Skrivet av fenicks:
Jag förstår det du säger men insisterar på att det måste vara en balans. En avvägning mellan olika intressen och behov. När IT-avdelningen inte klarar att göra det får de tunnelseende. Och det är ju inte deras fel, de har i uppdrag att säkra IT-miljön och det är vad de följs upp på. Det är vad deras processer syftar till, och vad deras chef frågar dem om.
Om man specifikt pratar ransomware finns det dock infrastrukturella lösningar, från backuper till molnlagring, som gör att ett gäng krypterade hårddiskar inte sänker organisationen. Stöld av information/dataläckor kan begränsas genom en god hantering av behörigheter och kryptering.
En riskvärdering består både av sannolikhet och konsekvens. Mitigerar man konsekvenserna av en risk så är det inte orimligt att en uppdatering av någon obskyr app dröjer ett par dagar så att IT-avdelningen kan samla den och andra uppdateringar i paket som pushas ut samtidigt tänker jag.
Att gå ner på detaljnivå är såklart svårare då det skiljer sig från företag till företag....
Men det är inte helt osannolikt att IT-avdelningen styrs flera nivåer längre upp där man som tekniker inte kan göra sin röst tillräckligt hörd. Oavsett, om man som tekniker kan göra skillnad så blir nog lösningen med stor sannolikhet ungefär det samma oavsett.
Just ransomware var bara ett taget exempel i detta fall.
Skrivet av snajk:
Tja kanske, samtidigt tror jag de i allmänhet är bättre på sånt än utvecklare, än mer än typ devops och liknande.
Jag läste en kurs i IT-säkerhet 2008, redan då sa läraren att det var skit och att MS sedan länge hade slutat rekommendera lösenordsbyten i onödan. Likväl är det ett krav överallt fortfarande, nytt lösenord var nittionde dag och ingen återupprepning på rätt många gånger. Det leder till enkla mönster och/eller samma lösenord med ett nytt löpnummer efteråt. Vi har dessutom krav på tvåfaktorsautentisering för att komma åt företagsresurserna, vilket för det ännu dummare att tvinga in lösenordsbyten hela tiden. Vem bestämmer sådana dumheter? Det borde inte vara företagsledningen för de lägger sig inte i sådana små detaljer, och jag gissar att de knappast är de som minns sina lösenord varje gång. Så jag gissar på någon "panel" med en jurist och en "IT-expert" någonstans som inte har kompetensutvecklat sig sedan förra millenniet.
Biometri är väl positivt, men parar man det med denna byteshysteri så gör det bara det mycket svårare att komma ihåg lösenordet när det väl är dags för byte och man behöver skriva in det för första gången på tre månader liksom. Nej, lägg ner lösenord för slutanvändarna till datorn och företagets resurser, biometri parat med tvåfaktors är säkrare och man slipper problem med att ha lösenord en människa ska kunna komma ihåg.
Vad är lättare än att låta folk själva välja ett bra lösenord och sen behålla det tills dess att man får indikationer på att det inte är säkert längre? Förutom då förstås biometri och app på telefonen.
Problemet är när IT-miljön tar så mycket av arbetstiden, eller ens mentala resurser, så att man känner sig tvungen att försöka kringgå dem, oavsett vad policyn säger.
Sen har jag ju före detta kollegor som har hamnat på mer moderna bolag idag. Där de bara väljer vilken dator de vill och tar ansvar själv för den, så loggar man bara in till en utvecklingsmiljö i molnet och jobbar på. De kan köra Mac, Linux eller vad de vill, behålla sin gamla favoritdator eller köpa någon gaming-maskin som de använder på fritiden exempelvis. Då känns det som ett hån hur vi har det.
Allt som oftast så håller IT-tekniker med dig, men kan inte påverka själva.
Det kan vara t.ex kunder som kravställer sånt här jämtemot dess IT-leverantör. Detta oavsett hur dumt det faktiskt än är i praktiken.
Jag hade turen att man på min arbetsplats reviderade detta tänk så sent som 2022. Då gick man över till ett permanent lösenord samt 2FA. Då raderades även de 24 senast använda lösenord-regeln och man kunde äntligen välja det man ville ha och få det permanent.
Inget jag känner igen iallafall bolaget jag är på så är vi så stora att till och med vi som arbetar som IT-tekniker endast gör det emot kund, så vi som IT-tekniker må ha admin på våra datorer, men det är inte vi som ansvarar för dem. Våra datorer är hanterade av vår interna IT.... inte alls löjligt eller?
Skrivet av snajk:
Det må så vara, men det är deras jobb. Är det en onödig fråga när min dator vägrar koppla upp sig på nätet i timmar varje måndagsmorgon och jag ber dem om hjälp (och jag vet att det inte är mitt nätverk eller något som jag kan påverka)? Jag tycker inte det för annars får jag bara rulla tummarna dessa timmar. Däremot är det en onödig fråga när de ringer för tredje gången samma vecka och undrar om de kan stänga sagda ärende, trots att jag inte kan veta om det är löst förrän på måndag, något jag påpekat i varje kontakt med dem (även om jag förstås är 99,9999% säker på att det inte är löst för de har inte gjort något som inte jag själv och de gjort flera gånger redan utan resultat).
Missförstå mig inte, de som jobbar med internsupport har definitivt inget emot att prata med dig. Jag menar att de inte vill ha ett samtal om en bruten uppdatering då det endast är ett merarbete. De vill hellre lösa problem som inte är orsakade av handhavande. Ett problem som ger lite mer utmaning och syfte.
Det andra du nämner är tyvärr mest troligt trasiga, överdrivna och tråkiga processer.
De är minst lika tråkiga för både den som ringer och den som blir uppringd, men det är processer kravställda under upphandlingar mellan kund och leverantör(eller internt). Kvittar om de är retarderade, inget man bara kan bryta.
Skrivet av snajk:
Men varför är det så viktigt att det ska ske inom 72 timmar (på mitt jobb är det normalt sex timmar dock)? Det är ju liksom förra årets Windows-uppdatering som de har suttit och hållt på, eller en till något skitprogram jag inte vill ha eller använder som företaget tvingar in och som måste uppdateras (exempelvis Adobe Reader).
Jag har inga problem att installera uppdateringar, jag gör det på mina egna datorer hela tiden och skjuter sällan upp dem mer än några timmar, men jobbdatorn vill jag inte använda utanför arbetstid, speciellt inte för att göra underhåll (även om jag har lagt typ halva helgen några gånger bara för att slippa frustrationen av att sitta bredvid och se IT göra samma icke-fungerande sak om och om igen), för det får jag inte betalt för. Då är det inte säkert att jag hinner på sex timmar, eller ens 72 beroende på vilka timmar det är liksom. Får jag en förfrågan om att starta om precis innan lunch eller ett möte så har jag inte tid att spara undan, stänga ner saker i rätt ordning och så, så då gör jag inte det, sen kanske jag inte tänker på det mer förrän nästa påminnelse när det är fem-tio minuter kvar eller när den nu kommer.
Denna har jag en ovilja att svara på på grund av hur specifikt det blir.
Jag vet inte varför det är så viktigt att det skall komma inom ett visst tidsintervall i ditt fall. Kanske man har haft dålig erfarenhet tidigare, intrång eller vad som helst. Eller så är det en påhittad siffra av bosse som sitter på kontoret till höger om hissen.
Varken företag eller tekniker vill att du ska installera dina patcher själv, oavsett om du kan eller ej. Den första anledningen är att det allt som oftast är automatiserade paket som detekterar exakt vad du har installerat, kör ett script baserat på vilken version och sedan ett annat script för att installera den nya versionen. Denna detektering sker via t.ex regnycklar eller andra metoder för att dokumentera vad som är installerat. Om du då som användare installerat något manuellt så fallerar denna automation och det är då en tekniker behöver kontaktas.
Skulle man ge dig ett undantag så skulle det innebära att du skulle behöva ta ansvar för eventuellt felaktiga versioner, något som bara inte är görbart i praktiken. Sure, du kanske, personligen hade kunnat göra det perfekt. Men skall man sätta upp någon form av gallringsprocess för samtliga som vill ha adminrättigheter och vilka mjukvaror de själva skall hantera?
Oftast så finns det 20-X000-tals anställda... det går inte riktigt.
Skulle du bli tvingad en patch direkt innan mötet nästa gång så kör patchen. Ring upp en kvart för sent och säg "De dära jävla IT-killarna har gjort det igen...." så har ni någon ni kan snacka om för ni båda vet hur frustrerande det är. Skulle du förlora en deal eller något så ta det med chefen, så får han isåfall jaga it-avdelningen om det anses vara deras fel.
Skrivet av snajk:
Men tar de verkligen IT-säkerheten på allvar eller är det bara en kuliss, en chimär?
För de följer ju inte alls best practices inom IT-säkerhet utan bara föråldrade "goda råd" som de hittat i PC För Alla eller något. Mitt jobb hör till en stor koncern så vi har olika IT-miljöer och det är rätt olika nivå på policys och så. Ofta skickas det ut en påminnelse om någon policy, typ att man aldrig ska klicka på länkar i externa mail där man inte känner igen avsändaren, för att dagen efter få ett massutskick till alla från en extern tjänst med en suspekt adress, vilket man då ignorerar och då får man skit från cheferna för man inte har svarat på deras undersökning eller vad det nu var. När man påpekar att man inte får klicka på den där länken enligt policyn så får man bara ett hånleende tillbaka, typ "Det kan väl ni IT-kunniga gå runt...", följt av ett nytt massutskick, denna gång från en chefs mail, där det står att man ska ignorera policyn för det föregående mailet.
Jag tänker besvara detta genom att icke besvara det.
Jag personligen arbetar med serverdrift, och inte kundsupport. Tror du att jag låter servrarna ligga nere för att det är ett påhitt, en kuliss att servrar behöver vara online?
Du i din roll, skiter du helt och hållet i dina uppgifter dagligen och låtsas som att det är en lek?
Skrivet av snajk:
Nej, men vi användare vill heller inte sitta och vänta på IT i timmar med jämna mellanrum och inte få något gjort alls. IT eller IT-policys skapar problemet för de är för nitiska eller omständliga, och då gör folk vad de kan för att slippa dem.
Och jag som driftansvarig gillar inte att sitta i timmar och vänta på återkoppling ifrån service-ansvariga om deras "superprioriterade miljö" fungerar efter åtgärd eller ej.
Se det som såhär, du får betalt för att vänta på IT, det är inte alla som har lyxen att få betalt för att dricka kaffe.
Om det sedan visar sig att era processer faktiskt är trasiga, då föreslår jag ett konstruktivt mail till it-avdelning ccat till din chef.
Skrivet av snajk:
Jo, men det problemet beror ju på all säkerhetsmjukvara och liknande som är tvingat på dessa maskiner. Windows- eller Office-uppdateringar går sällan fel idag, förutom på företag som inte bara har hängslen och livrem utan också promenadhjälm och skyddsglasögon liksom, hur många end-point-protection-grejer behöver man på en dator? Tre? AV-mjukvara? Tre sådana med? Ser ni inte att det är den skiten som orsakar problemen?
Ämnet i tråden handlar om tekniker. Vi är bara personer med högre IT-rättigheter och IT-kunskaper än användaren. Ta upp problemet med en säkerhetsarkitekt, eller återigen, ledningen. Den mjukvaran som installeras är mest troligt inte bestämd av någon som arbetar primärt med teknik, tyvärr. Förutom om du är på ett micro-företag.
Samma skit för elektriker, snickare, maskinoperatörer och nästan vilken knegare som helst. Det är upp till inköparen och ledningen vilka spik, vilka kretsar & vilka knivar som köps in.
Skrivet av snajk:
Handlar det inte om bristande utbildning då? Om IT hade förklarat att det är viktigt att göra en omstart i alla fall en gång i veckan, och var snälla gör det på fredagseftermiddagarna eller liknande, så borde det hjälpa rätt mycket. Än mer om de typ skickade ut en kalenderpåminnelse för det.
Det är mycket möjligt! Om du har bra konstruktiva förslag, och jag vet, det är tjatigt. Så gör dig hörd. Tro mig, vi som tekniker har också förslag om förbättringar. T.ex att sätta en utskriven 3-sidors handbok med de allra vanligaste felen och dess lösningar och hänga dem på varje skrivare på kontoret för att minska ärendemängden.... men det är inte alltid vi som bestämmer om det är så man FÅR göra.
Skrivet av snajk:
Men om jag inte behöver min penna förrän imorgon eller nästa vecka så går jag inte den "två-timmars promenaden" till rummet där pennvässarna finns precis då liksom.
Du låter som att du är sugen på att ringa IT imorgon
Om allt som krävs för att lösa ett problem är en omstart, då är omstart den lättaste lösningen, för dig själv, för alla inblandade.
Skrivet av snajk:
Jag hatar inte uppdateringar utan jag gillar dem, även automatiska. Jag hatar onödiga uppdateringar av saker jag inte vill ha däremot, jag hatar Windows-uppdateringar som företaget har pillat på så att de inte valideras som säkra och därmed misslyckas gång på gång på gång, jag hatar uppdateringar av mailsignaturer som kräver en fucking omstart, hur lyckas man!?!
Nej, låt användarna köpa den dator de vill ha och ta hand om underhållet själv, sen remote till företagets skrivbordsmiljö, snabbt enkelt, säkert.
Agreed. Jag blev för inte mer än 2 månader sedan utelåst från min privata dator som jag använde för att arbeta med. Jag hade allt exakt som jag ville, det OS jag vill ha, den setup jag vill ha.
Men nej, då släpper Microsoft en förändring som kräver edge, företaget passar på att i samma veva strikta upp säkerheten och gör det till ett krav att ge företaget fulla admin-rättigheter på datorn som skall användas i företagsmiljö.
Dvs de vill ha full åtkomst till MIN privata dator. Inte en chans i hela universum. Så nu sitter jag med en högljudd, varm sketen tråkig företagsdator för att uppfylla policy och jag hatar varje sekund av det.
I slutändan är tekniker också användare och nej, vi bryter inte de policys som sätts upp. Och den tekniker som gör det bör få sparken omedelbart.
-----
PS. För att jag skall kunna ansluta till båda miljöer jag arbetar emot så måste jag ha uppdaterat antivirus annars släpper inte VPN igenom. Så varje morgon när jag vaknar startar jag datorn, sedan tar jag nån dryck, går på toa, bortstar tänder och så vidare och när jag är tillbaka så är uppdateringen klar.
När jag väl kommit in i miljön så drar windows update igång, det är bios uppdateringar, office uppdateringar, windows uppdateringar och allt skit som packats och det skall in, allting.
När det är gjort så ansluter jag till min virtuella maskin, som hanteras av kundens policys.
Då skall också den uppdatera antivrus. och när den har gjort det... så checkar den efter uppdateringar... and here we go again . . . .
Vi som tekniker har lyxen att både först hämta uppdateringar, läsa om dem, packa dem, och sedan pusha dem.
När det är klart så blir vi användare och vi skall sedan få dem installerade också
Du behöver inte besvara hela detta aset till text
Jag vill mest förmedla att alla sitter lite i samma båt, alla är maktlösa, till olika grader, i olika scenarion och alla måste bara "deal with it" i de absolut flesta fallen.
I slutändan så var mitt jobb en gång kundservice, IT-support.
Då jobbade jag 80% med kund och 20% med teknik.
Mitt mål var alltid en nöjd kund, oavsett om kunden var ett as eller någon som gav mig glädje.
Idag jobbar jag 80% med teknik och 20% med kund.
Mitt mål är fortfarande alltid en nöjd kund, oavsett om kunden är ett as eller någon som ger mig glädje.
Ända skillnaden är att jag inte längre jobbar emot datoranvändare, nu är det service-ansvariga som är min slutanvändare och när man behöver starta om 3 servrar så blir de precis lika piss sura som en användare blir för en office patch.
EDIT:
Åh titta - https://www.sweclockers.com/nyhet/36776-windows-11-moment-3-b...
Mer skit att uppdatera. Må microsoft gå i graven innan jag gör det.