'Mailen namens' vanuit security-oogpunt beschouwd

Angela_Galle · 6 juli 2018 om 11:54

We zijn in onze eerste echte PerfectView weken bezig en met z’n 13-en enthousiast!
Maar waar we van ‘schrokken’ is dat elke medewerker namens een ander kan mailen.
A kan mailen namens B en dat zie je nergens aan, in ieder geval niet in Outlook. Het blijkt ook niet uitgezet te kunnen worden, vertelde me de supportdesk medewerker.

Vraag 1 is in het algemeen aan PerfectView: hoe kijken jullie hier tegenaan? Is hierover discussie (geweest) etc.? Vraag 2 is praktisch van aard: kunnen we in logfiles terugvinden wie namens wie gemaild zou hebben? Dat zou namelijk dan een manier zijn om in ons NEN 7510 traject toe te lichten dat het weliswaar mogelijk is om ‘ongezien’ namens iemand anders te mailen, maar dat bij problemen wel terug te vinden is wie degene is die dat dan deed?
Alvast bedankt voor eventuele reacties en tips,
Met vriendelijke groet,
Angela Gallé

Herbert.Denk · 6 juli 2018 om 12:25

Hallo Angela,

Wat een goede vraag. En top dat jullie zo enthousiast zijn.

De eerste vraag die bij mij opkomt is:

Is het een probleem voor de NEN 7510 dat je namens een ander kan e-mailen?

daar heb ik geen kennis van.

Wat je tweede vraag betreft.
Via de tijdslijn (vind je via “Meer” >> Tijdslijn ) kan je zien wat een ieder gedaan heeft, door een activiteit te openen kan je zien wat er gedaan is.

fijn weekend

Angela_Galle · 6 juli 2018 om 12:42

Hoi Herbert,

Dank voor je snelle reactie!
NEN 7510 is ‘niets meer’ dan gezond verstand dus ja als je niet kunt voorkomen dat iemand kwaad kan doen én je kunt achteraf niet controleren wie écht gemailed heeft dan voelt het niet echt alsof je in control bent zeg maar. . .
De Tijdslijn is te manipuleren zie ik: ik heb afgelopen dinsdag getest met emails namens collega’s en die heb ik verwijderd omdat het testgevallen waren. Maar dat wordt niet genoteerd in de tijdslijn. Dus de tijdslijn is geen ‘logbestand’ in de zin van bewijs.

Groet,
Angela

anne.hopman · 6 juli 2018 om 12:57

Hoi Angela,

Goed dat je de community hebt gevonden.

Wanneer je op activiteitniveau de audittrail aanzet kun je daar zien wie de activiteit heeft toegevoegd. Je ziet daar de naam van de persoon die is ingelogd en daadwerkelijk de e-mail heeft verstuurd.

De audittrail zet je aan door rechts te klikken op het instellingenicoon > persoonlijke instellingen > basisinstellingen > audittrail aanzetten bij activiteiten.
Open je nu weer die betreffende e-mail dan zie je een extra tabblad ‘audittrail’ waar je het tijdspad van de activiteit kunt zien.

Kom je er zo uit?

Angela_Galle · 6 juli 2018 om 14:02

Hoi Anne,
Ook jij bedankt voor de snelle reactie! Ik ga na het weekend hiermee testen, want ik had natuurlijk dinsdag dit niet aan staan toen ik testmailtjes maakte :-). Dus wat ik toen maakte en weggooide kan ik nu niet meer zien. Ik zal even terugkoppelen wat de ervaringen zijn, dan kan het in dit forum wellicht ook weer iemand helpen.
Groet,
Angela

m.wierda · 12 juli 2018 om 07:35

Goede vraag en ik heb weer wat geleerd al werk zelf al 3 jaar met veel plezier met Perfectview! Wij zijn op moment ook druk doende met procesbeschrijvingen dus deze instelling komt zeker van pas!

anne.hopman · 12 juli 2018 om 15:12

Hoi Angela,

Was het nog gelukt met de e-mails en voldoet de audittrail?

Angela_Galle · 24 juli 2018 om 09:15

Beste Anne,

Ja het werkt inderdaad ongeveer zoals je zei, het is echter geen ‘waterdichte’ oplossing. Het is wel goed genoeg voor ons denk ik.
Je ziet een audit trail melding bij mijn collega SV dat ik (AG) aan haar (SV) heb gemailed. Maar je ziet daar niet dat ik ‘namens collega LH’ heb gestuurd. De melding in de audit trail is ook niet open te klikken.

Als je de mail zelf openklikt, zie je ook niet dat ik (AG) de mail aan SV heb gestuurd, want ook daar is de afzender LH.

Twee dingen waaraan je wel zou kunnen zien dat ik namens LH heb gemaild:
• Ik sta met mijn paraaf AG als eigenaar genoemd van die e-mail.
• Het tijdstip bij de audit trail van de actie ‘AG heeft mail naar SV gestuurd’ matcht natuurlijk exact met het tijdstip waarop de mail zelf is gestuurd.

Tricky part is the following: als ik nu de e-mail verwijder, dan heb je niets meer aan bewijs. Want de ‘activiteit’ ‘e-mail’ is weg, dus ook de audit trail ervan. Die is gekoppeld aan de e-mail zelf. Dus waterdicht is het niet. Het weggooien van e-mails is voorbehouden als administrators (nu even niet, in de beginfase, maar straks wel), dus daarmee beperk je de risico’s.

Groet,
Angela