Search
  • Mark Baars

IT Zonder Fratsen: Werkplek-security versus Gebruiksgemak


Werkplek-security en gebruiksgemak staan op gespannen voet met elkaar. Natuurlijk is het belangrijk dat de computers van eindgebruikers met policies beveiligd zijn, de anti-virus software altijd actief is en dat passwords geregeld veranderd moeten worden. De vraag is hoe ver je de computers van IT-ers moet dicht-timmeren.


Zorg voor een beveiligingsbeleid dat in dienst staat van de gebruiker. Medewerkers die vooral met office applicaties werken, moeten misschien zelf een printer kunnen installeren, maar hebben verder geen toegang tot de configuratie van hun systeem nodig. Een Systeembeheerder of ontwikkelaar moet dat wel kunnen. Hij moet situaties van eindgebruikers kunnen nabootsen, software kunnen debuggen en beoordelen of het gebouwde in verschillende praktijksituaties werkt. Daarvoor kan het zomaar voorkomen dat deze tijdelijk de virusscanner uitschakelt. Een security issue? Nee: Je mag er van uit gaan dat dit type medewerker voldoende ervaring en opleiding achter de rug heeft om te weten hoe de systemen werken, waar de vulnerabilities zitten en hoe ze policies moeten omzeilen. Zorg dat ze geen tijd kwijt zijn met het omzeilen van allerlei beveiligingsmaatregelen.


Een voorbeeld: Bij een organisatie, krijgen ontwikkelaars een “Managed Virtual Machine”. Waarom? Visual Studio kan niet geïnstalleerd worden op de eigen laptop, vanwege het beveiligingsbeleid. In plaats van het aanpassen voor de policy voor die groep gebruikers, krijgen ze een virtual machine, waarop Visual Studio voor-geïnstalleerd is. En natuurlijk de virusscanner, firewall en systeem-policy wat het onmogelijk maakt veel meer met het systeem te doen dan het werken in Visual Studio. Omdat het enigszins werkbaar moet zijn, is de policy van die VM’s door de jaren heen versoepeld.


Advies: IT Pro, Software Engineer of Developer: No policy for you! We hebben het hier over mensen met hoogwaardige kennis van IT-systemen, en die ga je niet dwars zitten met allerlei policies. Leg wel vast dat misbruik of nalatigheid uit den boze is en zie daar op toe. Dus: Een virusscanner tijdelijk uitschakelen om te kunnen debuggen is prima, maar permanent uitschakelen niet. Zelf software installeren kun je echt wel aan een developer overlaten, maar de IT-afdeling wil natuurlijk wel grip houden op het gebruik hiervan, de licenties en het voorkomen van wildgroei. Ben hier duidelijk in. De open source tool NotePad++ bijvoorbeeld is erg populair bij developers. Het gebruik daarvan verbieden beperkt de developer in zijn werk en verlaagt zijn productiviteit. Waarom zou je dat doen? Om wildgroei te voorkomen? In dat geval bedenk eens of die wildgroei erg is. Waarschijnlijk weegt het gebruik van die tools op tegen het ongemak van de wildgroei.


Daarbij is het natuurlijk wel van belang dat er geen illegale software geïnstalleerd word, maar als je dat duidelijk beschrijft zou ik van de professionaliteit van de medewerkers uit gaan en erop vertrouwen dat ze verantwoord omgaan met de verkregen vrijheid.


Een frats uit de praktijk: Het leek de Security-afdeling goed om gebruik te gaan maken van een password manager. Op zich een heel goed idee. Maar... een over enthousiaste beheerder, timmerde die password manager zo dicht mogelijk. Een gebruiker die een password kopiëert naar het clipboard om vervolgens te plakken in het password-veld kwam bedrogen uit als hij niet snel genoeg was. De optie "Clear clipboard every 20 seconds" was aangezet.


Wat gebeurde er? De veel gebruikte passwords werden in een text-file op de desktop bewaard, waaruit je wel fatsoenlijk kunt kopiëren/plakken. Schiet dus niet door in security, want dan wordt het er niet productiever en ook niet veiliger op.

16 views

Follow me

 

© 2018 - 2020 by Mark Baars

Photo by Bas van der Burgt

 

Call

Skype: markjbaars

  • LinkedIn - White Circle
  • Facebook Clean
  • Twitter Clean
This site was designed with the
.com
website builder. Create your website today.
Start Now