Iemand die ITer is en niet weet dat je geen standaard wachtwoorden moet gebruiken
Ik wil even weten hoeveel ITers jij bent tegengekomen in de afgelopen 20 jaar die wachtwoorden als "Welkom01" gebruikten voor passwords, passwords in de documentatie zetten op de netwerkschijf, of voor verschillende systemen allemaal hetzelfde ww gebruiken. Ik heb namelijk niet genoeg vingers.
of de systemen moet patchen heeft echt een gebrek aan basiskennis.
Zelfde vraag, hoeveel systemen ben jij tegen gekomen in de afgelopen 20 jaar die niet voldoen aan die eisen? En hoeveel bedrijven ben jij tegengekomen die geen geld wilde uitgeven om elke keer systeem x te laten patchen? Of tijd/geld uit te trekken om patches eerst te testen voordat ze worden uitgerold? Of servers die zo verdomde instabiel waren waarbij je eigenlijk niet durfde te updaten omdat je bang was dat deze wel eens down zou kunnen gaan en nooit meer op zou komen. In alle gevallen veel meer dan dat me lief is.
Maar we hebben het specifiek over Cisco VPN, of liever, GB2 had het specifiek over Cisco VPN. Ik zie dat niet als basis security kennis. Over de rest heb je gelijk, maar er zit nog steeds een wezenlijk verschil tussen iets weten en iets doen.
Een computer of netwerkapparatuur kopen met tal van beloftes kan iedereen met geld, maar dat wil niet zeggen dat die ook geschikt is om als ITer te functioneren. Al lijken heel wat mensen dat liever wel te denken omdat het bijvoorbeeld het eigen gewin helpt (lees het levert geld op zolang het goed gaat en niemand lastige vragen stelt, er meer kennis van heeft en kritisch is op het prutswerk).
Het probleem is dat het altijd meer geld oplevert, ook al gaat het niet goed en gaat iemand lastige vragen stellen, want dan wordt er veel te vaak een l*lverhaal opgehangen waarvan de niet ITer niet weet dat het rammelt en een externe expert niet direct kan zeggen "Das een l*lverhaal!" zonder de rest van de omgeving te kennen.
Aan de andere kant heb ik ook vaak genoeg meegemaakt dat 'externe experts' ook maar wat roepen in de hoop dat niemand wat durft te zeggen of niet weet waar hij/zij het over heeft. Ik heb ook wel eens een klant om de oren moeten slaan met white papers, onderzoeken van 3e partijen en email communicatie omdat een 'externe expert' wel even dacht een nieuwe klant te kunnen binnenslepen over iemand anders zijn lijk. Van pure leugens tot zaken waarvan je anderhalf jaar geleden al had voorgesteld dat te verbeteren maar dat de klant niet akkoord ging met de kosten (vandaar nooit emails verwijderen als ITer!).
Ik zal zeer zeker toegeven dat er zat prutsers zijn in de IT, zeker die beter zouden moeten weten, maar het in de praktijk niet doen. Echter zie ik ook net zo vaak dat bedrijven hun ITers niet voldoende tijd/geld geven om alles te doen wat er gedaan moet worden, waardoor er week op week alleen maar brandjes worden geblust en geen structurele verbeteringen worden geïmplementeerd of er gewoon essentiële processen ontbreken. Denk bv. aan change management, wat ook door veel ITers word afgedaan als nutteloze bureaucratie: iemand zet ivm. een lang lopende storing patch management uit op een behoorlijke cluster PCs en omdat het nergens centraal wordt bijgehouden/geregistreerd wordt blijkt dat er uiteindelijk bijna een jaar geen patches zijn gedraaid. Das behoorlijk naar als je daar tegen aanloopt als je remote PC naar W10 probeert te upgraden...
[Reactie gewijzigd door Cergorach op 22 juli 2024 23:08]