Dat is hier jammer genoeg ook nog het geval en zo'n zaken liggen nogal rap bij het management.
We zitten nu aan 20TB Sharepoint. We hebben in elk land en in het centrale datacenter file servers staan. Die naar Sharepoint overhevelen betekent 10TB storage extra.
Ze zien dan wat dat kost en dan wordt het afgeblokt. Liever investeren in een nieuwe lokale server (want da's CAPEX en kunnen ze afschrijven enz) in plaats van jaarlijks extra uit te geven. Ge kunt dan wel benadrukken dat dat verouderd is, veiligheidsrisico's inhoudt etc maar ze besluiten om uw raad te negeren moet ge maar roeien met de riemen die ge hebt.
Dat gezegd zijnde: op de 8 jaar dat ik hier nu werk gaan we wel vooruit, weliswaar stapgewijs maar we gaan vooruit en die overstap naar Sharepoint zit er ook wel aan te komen.
cege
Well-known member
Lijkt me kortzichtig. Hardware maintainen/vervangen/security zelf onderhouden etc etc etc is ook een serieuze overhead. Zowel voor kleine als grote teams.
In de startup hadden we ook zo'n "knutsel IT". Alles zelf doen en onderhouden. 3-4 man full time on site voor 60-70 man die er werkte. Zelf internet lijnen met fail-over maintainen. Zelf website hosten in-house en firewall poorten open zetten en whatnot. Lokale hosting van kleine web applicaties voor klanten (om vb optimale bestelvolumes te berekenen). Lokale file share. Lokale computing environments. Printers zelf beheren. Telefoon centrale zelf beheren. Interne mail server....
Dat was niet sustainable. Er waren continu farcen met dingen die offline gingen, te weinig volk om het te maintainen, elke security audit was het 17 red flags. Continu te weinig storage overal. Zo belachelijk dat er zelfs een beurtrol was in het labo om elke vrijdag data te deleten en/of op schijven te zetten. In de zomer wist je al dat het op eieren lopen was want A en B op verlof = systeem X en Y ligt er zeker 2d per week uit.
Mgmt wou ook niet investeren want 'als je storage bijkoopt, druppelt dat gewoon vol'.
Mgmt wou ook geen 24/7 service voorzien, dus helft van de keren als er ergens een security update van windows of linux of printers or labo machines doorgeduwd werd, was dat niet compatibel met de rest van de infra of was een machine slecht heropgestart of whatever. Oplossing was meestal maar 5 min werk, maar je mocht wachten tot maandag 9h. Meestal werden al de machines in gang gestoken op vrijdag avond om over weekend te lopen. Minstens 1x per maand een weekend naar de botten omdat alles plat ligt wegens voorgaande toestanden.
Dan betaal je eigenlijk 3-4 man full time om 70 niet contente mensen te hebben. Dan kun je er beter maar 1 of 2 betalen, of je 30 of 20 of 10% content bent, doesn't matter.
Ik was een van de weinige met compliancy, business, R&D en IT kennis. Ik heb 10tallen, misschien wel 100, deviation reports, CAPAs, change requests, compliancy recommendations geschreven met root cause-business impact-solution geschreven. Maar op den duur was dat ook gewoon tegen de muur lullen.
"Audit finding: No backups could be retrieved for Feb-Mar 2016"
"Impact: blablala"
"Solution: Automated backup to AWS - zie business proposal XYZ"
Antwoord van mgmt: "Te Duur"
Op den duur kwam er een camionetje gewoon fysieke disks ophalen en die ergens off site stockeren en dan 1 van de ITers in een excelleke bijhouden wat op welke disk stond
Uit miserie een stagiair van de hogeschool zelf iets in elkaar laten flansen om te backuppen naar AWS. 1 maand werk, door ISO13485/27001 audits geraakt en kostprijs was paar duizend euro per jaar. Terwijl de data productie jaarlijks 500k-1M kost. Lijkt me wel de moeite om daar wat geld tegen te gooien om dat niet te verliezen. 1 dataset reproduceren was 5-10k kost...
Na de overname is alles buitengevlogen en file share --> sharepoint; web hosting --> extern; compute --> intern en overflow/data backups naar AWS; telefoon centrale weg en digitaal; mail gewoon via outlook/microsoft servers (duh); etc. Er was nog 1 mannetje on site die alles deed en ook semi klusjes man was.
Het was niet perfect en er was altijd geneut over 'de indiers zijn achterlijk en je moet 3h wachten voor je computer gefixt is'. Maar vroeger mocht je met wat pech 12h wachten, of een weekend, of een week, in functie van het verlof rooster van IT...
Laatst bewerkt:
Haha hier ook zoiets stom nog niet zo lang geledenTicket gemaakt voor een scherm die nietmeer werkte. ICT persoon komt langs.
Kijkt 2 seconden
Collega: Ja Makila ik krijg niet altijd ne pop up via Itsme om in te loggen en dan moet ik soms een uur proberen en ik kan al die tijd niet inloggen (!)
Ik: scan dan toch gewoon de itsme QR code ?
Collega: Ah gaat dat? Daar heb ik nog nooit aan gedacht. Ah ok. Thanks!
peppe
Active member
Wat is dat toch de laatste tijd ... IT gaat echt beginnen denken dat ik achterlijk ben.
Mijn wachtwoord was vervallen. Mijn proxy wachtwoord, mail enz is verbonden aan mijn windows wachtwoord. De mails zien binnenkomen maar genegeerd en vandaag kon ik nergens inloggen. Dus ik bel naar IT, ik leg de situatie uit en die zegt heel droog.
IT: peppe > CTRL + ALT + DEL en je kan je wachtwoord aanpassen
Ik:
Ge moet denken ik heb mijn CCNA 1&2, nu ja behaald en nooit iets mee gedaan en dat meer als 5 jaar geleden maar toch.
Schandalig
Mijn wachtwoord was vervallen. Mijn proxy wachtwoord, mail enz is verbonden aan mijn windows wachtwoord. De mails zien binnenkomen maar genegeerd en vandaag kon ik nergens inloggen. Dus ik bel naar IT, ik leg de situatie uit en die zegt heel droog.
IT: peppe > CTRL + ALT + DEL en je kan je wachtwoord aanpassen
Ik:
Ge moet denken ik heb mijn CCNA 1&2, nu ja behaald en nooit iets mee gedaan en dat meer als 5 jaar geleden maar toch.
Schandalig
Mountain-Djinn
Active member
Vorige week had m'n platform team een update gedaan aan wat metadata voor een 5-6 tal landen hun data op mijn platform, naar verwachtingen. Ik tevreden, de landen tevreden, iedereen tevreden.
Deze avond krijg ik een mail van Spanje "uh waar is de metadata nota bene naar toe? we vinden het niet" - ik dacht, da's nu toch echt wel het makkelijkste om te zoeken ooit. Tiens... 0 resultaten voor Spain. Even zoeken naar die andere landen. 0 resultaten.
Hoe is dat weer mogelijk... ik verwacht dat ze het morgen vroeg tegen dat ik aan mijn werkdag begin hebben uitgeklaard en opgelost. Prutsers.
Deze avond krijg ik een mail van Spanje "uh waar is de metadata nota bene naar toe? we vinden het niet" - ik dacht, da's nu toch echt wel het makkelijkste om te zoeken ooit. Tiens... 0 resultaten voor Spain. Even zoeken naar die andere landen. 0 resultaten.
Hoe is dat weer mogelijk... ik verwacht dat ze het morgen vroeg tegen dat ik aan mijn werkdag begin hebben uitgeklaard en opgelost. Prutsers.
It is. Prioriteiten liggen hier nog altijd juist imo. We zijn een retailer en uiteraard ligt de focus op de verkoop.
Maar als je dan een zo'n grote inhouse IT dienst hebt als ons, dan moet je die imo zo efficiënt mogelijk in zetten.
Nu wel een kleine overwinning deze week: Marketing stapt af van hun file share waar ze manueel documentjes van leveranciers op zetten.
Ze stappen over naar Sharepoint!
Backup van sharepoint.. of meer specifiek restore van sharepoint is anders ook wel geen lachertje
en versioning is geen backup of veiligheid
ThekillingGoku
Well-known member
Gij doet uw 'testwerk' na uw uren, gratis & voor niets, op uwe privé PC mss?
Als dat voor een privé projectje is, fine. Maar als dat voor 't werk is zou da bij mij toch gene waar zijn ze.
'k Ben over 't algemeen dan wel braaf, mor ni ZO braaf ze.
1. Da's waar.Backup van sharepoint.. of meer specifiek restore van sharepoint is anders ook wel geen lachertje
en versioning is geen backup of veiligheid
2. Da's ook waar. Idem voor snapshots.
Exorikos
Active member
Mijn doctoraat is een beetje een uit de hand gelopen hobby. In samenspraak met de collega's is dat wat rond de uren gepland met een vaste dag in de week dat ik geen klinisch werk doe. Dat is ook vaak tijdens de avonden en in het weekend. In dit geval heb ik een interessante library getest op dummy data voor enkele gewenste functionaliteiten. Ik wil die nu laten lopen over medische data, maar dat kan enkel op een systeem in het ziekenhuis (medische data op een privé toestel is not done).
ThekillingGoku
Well-known member
Backup van sharepoint.. of meer specifiek restore van sharepoint is anders ook wel geen lachertje
en versioning is geen backup of veiligheid
Geen lachertje? SPO heeft geen concept van (manuele) backup & restore zoals velen dat kennen.
In andere online platformen van MS, zoals bv. Power Platform hebt je die capaciteit wel, maar niet voor SP.
Ze zullen wss niet willen dat je constant manuele backups gaat maken van SP sites me 5TB aan data op. Zelfs al zouden het 'incremental' backups zijn (gelijk Power Platform dat ook doet).
Dat wil weliswaar niet zeggen er geen backup is eh. MS op den achtergrond doet normaal gezien nog altijd backups, dus da's Mickey z'n werk.
Basically, disaster recovery moet ge niet van wakker liggen. Enige wat je zou kunnen voor hebben is dat uw gebruikers wat te veel uitgestoken hebben, maar daar kun je meestal ook geen volledige DB backup voor terug zetten.
Anderzijds, als je over SP On-Premise spreekt ... jah ... daar kunt ge in principe ook gewoon DB backups van pakken eh.
't SP native backup/restore systeem is wel 'n beetjen 'n ramp. Mor soit, ne content DB mag in principe toch al ni meer dan 100 gig zijn (soft-cap), laat staan 200 (harder cap).
Je gaat dan ook geen backup doen met hetzelfde platform ( en vendor) als degene waar uw production op draait. Meer zelfs je zou imo nooit zelf uw backup mogen doen, ik spreek nu wel voor mijn eigen winkel uiteraard. Maar ons principe is dat de admins aan de klant hun zijde nooit toegang mogen hebben tot de backup. Dus jep wij nemen elke dag incremental backup van sommige sharepoint sites van meerdere TB groot. Maar de laatste keer dat we 20TB aan sharepoint moesten terug zeggen in SPO was een nachtmerrie
Daarom dat we nu een onsite sharepoint milieu hebben waar we in crisis dingen naar kunnen restoren en de klant toegang geven terwijl de restore naar SPO draait.MS doet geen backup van uw SPO, dat is net het hele concept van shared responsibility. MS is verantwoordelijk om het SPO platform online te houden, jij bent verantwoordelijk voor uw data. Backups van dat soort type zijn er niet echt voor "Cege delete zijn excel sheet en wilt het terug hebben". Die zijn voor "een account was compromised, alles is overschreven en de tenant is weg"
cege
Well-known member
Ik heb nog nooit issues gehad met docs uit SPO terug te toveren. Versies kun je rollbacken, delete kun je in de vuilbak terugvinden. En indien nodig kunnen we ticketje filen bij een Indier en die kunnen iets terug toveren van 6mnd geleden.
Je moet uiteraard wel ongeveer weten wat de filename was en timestamp etc (obviously).
Die incrementele "backups"/versionering van SPO zijn toch de max ? Waarom zou je SPO nog volledig backuppen als dat online hosted is ? MSFT doet dat beter dan je dat ooit zelf kunt doen.
Been there, done that voor ISO27001 oefeningen. Backup/restore procedures en execution records. Allemaal geen probleem zolang je deftig documenteert. Nobody cares hoe je er toe komt, enkel moet je 'business continuity' kunnen garanderen. Of dat incrementele, full backups, snapshots, whatever zijn, nobody cares.
Dat is hier intern in het begin ook jaren ambras geweest met AWS S3 backups. We backuppen naar S3 en dan begint Quality/compliancy te neuten dat je nog een "off-site duplicate" moet hebben omdat dat in de jaren stillekes de norm was. Pretty sure dat de kans dat S3 volledig ontploft en verdwijnt 0.0000000000000000000001 % is. Desnoods zet je de "interne replicates" op 3 of 4 of whatever. Maar S3 nog eens lokaal backuppen of kopieren naar Azure als compliancy reden lijkt me echt een kostelijke maatregel te zijn die je neemt omdat je het niet snapt...
En een cloud solution on-prem lijkt me een dino mgmt compromis. "Ja we gaan naar SPO" maar dan wel on prem hosten. Why would you do that ? Lijkt me nogal miserie om dat te maintainen. Smijt dat toch bij MSFT, die kunnen dat 100x keer beter dan je het zelf ooit kunt doen.
Omdat mensen dus incompetent zijn
Dat is backup 101, snapshots zijn niks waard. Backup en business continuity hebben ook +/- niks met elkaar te maken, etc Dat is de reden waarom onze sales mij meepakt als de IT van de klant er bij zit. Gewoon wat irritante "what if" vragen stellen terwijl hun baas en/of degene van wie de data is er bij zit.
cege
Well-known member
Long time ago met de integratie na overname ook nog farcen meegemaakt. We hadden dus redelijk wat interne web tools voor R&D teams waar ze een file konden in een UI smijten, wat parameters invullen en dan kwam er een andere file uit of een figuur of pdf of whatever. Dat was internal only, niks kritisch, geen compliancy requirements. Quick en dirty om 2h excel geknoei te kunnen skippen en met een basic webinterface zodat laboranten met 0 computer skills die scriptjes konden gebruiken. Was zelfs gewoon http://<server name> or http://<IP>
Kwam dat integratie team af met 'alles moet met HTTPS/certificaten zijn'. - "Maar dit is enkel intern voor 10 man of zo". "Alles moet HTTPS volgens interne procedures". Na 10x terugduwen zei mijn baas "doe iets lowball effort zodat ze stoppen met mekkeren". Cege zo goed als 0 experience met https, maar goed, na wat lezen toch kunnen uitvogelen. Schijte veel overhead: DNS records maken, certificaten kopen, certifcaten implementeren, reminders om ze te refreshen. En last but not least, al serieus kilometers ver van mijn job description. Eens dat allemaal in place was begonnen ze te neuten 'niet genoeg bit', 'er zijn betere HTTPS techniques', blablabla. "Toon mij eens die interne procedures zodat ik exact weet wat de requirements zijn. Dit gaat mijn petje te boven en ik zal een echte ITer moeten raadplegen". CTRL+F, certificate of HTTPS stond daar niet in. Enkel de copy/paste van alle standaarden dat "traffic van kritische data moet onleesbaar zijn". Pretty sure dat we kunnen overeenkomen dat dit niet in scope is. Een lokaal team van 10 man in een 20,000 bedrijf. Geef eens budget als je overal alles super tight wil maken.
Nu goed, helemaal naar boven geescaleerd nadat ik iets gespot had. 'Onze publieke webshop waar 1bln/y doorgaat is geen https. Mijn recommendation is om dat eerst te fixen voor je lokale teams overburdent'. Niks meer van gehoord nadien
Kwam dat integratie team af met 'alles moet met HTTPS/certificaten zijn'. - "Maar dit is enkel intern voor 10 man of zo". "Alles moet HTTPS volgens interne procedures". Na 10x terugduwen zei mijn baas "doe iets lowball effort zodat ze stoppen met mekkeren". Cege zo goed als 0 experience met https, maar goed, na wat lezen toch kunnen uitvogelen. Schijte veel overhead: DNS records maken, certificaten kopen, certifcaten implementeren, reminders om ze te refreshen. En last but not least, al serieus kilometers ver van mijn job description. Eens dat allemaal in place was begonnen ze te neuten 'niet genoeg bit', 'er zijn betere HTTPS techniques', blablabla. "Toon mij eens die interne procedures zodat ik exact weet wat de requirements zijn. Dit gaat mijn petje te boven en ik zal een echte ITer moeten raadplegen". CTRL+F, certificate of HTTPS stond daar niet in. Enkel de copy/paste van alle standaarden dat "traffic van kritische data moet onleesbaar zijn". Pretty sure dat we kunnen overeenkomen dat dit niet in scope is. Een lokaal team van 10 man in een 20,000 bedrijf. Geef eens budget als je overal alles super tight wil maken.
Nu goed, helemaal naar boven geescaleerd nadat ik iets gespot had. 'Onze publieke webshop waar 1bln/y doorgaat is geen https. Mijn recommendation is om dat eerst te fixen voor je lokale teams overburdent'. Niks meer van gehoord nadien
Ik denk dat het probleem soms is dat wij onderschatten wat mensen met slechte bedoelingen kunnen doen.
Paar weken terug aan het babbelen met de netwerk/security kerel die ons hielp met het datacenter. "ah ja altijd een ethernet kabel meenemen op hotel want in 99% van de gevallen is de kabel die ze naar hun Tvs trekken full speed en beter dan de wifi" Ok fair enough. Begint die daar te vertellen hoe hij vorig jaar "omdat hij zich verveelde" zich op 2 uur via dat TV netwerk op de servers van het hoofdkantoor van dat bedrijf was beland, een onbelangrijke server had gevonden, daar zich root gemaakt en hen een bericht achter gelaten dat ze hem kunnen contacteren om iets aan hun veiligheid te doen
Heeft daar nu een dik betaalt consultant contract
Paar weken terug aan het babbelen met de netwerk/security kerel die ons hielp met het datacenter. "ah ja altijd een ethernet kabel meenemen op hotel want in 99% van de gevallen is de kabel die ze naar hun Tvs trekken full speed en beter dan de wifi" Ok fair enough. Begint die daar te vertellen hoe hij vorig jaar "omdat hij zich verveelde" zich op 2 uur via dat TV netwerk op de servers van het hoofdkantoor van dat bedrijf was beland, een onbelangrijke server had gevonden, daar zich root gemaakt en hen een bericht achter gelaten dat ze hem kunnen contacteren om iets aan hun veiligheid te doen
Heeft daar nu een dik betaalt consultant contract
cege
Well-known member
Uiteraard. Maar alles is risk-based en moet cost/benefit worden bekeken.
The duty of the opposition is to oppose. IT/quality/compliance zal altijd alles willen afgedekt hebben, maar de business kan en moet daar tegenin gaan als bij wijze van spreken het risico 0.000001 % is en mitigatie 1M kost op een omzet van 10M. Het is gemakkelijk om je vast te rijden in een compliant bedrijf dat enkel nog compliant is en niks business meer doet...
Ik heb in genoeg risk assessments gezeten waar ik elke keer moest zeggen 'fair enough, maar is dat a) prioritair en b) ooit rendabel om te fixen'.
Alles is uiteindelijk breekbaar. Ze kunnen theoretisch de CEO zijn vinger afsnijden om zijn vingerafdruk te hebben, zijn pasje afpakken, zijn vrouw voor zijn neus afkloppen zodat hij zijn pwd afgeeft, zijn telefoon met code afpakken. Dan naar kantoor gaan, binnen gaan met de gestolen pas, inloggen in zijn computer met de afgesneden vinger, 1M overschrijven naar prive rekening met 2FA met de telefoon.
Ik zou er alleen geen proces rond bouwen om bovenstaand risico te mitigeren...
Paar weken terug aan het babbelen met de netwerk/security kerel die ons hielp met het datacenter. "ah ja altijd een ethernet kabel meenemen op hotel want in 99% van de gevallen is de kabel die ze naar hun Tvs trekken full speed en beter dan de wifi" Ok fair enough. Begint die daar te vertellen hoe hij vorig jaar "omdat hij zich verveelde" zich op 2 uur via dat TV netwerk op de servers van het hoofdkantoor van dat bedrijf was beland, een onbelangrijke server had gevonden, daar zich root gemaakt en hen een bericht achter gelaten dat ze hem kunnen contacteren om iets aan hun veiligheid te doen
Ja, ik heb 5y lang op unif gewerkt. Mij moet je niet vertellen hoe lek het kan zijn. Iedereen smeet daar zijn servers gewoon in het netwerk, liefst zonder iets van beveiliging - je wilt thuis gewoon zonder veel moeite kunnen inloggen om een analyse op te volgen. Als je een kabel in een random poortje in de gang plugde, 90% kans dat je plots een hoop servers zag opduiken
Maar er is veel grijze zone tussen compleet lek en compleet dichtgetimmerd.
kinxton
Active member
Hahaha, zalig, verwonderd me totaal niet.Ik denk dat het probleem soms is dat wij onderschatten wat mensen met slechte bedoelingen kunnen doen.
Paar weken terug aan het babbelen met de netwerk/security kerel die ons hielp met het datacenter. "ah ja altijd een ethernet kabel meenemen op hotel want in 99% van de gevallen is de kabel die ze naar hun Tvs trekken full speed en beter dan de wifi" Ok fair enough. Begint die daar te vertellen hoe hij vorig jaar "omdat hij zich verveelde" zich op 2 uur via dat TV netwerk op de servers van het hoofdkantoor van dat bedrijf was beland, een onbelangrijke server had gevonden, daar zich root gemaakt en hen een bericht achter gelaten dat ze hem kunnen contacteren om iets aan hun veiligheid te doen
Zelf ook altijd een netwerkkabel mee en een eigen MikroTik WiFi routertje voor VPN.
Zo al eens verborgen WiFi camera's ontdekt op een netwerk van een AirBnB, gelukkig maar in de gang en niks in de kamers, maar zo goed verborgen dat het meer creepy leek en ik niet begreep waarom ze zoiets zelfs zouden doen.
Hier in de afgelopen 15 jaar voor enkele VZW die onder de KUL ICT dienst vallen ook nog wat werk gedaan, toch best wel goeie beveiliging!Ja, ik heb 5y lang op unif gewerkt. Mij moet je niet vertellen hoe lek het kan zijn. Iedereen smeet daar zijn servers gewoon in het netwerk, liefst zonder iets van beveiliging - je wilt thuis gewoon zonder veel moeite kunnen inloggen om een analyse op te volgen. Als je een kabel in een random poortje in de gang plugde, 90% kans dat je plots een hoop servers zag opduiken
Vergelijkbare onderwerpen
