image

Onderzoek: meeste ambtenaren hebben geen rechten om software te installeren

dinsdag 4 oktober 2022, 16:29 door Redactie, 11 reacties

De meeste ambtenaren hebben geen rechten om software op werksystemen te installeren. Dat is alleen voorbehouden aan systeembeheerders, zo stelt I&O Research op basis van onderzoek onder meer dan driehonderd ambtenaren (pdf). Ook geeft een meerderheid van de ambtenaren aan dat tweefactorauthenticatie is verplicht bij het inloggen op systemen. Daarmee scoort de overheid op deze vlakken beter dan het bedrijfsleven, waar het gebruik van deze maatregelen lager ligt.

Verder stellen de meeste ambtenaren (53 procent) dat er afspraken zijn gemaakt over het gebruik van zakelijke smartphones, laptops en tablets voor privé en/of zakelijk gebruik. Bij medewerkers van grote bedrijven bedraagt dit 45 procent. Daarnaast blijkt dat er binnen de overheid vaker regels zijn opgesteld voor veilig thuiswerken. Wel blijkt dat ambtenaren bij de semioverheid minder vaak dan andere ambtenaren regels of richtlijnen hebben voor het online gedrag op hun werk.

Grote verschillen tussen overheid en bedrijfsleven zijn ook zichtbaar bij het eventueel opleggen van sancties aan medewerkers die zich niet aan de regels voor veilig online gedrag houden. Bij de grote bedrijven vindt 51 procent van het personeel dat collega's die zich structureel niet aan de regels voor online veilig gedrag houden ontslagen moeten kunnen worden. Bij de overheid is dit 38 procent. Verder vindt 30 procent van de ambtenaren dat medewerkers die zich wel aan de regels houden een beloning moeten krijgen, terwijl dit bij grote bedrijven 23 procent is.

Image

Reacties (11)
04-10-2022, 16:42 door Anoniem
vreemd dat dit voorheen werd aangegeven als een gemis bij Linux implementaties bij de overheid...
"ik MOET pakket xxx kunnen installeren, en het draait niet op citrix of (k)vm, dus ik moet root kunnen zijn'..
Toch niet zo noodzakelijk als werd beweerd dus.
04-10-2022, 18:03 door Anoniem
Grote verschillen tussen overheid en bedrijfsleven zijn ook zichtbaar bij het eventueel opleggen van sancties aan medewerkers die zich niet aan de regels voor veilig online gedrag houden. Bij de grote bedrijven vindt 51 procent van het personeel dat collega's die zich structureel niet aan de regels voor online veilig gedrag houden ontslagen moeten kunnen worden. Bij de overheid is dit 38 procent. Verder vindt 30 procent van de ambtenaren dat medewerkers die zich wel aan de regels houden een beloning moeten krijgen, terwijl dit bij grote bedrijven 23 procent is.

Als ze bij het bedrijfsleven en de overheid dezelfde sancties zouden toepassen, dan mogen ze ook dezelfde salariering gaan bieden. Of bied anders normale werknemers dezelfde ontslagbescherming als ambtenaren. (voor zover die nog afwijkt van elkaar)
Misschien dat de overheid dan ook makkelijker aan nieuw personeel kan komen.


Voor de duidelijkheid, IMHO:
- ontslag bij structurele overtreding van de regels: JA (na 2-3 waarschuwingen in je PD)
- beloning voor de regels opvolgen: NEE (dat hoort goed werknemerschap te zijn; en ze krijgen daar al salaris voor betaald)
04-10-2022, 22:46 door Anoniem
Lokale gebruikers zouden eigenlijk geen administrator rechten moeten hebben om hun systemen. Echter, doen wij dit bij ons bedrijf wel, omdat er wekelijks updates bijgewerkt moeten worden van bepaalde software pakketten. Als wij bij tientallen mensen 3x per dag moeten inloggen als admin om dit bij te werken hebben wij de handen behoorlijk vol.

We houden wel een ''gedoogbeleid'' hier op aan. Als collega's zelf iets als spotify willen installeren voor een muziekje tijdens het werk, vinden wij prima. verder is het blijft het een laptop van werk wat enkel voor werk bedoelt is.. Gamen en Netflixen mogen ze mooi op hun eigen laptops doen.
05-10-2022, 08:18 door Anoniem
Verder vindt 30 procent van de ambtenaren dat medewerkers die zich wel aan de regels houden een beloning moeten krijgen.....

Dit is wel heel sneu. Zoiets als: U krijgt belastingkorting omdat u in het afgelopen jaar geen inbraken hebt gepleegd.....
05-10-2022, 08:36 door Anoniem
Door Anoniem:
Grote verschillen tussen overheid en bedrijfsleven zijn ook zichtbaar bij het eventueel opleggen van sancties aan medewerkers die zich niet aan de regels voor veilig online gedrag houden. Bij de grote bedrijven vindt 51 procent van het personeel dat collega's die zich structureel niet aan de regels voor online veilig gedrag houden ontslagen moeten kunnen worden. Bij de overheid is dit 38 procent. Verder vindt 30 procent van de ambtenaren dat medewerkers die zich wel aan de regels houden een beloning moeten krijgen, terwijl dit bij grote bedrijven 23 procent is.

Als ze bij het bedrijfsleven en de overheid dezelfde sancties zouden toepassen, dan mogen ze ook dezelfde salariering gaan bieden. Of bied anders normale werknemers dezelfde ontslagbescherming als ambtenaren. (voor zover die nog afwijkt van elkaar)
Misschien dat de overheid dan ook makkelijker aan nieuw personeel kan komen.


Voor de duidelijkheid, IMHO:
- ontslag bij structurele overtreding van de regels: JA (na 2-3 waarschuwingen in je PD)
- beloning voor de regels opvolgen: NEE (dat hoort goed werknemerschap te zijn; en ze krijgen daar al salaris voor betaald)
Het nare van het menselijk brein is dat ze gemakkelijk akkoord gaan met sancties maar zodra deze sancties daadwerkelijk worden toegepast (wellicht ook op hun zelf) is Leiden in last en roepen ze allemaal hoever het zo heeft kunnen komen. Je ziet dat ook in de 2e slaapkamer terug, nemen moties en wetten aan zonder zich te beseffen wat voor impact deze weleens kunnen hebben op de samenleving (zie toeslagen schandaal bijv.).
Om mensen te kunnen ontslaan wegens (structureel) onveilig online gedrag is echt wel een brug te ver. Hangt ook erg van het type bedrijf af en de cultuur, of er sprake is van opzet en welke afspraken er met de OR zijn gemaakt over het online gedrag.
Daarnaast is het ook van belang wat de werkgever er zelf aan doet om het gedrag van medewerkers positief te stimuleren want laten we wel zijn als ik kijk naar wat soms medewerkers doen omdat de werkgever zaken dicht terecht dichtzet, verdiend ook geen schoonheidsprijs. Maar als ik dan kijk wat zo'n werkgever dan doet omdat gedrag te veranderen, meestal veel te weinig, dan zou het al vreemd zijn om iemand te gaan waarschuwen omdat deze buiten de lijntjes kleurt. Het gedrag van medewerkers wordt vrijwel altijd gestuurt door de cultuur van een bedrijf en als het in die cultuur gebruikelijk is om alleen veilig online gedrag te vertonen zullen de medewerkers dat ook doen. Andersom werkt dat natuurlijk ook zo, als het altijd vrijheid blijheid is geweest moet er eerst een cultuur verandering komen alvorens je medewerkers op fout gedrag kan aanspreken. Veranderen van een cultuur is tenslotte een langdurig proces.
05-10-2022, 09:37 door Anoniem
Dit is toch geen fatsoenlijke steekproef... er zijn rond de 1 miljoen ambtenaren in Nederland en er zijn er 303 ondervraagd - dat is 0,03% van alle ambtenaren. De conclusie die hier getrokken wordt kan best waar zijn, maar dat kan niet uit zo'n kleine steekproef afgeleid worden.
05-10-2022, 11:01 door Anoniem
Door Anoniem: Lokale gebruikers zouden eigenlijk geen administrator rechten moeten hebben om hun systemen. Echter, doen wij dit bij ons bedrijf wel, omdat er wekelijks updates bijgewerkt moeten worden van bepaalde software pakketten. Als wij bij tientallen mensen 3x per dag moeten inloggen als admin om dit bij te werken hebben wij de handen behoorlijk vol.
Dan wordt het tijd om iets te gaan leren over systemen waarmee je dit soort zaken centraal kunt regelen zonder dat de individuele gebruikers hier actie op moeten ondernemen. Dat kost iedere medewerker tijd en dat kun je eenmalig centraal regelen waardoor er op 1 plek wordt aangegeven "deze software bijwerken" en dat dan automtisch op alle systemen gebeurt.
Dan hoeven de gebruikers geen admin rechten te hebben want dit wordt geregeld door een (eenmalig geinstalleerde) service op die machines die admin rechten heeft.
05-10-2022, 11:02 door Anoniem
Door Anoniem: vreemd dat dit voorheen werd aangegeven als een gemis bij Linux implementaties bij de overheid...
"ik MOET pakket xxx kunnen installeren, en het draait niet op citrix of (k)vm, dus ik moet root kunnen zijn'..
Toch niet zo noodzakelijk als werd beweerd dus.
Als er een pakket op het Linux systeem van een medewerker geinstalleerd moet worden dan hoeft niet specifiek die
gebruiker root te zijn, dat kan ook geregeld worden door een beheerder of door een beheer systeem.
05-10-2022, 11:48 door Anoniem
Door Anoniem:
Door Anoniem: vreemd dat dit voorheen werd aangegeven als een gemis bij Linux implementaties bij de overheid...
"ik MOET pakket xxx kunnen installeren, en het draait niet op citrix of (k)vm, dus ik moet root kunnen zijn'..
Toch niet zo noodzakelijk als werd beweerd dus.
Als er een pakket op het Linux systeem van een medewerker geinstalleerd moet worden dan hoeft niet specifiek die
gebruiker root te zijn, dat kan ook geregeld worden door een beheerder of door een beheer systeem.

Ja, dat weet iedereen maar werd als (geaccepteerde) reden genoemd om geen linux te hoeven gebruiken en terug naar (toen) Windows 2000 te kunnen gaan.
05-10-2022, 17:04 door Anoniem
Is een app uit de Microsoft store ook een installatie of wordt hier eigenlijk bedoeld het software installeren onder “all users” met ook de mogelijkheid in het register in “HKLM” te schrijven, dat maakt namelijk nogal wat uit in de risicosfeer
06-10-2022, 09:00 door Anoniem
Door Anoniem: Lokale gebruikers zouden eigenlijk geen administrator rechten moeten hebben om hun systemen. Echter, doen wij dit bij ons bedrijf wel, omdat er wekelijks updates bijgewerkt moeten worden van bepaalde software pakketten. Als wij bij tientallen mensen 3x per dag moeten inloggen als admin om dit bij te werken hebben wij de handen behoorlijk vol.

We houden wel een ''gedoogbeleid'' hier op aan. Als collega's zelf iets als spotify willen installeren voor een muziekje tijdens het werk, vinden wij prima. verder is het blijft het een laptop van werk wat enkel voor werk bedoelt is.. Gamen en Netflixen mogen ze mooi op hun eigen laptops doen.

Dus je doet wel updates (prima natuurlijk) maar hebt geen tooling in place om dat te managen op de endpoints, waarbij die tooling over het algemeen met admin rechten draait via een service account lokaal? Het aantal pogingen dat wij zien van gebruikers om weet ik wat te installeren (ook 'cracked' versies van spullen - zeker tijdens Corona) is er gewoon. Je kunt zo m.i. wachten op een crytolocker of erger die dan ook mee-geïnstalleerd wordt. Dat is een primaire reden, los van compliancy qua licenties bijvoorbeeld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.