Eindelijk weer eens poll waarbij je je persoonlijke top 4 kunt samenstellen

Mensen die blijven doen wat ze altijd al deden

Je bedoelt te zeggen, wat ik ook wil zeggen: ze zijn alle 4 van toepassing?

De grootste uitdaging: Gebruikers

- hun weerstand tegen verandering
- hun (on)vermogen om nog mee te komen in een veranderende wereld

"If you wish to avoid the wrath of the technical officers, please keep the batteries on the inside of your fire alarms!"
-- The Chronicles of St Mary's

The batteries are frequently removed because the alarms are triggered by the employees' research activities. The loud noise is disruptive and inconvenient, leading to the batteries being removed to avoid the constant alarms.
The Health & Safety officer is fighting an uphill battle to get them too leave those batteries in the fire-alarms and smoke detectors.

Optie 5: Tijd

Gesorteerd op prioriteit en de mate van belangrijkheid:

European Alternatives

We help you find European alternatives for digital service and products, like cloud services and SaaS products.

https://european-alternatives.eu/category/cloud-computing-platforms

Ik heb erg weinig last van gebruikers. Eerder dat ze met zinnige vragen en opmerkingen komen. En waarderen extra security maatregelen en/of handelingen.
Het is meer management die geen visie heeft, de kennis ontbeerd om risico'd te onderkennen en daardoor ook niet voldoen budget vrij maakt. Dit veranderd pas als er een significant incident is geweest (kalf / put).

Ik zie dat als (personeels-) Budget.

Legacy, Budget, Visie en Kennis.

In die volgorde zie ik het.

Legacy: Alle mensen zijn gewoontedieren. Vroeger werd dat gepakt in het gezegde: 'Wat de boer niet kent, dat eet hij niet."
Budget: Het liefst laat iedereen voor alles alleen maar de zon opgaan.
en als laatste:
Visie moet vooraf worden gegaan door Kennis.

-------------------------------------------------------------

edit: Laatste twee door mij genoemde punten had ik per abuis verwisseld.

Visie komt voort uit kennis, kennis is bepalend voor uitgedragen visie, zo zou het horen te zijn.

Je hebt ze allemaal nodig.
Het grootste probleem zijn de gebruikers die er de uitdaging in zien om er omheen te werken ipv. te bedenken dat die maatregelen ergens goed voor zijn ...

Meestal komt dat omdat die maatregelen, met alle beste bedoelingen, (te) restrictief gevonden worden.
Ze kunnen niet (meer) doen wat ze willen of moeten doen.

Dus worden batterijen uit brandmelders gehaald, want ze gaan te vaak af en zijn te luid.

_/^u^\_

Budget en visie. Security kost nu eenmaal geld wat over het algemeen niet zal worden terug verdiend. Daarom wordt er moeilijk gedaan over budgetten. En dan is er ook de visie, of eerder het gebrek eraan. Risico management en de weg vooruit bepalen is vaak al een brug te ver bij het management.
Maar ik mis een belangrijke en dat is cultuur. Bij veel organisaties heerst er een cultuur waarbij alles mag en niets hoeft. Ga daar maar eens verandering in brengen als het management, verantwoordelijk voor cultuur, hun vingers er niet aan wil branden of vind dat jij je maar moet aanpassen en hun gebruikers niet zo moet lastig vallen want ze hebben het al zo druk. En oh ja, kun je er ff voor zorgen dat ik weer met mijn eigen ipad documenten kan downloaden en weer mee naar huis kan nemen? Ik vind dat online werken echt helemaal niets. Mag niets kopieren, downloaden of printen. Mag zelfs geen screenshot meer maken. Dat is toch geen werken zo?
Tja, als CISO kun je dan net zo goed op de markt gaan staan.

Dit lijkt me een gevalletje ongeschikte veranderaar. Alle mensen zijn mee te krijgen in veranderingen mits je dit goed aanpakt. Makkelijk om naar andere te wijzen

Zonder kennis is er geen goed werk, met of zonder budget, visie of legacy.

Heb je er weer 1..
3 is dus weer van toepassing.

Door gebrek aan kennis neem je de verkeerde beslissing. Linux is niet de oplossing.

Alle 4 zijn van toepassing.

In veel omgevingen wordt door gebrek aan kennis en visie te weinig budget beschikbaar gesteld waardoor je blijft zitten met legacy.

Ik zei dan ook "uitdaging" niet "het lukt niet".

Heb je ook voorbeelden waar het niet gelukt is mensen mee te krijgen? En waarom lukte dat niet...

Of is altijd alles 100% perfect gelukt?
Het schoolboekvoorbeeld hoe het moet. Altijd. Overal. Zonder onvoorspelbare invloeden van de werkelijkheid.

Kennis. Maar ook zeker kennisoverdracht.

Er zijn er steeds meer die denken dat alles een makkie voor je moet zijn. Je zult er wel een app voor gebruikt hebben. Of AI. Aan de klant ligt het nooit. Die heeft een dure iPhone. Daar werkt altijd alles op. Anders was die niet zo duur.

Ze zijn vooral, maar niet uitsluitend, een securityrisk voor en door zichzelf. Doof en blind en waar betalen ze je anders voor. Mijn schoonzus zei dat alles zo gemakkelijk is voor je. Ze zijn echter ook een risico voor mijn eigen security. Omdat ze te veel aandacht eisen. En zelfs als je het zo simpel mogelijk uitlegt ziende doof blijven.

Gisteren nog. Klant had voor de zekerheid een nieuwe PC gekocht. Maar "kon niet meer in de hotmail komen". En dat het wel vervelend was dat ik daar niet even vier uur voor kon reizen. Wat voor mijn eigen projecten vier uur securityrisk is ook nog. Daar gaat de stekker dus uit. Ik werk enkel nog no cure no pay voor derden. Dan hebben ze geen poot om op te staan.

Eerst mijn eigen zandzakken op orde. En in de gaten houden
Geduld met klanten blijft wel een schone zaak. En servicegericht blijven. Dus netjes alles in maintenance mode gezet. En een linkje naar wix gestuurd. Die kunnen alles ook. En zijn nog goedkoper dan ik. Als dat niet lief is dan weet ik het ook niet meer.

kennis eerst want zonder kennis kom je niet tot de juiste visie
met visie kan je een plan formuleren met bijpassend budget
binnen dat plan dient een onderdeel te zitten dat legacy wordt vervangen/opgeruimd/gemitigeerd

De afweging die gemaakt moet worden tussen security en gebruikersgemak, en waar die grens te leggen. Elke twee minuten een MFA-challenge moeten doen is volkomen onwerkbaar, en slechts een keer per maand is waarschijnlijk te weinig, maar waar ligt de grens? Op welk punt is het onredelijk om gebruikers op te zadelen met nog meer onderbrekingen van hun werk uit naam van security. Tevens de grens tussen security en de privacy van gebruikers; vanuit security perspectief gezien wil je bijvoorbeeld misschien loggen wie wanneer vanaf welk device precies welke website bezoekt, vanuit privacy voor de gebruikers wil je ze de mogelijkheid bieden om, bijvoorbeeld, op de website van een kliniek te kijken welk nummer ze moeten bellen. Maar wil je loggen wie er precies naar zo'n kliniek moet? (dit is slechts een voorbeeld ter illustratie natuurlijk, maar er zijn tientallen van dit voorbeelden te bedenken). "Alles dicht en alles nee" waarschijnlijk heel veilig, maar wat je wil is "Ja, mits". Hoe doen we dat precies, en hoe maken we het goed beheerbaar, en hoe respecteren we de privacy van onze gebruikers en, en hoe houden we het werk plezierig om te doen, dat zijn in ons geval de grootste uitdagingen.
"Werkbaarheid" en "Beheerbaarheid" zijn dus ook toevoegingen aan die vier punten; er zijn legio goede securitymaatregelen gesneuveld omdat het in het dagelijks gebruik na enige tijd onwerkbaar bleek, of onmogelijk goed te beheren.

Kennisoverdracht is wel een dingetje dat zich niet alleen laat uitdrukken in het verkondigen van een visie. Visie is het hebben van een mening, eentje die de kaart in vogelvlucht perspectief tekent en gebaseerd is op feiten en gestaafde prioriteiten.

Ik heb regelmatig het ongeduld met mensen waarover ik de mening heb: als je nu eerst dat ene 'ns gaat doen zoals ik je verteld hebt, kom dan pas met je volgende vraag of probleem.

Dan verkondig ik nogmaals mijn visie, en die op basis van (ervarings)kennis verder gevoed.

Het boek ICT-didactiek in levensloopperspectief van gebruikersmoet nog geschreven worden volgens mij. Want waar haal je evidence based practice vandaan om die didactiek geloofwaardig te maken.

Bij mij op de zaak zitten die security lui de hele dag maar hard te praten over allerlei offtopic stuff zoals:
* Het destileren van limoneen uit sinaasappelschillen
* Het kopen van geitenvlees
* Snelle autos
* Hoe ze al het netwerkverkeer eigenlijk zouden willen gaan DPIen
* pffff

Dus naast dat ze best wat zachter mogen praten, denk ik ook dat de visie en commitment achter blijft.
Laten we het dan maar op de werkvloer zo goed mogelijk doen. Doen we immers al bijna 30 jaar zo. Zonder die nieuwe beroepsgroep.