Skrivet av fenicks:
Jag kan ofta känna att de som jobbar på IT-avdelningar har fantastisk teknisk kunskap, men att de kanske är sämre på just hur människor fungerar. Jag tror på riktigt att det är en allvarlig säkerhetsbrist.
Tja kanske, samtidigt tror jag de i allmänhet är bättre på sånt än utvecklare, än mer än typ devops och liknande.
Citat:
Att kräva frekventa lösenordsbyten är exempelvis något som visserligen leder till att folk inte har samma lösenord i 10 år, men det leder också till att den som hade KattenGustav1 nu har KattenGustav2 istället. Kanske lurar ett ex, men inte en duktig hacker. Den mänskliga naturen är ju att undvika störningsmoment som stjäl energi/fokus från huvuduppgiften man har framför sig, och det är störande att byta ett lösenord man "har i fingrarna". Då är exempelvis biometrisk data ett bra komplement. Omstarterna hos oss leder till att vissa medarbetare VPN-ar in från personlig dator, vilket ju öppnar en onödig attackvektor. Jag själv vänder mig till Sweclockers expertis för att komma runt systemet och är jag tillräckligt motiverad kommer jag ju att hitta ett sätt.
Jag läste en kurs i IT-säkerhet 2008, redan då sa läraren att det var skit och att MS sedan länge hade slutat rekommendera lösenordsbyten i onödan. Likväl är det ett krav överallt fortfarande, nytt lösenord var nittionde dag och ingen återupprepning på rätt många gånger. Det leder till enkla mönster och/eller samma lösenord med ett nytt löpnummer efteråt. Vi har dessutom krav på tvåfaktorsautentisering för att komma åt företagsresurserna, vilket för det ännu dummare att tvinga in lösenordsbyten hela tiden. Vem bestämmer sådana dumheter? Det borde inte vara företagsledningen för de lägger sig inte i sådana små detaljer, och jag gissar att de knappast är de som minns sina lösenord varje gång. Så jag gissar på någon "panel" med en jurist och en "IT-expert" någonstans som inte har kompetensutvecklat sig sedan förra millenniet.
Biometri är väl positivt, men parar man det med denna byteshysteri så gör det bara det mycket svårare att komma ihåg lösenordet när det väl är dags för byte och man behöver skriva in det för första gången på tre månader liksom. Nej, lägg ner lösenord för slutanvändarna till datorn och företagets resurser, biometri parat med tvåfaktors är säkrare och man slipper problem med att ha lösenord en människa ska kunna komma ihåg.
Citat:
Det finns ett beteendevetenskapligt begrepp som kallas nudging. Det innebär i korthet att man genom små medel puffar användare i rätt riktning. Gör man cykelparkeringar synliga är det mer sannolikt att medborgare väljer cykel framför bil. Friskvårdstimme på jobbet leder till fler som tränar, osv. Människor i grupp är som rinnande vatten, de hittar alltid vägar runt hinder och tar en så energieffektiv väg de kan hitta – men kan också ledas till att göra stor nytta om man klarar att frigöra kraften. Det ska vara lätt att göra rätt, som man säger.
Vad är lättare än att låta folk själva välja ett bra lösenord och sen behålla det tills dess att man får indikationer på att det inte är säkert längre? Förutom då förstås biometri och app på telefonen.
Problemet är när IT-miljön tar så mycket av arbetstiden, eller ens mentala resurser, så att man känner sig tvungen att försöka kringgå dem, oavsett vad policyn säger.
Sen har jag ju före detta kollegor som har hamnat på mer moderna bolag idag. Där de bara väljer vilken dator de vill och tar ansvar själv för den, så loggar man bara in till en utvecklingsmiljö i molnet och jobbar på. De kan köra Mac, Linux eller vad de vill, behålla sin gamla favoritdator eller köpa någon gaming-maskin som de använder på fritiden exempelvis. Då känns det som ett hån hur vi har det.
Skrivet av Allexz:
Är ni medvetna om att IT också installerar samma uppdateringar som alla andra?
Jo visst, ett år senare.
Citat:
Är ni medvetna om att det är IT som blir uppringd med totalt onödiga frågor och klagomål på något som gäller alla i rummet?
Det må så vara, men det är deras jobb. Är det en onödig fråga när min dator vägrar koppla upp sig på nätet i timmar varje måndagsmorgon och jag ber dem om hjälp (och jag vet att det inte är mitt nätverk eller något som jag kan påverka)? Jag tycker inte det för annars får jag bara rulla tummarna dessa timmar. Däremot är det en onödig fråga när de ringer för tredje gången samma vecka och undrar om de kan stänga sagda ärende, trots att jag inte kan veta om det är löst förrän på måndag, något jag påpekat i varje kontakt med dem (även om jag förstås är 99,9999% säker på att det inte är löst för de har inte gjort något som inte jag själv och de gjort flera gånger redan utan resultat).
Citat:
Det finns alltid någon eller flera på alla företag som anser sig antingen vara kunnig nog själv för att lösa sina egna problem (läs: IT måste installera om hela datorn i efterhand) eller bara anser sig själv vara så pass viktig att det inte räcker med 3 dygns påminnelser om att "Starta om datorn när möjlighet finns inom 72 timmar" - något som verkar vara fullständigt omöjligt.
Men varför är det så viktigt att det ska ske inom 72 timmar (på mitt jobb är det normalt sex timmar dock)? Det är ju liksom förra årets Windows-uppdatering som de har suttit och hållt på, eller en till något skitprogram jag inte vill ha eller använder som företaget tvingar in och som måste uppdateras (exempelvis Adobe Reader).
Jag har inga problem att installera uppdateringar, jag gör det på mina egna datorer hela tiden och skjuter sällan upp dem mer än några timmar, men jobbdatorn vill jag inte använda utanför arbetstid, speciellt inte för att göra underhåll (även om jag har lagt typ halva helgen några gånger bara för att slippa frustrationen av att sitta bredvid och se IT göra samma icke-fungerande sak om och om igen), för det får jag inte betalt för. Då är det inte säkert att jag hinner på sex timmar, eller ens 72 beroende på vilka timmar det är liksom. Får jag en förfrågan om att starta om precis innan lunch eller ett möte så har jag inte tid att spara undan, stänga ner saker i rätt ordning och så, så då gör jag inte det, sen kanske jag inte tänker på det mer förrän nästa påminnelse när det är fem-tio minuter kvar eller när den nu kommer.
Citat:
För att förtydliga strukturen lite.
Ett företag styrs av processer som sätts upp av ledning. I detta fallet diskuterar vi IT processer. Dessa processer sätts upp för att skydda företaget från intrång, skydda företaget från dess egna medarbetare och för att vara så billigt som möjligt.
Det är en ekvation som inte alltid går ihop, men tack och lov verkar ni båda arbeta på ett företag som tar IT-säkerheten på allvar. De har alltså gett direktiv till IT-avdelningen att se till att datorerna SKALL uppdateras inom vissa intervall, och där har IT-grupperingen med största sannolikhet diskuterat fram vilken lösning som både är säker och get slutanvändaren minst problem (för om slutanvändaren får problem - då får IT-avdelningen också problem).
Men tar de verkligen IT-säkerheten på allvar eller är det bara en kuliss, en chimär?
För de följer ju inte alls best practices inom IT-säkerhet utan bara föråldrade "goda råd" som de hittat i PC För Alla eller något. Mitt jobb hör till en stor koncern så vi har olika IT-miljöer och det är rätt olika nivå på policys och så. Ofta skickas det ut en påminnelse om någon policy, typ att man aldrig ska klicka på länkar i externa mail där man inte känner igen avsändaren, för att dagen efter få ett massutskick till alla från en extern tjänst med en suspekt adress, vilket man då ignorerar och då får man skit från cheferna för man inte har svarat på deras undersökning eller vad det nu var. När man påpekar att man inte får klicka på den där länken enligt policyn så får man bara ett hånleende tillbaka, typ "Det kan väl ni IT-kunniga gå runt...", följt av ett nytt massutskick, denna gång från en chefs mail, där det står att man ska ignorera policyn för det föregående mailet.
Citat:
De flesta IT-avdelningar gillar att antingen lösa lite svårare problem, eller helt enkelt så få som möjligt. Det finns ingen som vill hantera sådant här:... Jag ber om ursäkt Gnäll, gråt och självömkan Än en gång, jag ber om ursäkt.
Nej, men vi användare vill heller inte sitta och vänta på IT i timmar med jämna mellanrum och inte få något gjort alls. IT eller IT-policys skapar problemet för de är för nitiska eller omständliga, och då gör folk vad de kan för att slippa dem.
Citat:
Om patchningen går igenom på 100% av alla maskiner så vet teknikern att det är en lucid dream och att han snart vaknar.
Om den går igenom på >80% första dygnet så firas det nog med champagne eller fin-ost.
Jo, men det problemet beror ju på all säkerhetsmjukvara och liknande som är tvingat på dessa maskiner. Windows- eller Office-uppdateringar går sällan fel idag, förutom på företag som inte bara har hängslen och livrem utan också promenadhjälm och skyddsglasögon liksom, hur många end-point-protection-grejer behöver man på en dator? Tre? AV-mjukvara? Tre sådana med? Ser ni inte att det är den skiten som orsakar problemen?
Citat:
Om det finns folk som aktivt trycker: SEN, SEN, SEN, SEN, SEN, SEN och sedan shutdown /a, shutdown, /a shutdown, /a shutdown /a - istället för att bara starta om datorn på morgon, middag eller kväll som 80+% av alla andra kollegor....... då är det inte IT-avdelningens fel. Tro mig, de vill inte ha ditt samtal.
Handlar det inte om bristande utbildning då? Om IT hade förklarat att det är viktigt att göra en omstart i alla fall en gång i veckan, och var snälla gör det på fredagseftermiddagarna eller liknande, så borde det hjälpa rätt mycket. Än mer om de typ skickade ut en kalenderpåminnelse för det.
Citat:
TL:DR
Starta om datorjäveln för helvete. Inte fan sitter du å fortsätter å skriva med din blyertspenna när spetsen är knäckt väl?
Men om jag inte behöver min penna förrän imorgon eller nästa vecka så går jag inte den "två-timmars promenaden" till rummet där pennvässarna finns precis då liksom.
Citat:
När du väl bytt företag och hamnat på ett företag utan IT-processer och utan patcher så kan du se fram emot när din dator istället för att gnälla om en omstart gnäller för att disken blivit krypterad av ett virus. Tillsammans med alla 80 andra på ekonomiavdelningen......
DÅ kan du ta upp facklan och skälla ut IT-avdelningen. Men VÄNLIGEN skäll inte ut dina kollegor för att de gör sitt jobb och håller din dator i bästa möjliga skick.
/End rant
Dåså, då har jag kräkt av mig lite.
Nedan kommer konstruktiv återkoppling.
För att lättast undvika problem med uppdateringar i din stressiga vardag:
1. Starta om datorn på det tillfälle som du minst påverkas av det, ett förslag är att göra det i samband med att du vaknar på morgonen eller på slutet av dagen.
2. Kom ihåg att det kunde varit värre.
3. Inse att vi alla, oavsett roll, hatar uppdateringar.
Jag hatar inte uppdateringar utan jag gillar dem, även automatiska. Jag hatar onödiga uppdateringar av saker jag inte vill ha däremot, jag hatar Windows-uppdateringar som företaget har pillat på så att de inte valideras som säkra och därmed misslyckas gång på gång på gång, jag hatar uppdateringar av mailsignaturer som kräver en fucking omstart, hur lyckas man!?!
Nej, låt användarna köpa den dator de vill ha och ta hand om underhållet själv, sen remote till företagets skrivbordsmiljö, snabbt enkelt, säkert.