedt dropbox en mailen. Nee, mensen willen thuis en overal werken. Ze willen overal hun werk doen. Dus maak dat mogelijk. Maak de mensen bewust, en geef ze de faciliteiten. Je bent faciliterend, leef er naar.

      1. Helemaal mee eens! Om maar eens een leuk voorbeeld te noemen: Hoeveel bedrijven zijn er niet waar je elke maand je wachtwoord moet veranderen? En welk percentage van de users bij zo’n bedrijf denk je dat een wachgtwoord heeft dat eindigt op een steeds ophogend volgnummertje? (En dan een niet te moeilijk wachtwoord want je moet ook al onthouden wat het volgnummer was.)

        Vaak zelfs het maandnummer… Dus dan gaan ze policies instellen dat je wachtwoord anders moet zijn dan de vorige 20. Waar werknemers weer een workaround voor bedenken. Wat mij betreft ben je dan als beheerder met oogkleppen bezig.

        1. Dat is allemaal waar, maar daar staat tegenover dat in veel bedrijven de gebruikers bij een hack of een lek meteen klaarstaan om beheer de schuld te geven want beveiliging is toch zeker hun werk! Dat zo’n hack dan komt omdat diezelfde gebruikers hebben zitten slapen tijdens de uitleg over spear phising vergeten ze dan voor het gemak.

          Dat leidt vanzelf tot “cover your ass”-gedrag onder beheerders.

          De enige oplossing hier is daadwerkelijk naar elkaar luisteren. Gebruikers en beheerders. Uiteindelijk werk je samen in één en hetzelfde bedrijf.

          1. Ik wil hier toch echt de bal bij de beheerders neerleggen. De meeste beheerders willen er gewoon met hun hoofd niet bij dat een gemiddelde gebruiker niks snapt, en ook nooit iets zal snappen, van computers. Die hebben gewoon niet de capaciteiten om een uitleg over spear phishing te begrijpen. Dan kun je proberen uit te leggen wat je wilt, maar het is compleet logisch dat ze dan in slaap vallen.

            Het is aan de beheerders om de beveiliging zodanig in te richten dat de ‘weg van de minste weerstand’ voor de gebruiker tegelijk genoeg beveiliging biedt. (SQRL-authenticatie via je smartphone bijvoorbeeld. Of een password-generator inplaats van gebruikers de wachtwoorden zelf laten kiezen. Maar dan wel makkelijk te onthouden wachtwoorden. XKCD-style zeg maar.)

            En als we het over dit artikel hebben, als je dropbox nou zo stom vindt als beheer, verzin dan een alternatief waar je wel achter staat inplaats van de thought police uit te hangen. Desnoods bied je zelf een server aan waar je vanaf thuis bij kan voor je bestanden (met een token of zo desnoods).

  7. een gemiddelde gebruiker niks snapt, en ook nooit iets zal snappen, van computers. Die hebben gewoon niet de capaciteiten om een uitleg over spear phishing te begrijpen.

    Bullshit. Dat is gewoon gebrek aan wil om te luisteren en met (met, niet tegen) elkaar te praten.

    Ik kan zelfs mijn complete digibete moeder uitleggen wat spear phising is. En ze snapt ’t ook nog. Dus mij maak je niet wijs dat dat soort dingen niet uit te leggen zijn aan mensen die wíllen begrijpen.

    Nee, het probleem is anders: sommige beheerders zitten in een ivoren toren, maar het is óók zo dat sommige gebruikers – waar onze politici schitterende voorbeelden van zijn – tróts zijn op het feit dat ze er niks van snappen en dat ze toch niet wisten dat berichten doorsturen naar je privéserver niet mocht (hoi Hillary Clinton).

    En waar die twee met elkaar botsen, krijg je dit soort problemen.

    1. Ik heb een compleet andere ervaring met mijn moeder en computer-gerelateerde dingen uitleggen…

      En trots zijn op het feit dat je digibeet bent is misschien wel laakbaar, maar ik kan me best voorstellen dat er veel mensen zijn die geen zin hebben om computers te moeten snappen. Die dingen zijn er toch om je leven makkelijker te maken? Maar zo wordt het alleen maar moeilijker. Die mensen willen gewoon hun werk doen en de computer als gebruiksvoorwerp zien.

      Zie het als analoog met automobilisten die niet weten hoe een verbrandingsmotor werkt (en honderden andere dingen), maar gewoon auto willen rijden. De moderne auto is dan ook zo geavanceerd dat je dat allemaal niet meer hoeft te weten. En ze hebben het gat van de tankdop ook zo gemaakt dat je niet meer per ongeluk diesel in je benzineauto kunt gooien (dat past niet, dat tuitje is groter). En nog veel meer dingen waar ze hadden kunnen zeggen ‘je moet de automobilist voorlichten’ maar waar ze hebben gekozen voor ‘je moet de juiste weg ook de makkelijke weg maken’.

      Om eerlijk te zijn vind ik de gedachte ‘iedereen moet zijn best doen om computers te snappen’ een ivoren-toren idee van computer-savvy mensen. De meeste mensen willen het gewoon niet moeten snappen, die hebben al genoeg aan hun hoofd en willen gewoon een werkend systeem waar ze zo simpel mogelijk mee kunnen doen wat ze nodig hebben.

      1. En ze hebben het gat van de tankdop ook zo gemaakt dat je niet meer per ongeluk diesel in je benzineauto kunt gooien (…)
        Maar daarnaast moeten automobilisten wel weten dat ze geen diesel in een benzineauto moeten gooien, anders gebruiken ze gewoon een trechter. En automobilisten moeten ook weten wat de waarschuwingslampjes op hun dashboard betekenen en wat ze moeten doen als er eentje begint te branden. Als mensen het verdommen actie te ondernemen op een brandend waarschuwingslampje, moeten ze ook niet verbaasd zijn als ze uiteindelijk de motor in de soep draaien (I’ve seen it happen).

        Het moet dus van beide kanten komen. Geen desinteresse van gebruikers, geen dédain van professionals.

      2. Nou ook van de moderne auto moet je nog genoeg weten: als je auto rijdt moet je weten hoe je olie moet peilen, hoe je ruitewisservloeistof moet bijvullen, hoe je bandenspanning moet meten, wat je moet doen bij welk waarschuwingslampje en niet te vergeten bewijzen dat je de regels van het verkeer kent door middel van dat roze plastic dingetje.

        Als je dat dan niet wílt weten, en erger nog, daar nog trots op bent ook, dan ben ik toch geneigd om te zeggen dat je zelf ook wel eens mee mag werken. Als je olielampje gaat branden en je doet niks “want daar heb ik toch geen verstand van en het zal allemaal wel”, dan vind ik het erg moeilijk om medeleven met je te hebben.

        Ik heb in mijn carriere genoeg beheerders in ivoren torens zien zitten praten over “hun” systemen (jeukwoord! hoezo is dat systeem van jou?), maar ook genoeg gebruikers die niet willen om te weten dat de “schuld” niet exclusief bij een der partijen ligt, maar in beider onwil om met elkaar te praten en je in de situatie en de problemen van de ander te verdiepen. Het voorkomen dat bedrijfsgeheimen op straat komen te liggen is net zo goed in het belang van het bedrijf als de ondersteuning van de gebrukers en het primaire proces.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.