Security
19 maart 2021

Zit jouw IT omgeving goed op slot?

Maak het ze niet te makkelijk. Ik blijf het toch zeggen hoor! Deze spreuk van de rijksoverheid moest de burgers bewust maken van het feit dat je altijd je ramen en deuren moet sluiten als je de deur uit gaat. Het liefst ook nog even een lampje aan laten zodat inbrekers denken dat er iemand thuis is. Tot vervelends aan toe hoorden we een geanimeerde zwaailamp roepen dat we het niet te makkelijk moesten maken voor inbrekers. Eigenlijk is het heel logisch om de boel goed op slot te doen en te beveiligen tegen ongewenst bezoek. Dat geldt niet alleen voor je fysieke eigendommen en omgeving maar ook voor je digitale omgeving. Daarom leggen we je in dit blog uit met welke middelen je de IT-omgeving kunt beveiligen en waar je over na moet denken.

Haak een specialist aan

Helaas is het beschermen en beveiligen van je digitale omgeving niet alleen een kwestie van een lampje aanlaten. Het is een zaak van bewustwording creëren en daarnaast een technische aangelegenheid, waarvoor je een specialist nodig hebt. Je hebt het slot op je voordeur immers ook niet zelf gemaakt.

Als je een huis gaat bouwen en je kiest ervoor om geen sloten op je deuren te doen en je woning niet te beveiligen, dan is je woning met inboedel niet te verzekeren. De aannemer zal je dan ook vriendelijk doch dringend verzoeken om die keuze nog eens te heroverwegen 😊. Je IT-omgeving is gebouwd door een IT-leverancier, je digitale aannemer. Dat zijn wij. Wij vinden het dan ook onze verantwoordelijkheid om jou te adviseren over goede beveiliging van je digitale omgeving. 

 

Welke uitdagingen zijn er?

Er is veel om over na te denken bij het beveiligen en beheren van je omgeving. Bepalen wie bij welke map mag komen is eigenlijk nog niet zo moeilijk. Maar mogen medewerkers ook met een privé apparaat bij de bedrijfsdata komen? En zo ja, moet dat apparaat dan nog aan bepaalde vereisten voldoen? Of mag iemand met een verouderde Android versie ook gewoon bij je bedrijfsdata? En hoe geef ik gebruikers vanuit huis veilig toegang tot informatie en de verschillende applicaties die op een server draaien?

Je kunt veel van deze vragen onderverdelen in 4 onderwerpen namelijk, toegang, bescherming, apparaten en data. Ofwel hoe verleen in mijn gebruikers op een veilig manier toegang tot applicaties en documenten? Hoe bescherm ik mijn gebruikers tegen aanvallen van buitenaf? Hoe beheer ik de apparaten waarmee verbinding wordt gemaakt met onze omgeving? En hoe bedrijfsgevoelige data?

Kortom het inrichten van je beveiliging gaat gepaard met het maken van keuzes en het beantwoorden van heel veel vragen. Die vragen kun je niet allemaal zelf bedenken. Dat hoeft ook niet, daar zijn wij voor. De eerste keuze die je moet maken bij de inrichting van je beveiliging, begint eigenlijk al bij de keuze van je licentie.

 

De juiste licentie voor de juiste beveiliging

Licenties, je kunt erop afstuderen. We beperken ons daarom even tot de Business licenties van Microsoft en laten de “Thuis licenties” en “Enterprise licenties” even buiten beschouwing. Dat houdt het wat overzichtelijker. We weten natuurlijk allemaal dat de licentienamen zijn aangepast. Voor de volledigheid zie je hieronder deze wijzigingen en de inhoud van de licenties nog even op een rijtje:

  1. Office 365 Business Essentials is Microsoft 365 Business Basic geworden (Al je applicaties gebruik je online. Je maakt dus gebruik van Office Online, Outlook Online, Teams Online enzovoort).
  2. Office 365 Business Premium is Microsoft 365 Business Standard geworden (Je kunt al je applicaties online gebruiken maar je mag de Office applicaties ook op 5 verschillende apparaten installeren).
  3. Microsoft 365 Business is Microsoft 365 Business Premium geworden (De meest gekozen licentie. Naast de cloud diensten en de desktop apps kent deze licentie een aantal waardevolle beveiligingstoepassingen om je omgeving veilig en gebruiksvriendelijk te maken)

 

Elke bovenstaande licentie bevat natuurlijk een aantal standaard beveiligingstoepassingen. Denk aan Exchange Online Protection voor beveiliging tegen spam, malware, en andere bedreigingen die het werken met e-mail met zich mee kan brengen. Daarnaast kun je met beveiligingsgroepen bepalen wie toegang heeft tot welke SharePoint site. Ook kun je bij elke licentie een wachtwoordbeleid instellen en gelukkig kun je tegenwoordig ook op elke licentie Multi Factor Authenticatie (MFA) inschakelen. Met MFA voorkom je (volgens Microsoft) 99,9% van de hackpogingen doordat er naast een wachtwoord ook goedkeuring moet worden gegeven op een mobiel apparaat.

In de Microsoft 365 Basic en Standard licentie zit dus een basisbeveiliging. Hiermee kun je veilig aan het werk. Toch kent de Microsoft 365 Business Premium licentie een aantal voordelen die je omgeving niet alleen veiliger maken, maar ook zorgen voor een gebruiksvriendelijkere omgeving. Een voorbeeld:

Zoals gezegd kun je MFA inschakelen. Dat betekent dat je na het invoeren van je wachtwoord ook je inlogpoging bevestigd via je telefoon. Als je dit bij elke inlogpoging moet doen, kom je er al snel achter hoe vaak je per dag inlogt. Doe dit met 100 man aan personeel en het gaat je als ondernemer ook nog eens in de papieren lopen. Met de Microsoft 365 Business Premium licentie kun je gebruik maken van ‘Conditional Acces’. De naam zegt het al: hiermee kun je voorwaarden stellen aan de toegang. Zo kun je instellen dat men op kantoor geen gebruik hoeft te maken van MFA maar als er van buiten het kantoor wordt ingelogd, dan wel. Zo zijn er tal van voorwaarden in te stellen om toegang te verlenen tot de omgeving.

Met de Microsoft 365 Business Premium licentie verbeter je niet alleen de beveiliging en het beheer van je omgeving maar zorg je ook voor een omgeving waarin medewerkers ongestoord kunnen werken. Zo zorg je voor balans tussen veiligheid en gebruiksgemak. Goede beveiliging zit de gebruikers niet in de weg maar helpt ze ongemerkt om veiliger te werken.

 

New call-to-action

 

Welk middel kun je inzetten?

MFA, ATP, MDM, MAM en MEM. Zit je in de IT en heb je op een verjaardag niet zo veel zin om aan je tante uit te leggen wat je precies doet? Dan is dit een prima rijtje om op te noemen. Meestal haakt ze dan wel af. En toch zijn het hele gave en hele belangrijke toevoegingen voor het beveiligen van je IT-omgeving. Sommige gebruik je wellicht al zonder dat je het doorhebt. Laten we er een paar kort bij langs lopen:

 

Microsoft Endpoint Manager

Microsoft Endpoint Manager (MEM) is je beheertoepassing voor al je apparaten en beveiliging die met apparaten, toepassingen en gebruikers gemoeid gaat. Hier beheer je apparaten, applicaties, gebruikers, gebruikersgroepen enzovoort. Je configureert beveiligingsfuncties en -instellingen op Windows 10-pc’s en mobiele apparaten, zoals een tablet of een smartphone.

Bedrijfsapparaten kun je eenvoudig beveiligen. Maar hoe zit het met privé apparaten? Met behulp van Microsoft Endpoint Manager kunnen we beveiliging op twee lagen regelen:

  • Op apparaat niveau (Mobile Device Management of MDM)
  • Op toepassingsniveau (Mobile Application Management of MAM)

 

Wil een gebruiker via zijn privé telefoon bij de e-mail van de organisatie? Dan passen we MAM toe. We beheren dan enkel de applicatie waarmee toegang mogelijk is tot de data (in dit geval de e-mail) van de organisatie. Mobile Application Management dus. Raakt de gebruiker zijn toestel kwijt of eindigt de gebruiker zijn loopbaan bij de organisatie? Dan kunnen we de data van de applicatie die wij beheren, op afstand verwijderen. Als een gebruiker zijn eigen telefoon niet van een pincode of wachtwoord heeft voorzien dan kunnen wij met MAM de applicaties met toegang tot data van de organisatie, beveiligen met een pincode of voorkomen dat het apparaat verbinding kan maken met de IT-omgeving.

Op apparaten van de organisatie, kunnen we Mobile Device Management toepassen waarmee we het hele apparaat beheren en bepaalde instellingen kunnen afdwingen om de veiligheid te waarborgen. Denk hierbij aan updates van software of verbieden dat bepaalde software wordt uitgeschakeld zoals Windows Defender (de beveiligingssoftware van Microsoft, die standaard in Windows 10 is ingebakken).

Mobile Device Management en Mobile Applicaties Management zijn onderdelen van Microsoft Endpoint Manager.

 

Conditional Access

Met Conditional Access bepalen we wanneer een apparaat wel of geen toegang krijgt tot de bedrijfsgegevens. Bijvoorbeeld: Een apparaat die niet gekoppeld is aan onze Microsoft Endpoint Manager krijgt geen toegang tot de bedrijfsgegevens. Of een apparaat dat op Windows 7 draait krijgt geen toegang tot onze bedrijfsgegevens. Via Microsoft Endpoint Manager kunnen we dan weer zien of er daadwerkelijk Windows 7 draait op het apparaat. Kortom, met Conditional Acces bepalen we voorwaarden voor de toegang en met Microsoft Endpoint Manager weten we of het apparaat aan die voorwaarden voldoet.

 

Azure Information Protection

De toegang is nu geregeld en de apparaten zijn beheerd. Nu moeten we zorgen dat de bedrijfsgevoelige informatie ook daadwerkelijk goed beschermd wordt en binnen de digitale muren van het bedrijf blijft. Dat doen we met Azure Information Protection. Hiermee beveiligen we de inhoudelijke informatie. We kunnen beleidsregels maken voor informatie die geclassificeerd is als bijvoorbeeld veilig, persoonlijk of vertrouwd. Deze beleidsregels kunnen we (automatisch)koppelen aan documenten en/ of e-mailberichten waarin veilige of vertrouwde informatie staat. In zo’n beleidsregel staat bijvoorbeeld dat de informatie niet onversleuteld verstuurd of gedeeld mag worden, niet geprint mag worden of zelfs niet gekopieerd mag worden. Bij het werken met Office toepassingen krijgt een gebruiker automatisch een melding in beeld als een beleidsregel van toepassing is. Met behulp van Azure Information Protection houd je grip op de veiligheid van informatie, zelfs als deze naar buiten toe wordt gedeeld en/ of beschikbaar wordt gesteld.

 

Windows Defender

Windows Defender beschermt jouw Windows 10 apparaat. Je hebt geen losse virusscanners meer nodig. Dit zit allemaal al bij je Windows 10 apparaat in. Via Windows Defender heb je uitgebreide, voortdurende en realtime bescherming tegen softwarebedreigingen zoals virussen, malware en spyware voor e-mail, apps, de cloud en het web, aldus Microsoft. Er zit veel mooie techniek achter Windows Defender die bijvoorbeeld je OneDrive documenten automatisch scant op bedreigingen door ze ongemerkt door een database met bekende malafide bestanden te halen.

 

Microsoft ATP

Over Microsoft Advanced Threat Protection kun je met gemak een blogreeks vullen. Zo bescherm je e-mail en Teams berichten door middel van real time scanning met ATP Safe Links. Microsoft ATP scant bijlagen in e-mail en gedeelde documenten in OneDrive en Teams met ATP Safe Attachments maar zorgt ook voor veilig surfgedrag door malafide websites te herkennen.

 

 

Het belang van een goede beveiliging voor je IT omgeving en de middelen die je daarin beschikbaar stelt is enorm. Helaas zien veel organisaties dit pas in als ze een keer slachtoffer zijn geworden van inbreuk op het systeem, verlies of gijzeling van informatie. En ja het kost geld om deze middelen in te zetten, maar dat weegt bij lange na niet op tegen de ellende en de schade die je er mee kunt voorkomen.

Een IT partner heeft een beroepsmatige plicht jouw als klant te wijzen op de risico’s die je loopt en wat je kunt doen om deze risico’s in te perken. En gelukkig zijn er mogelijkheden te over voor het beveiligen van je IT-omgeving. Alles begint met bewustwording. Wees je bewust van het feit dat het ook jouw organisatie en medewerkers een risico lopen als je niet de juiste maatregelen neemt. Attendeer medewerkers op het belang van veilig werken en verantwoord omgaan met beschikbare gevoelige of veilige informatie. Help je medewerkers door het inzetten van beveiligingsmiddelen die het menselijk falen zoveel als mogelijk voorkomen.

We kijken graag eens met je mee naar je huidige IT-omgeving en naar het digitale gedrag van je medewerkers om samen de deur goed op slot te houden. Neem gerust vrijblijvend contact met ons op.

“Dus, zorg voor veilige toegang, veilige apparaten en bescherm je informatie. Maak het ze niet te makkelijk. Ik blijf het toch zeggen, hoor!”

Mark Polinder,
Wegwijzer bij yellow arrow. Vooral bezig met het steeds beter, veiliger en toegankelijker maken van de moderne Microsoft werkplek.

VOOR DE LIEFHEBBER

Klaar om aan de slag te gaan?
Vertel ons waar je heen wilt met jouw organisatie, dan selecteren wij de oplossingen. Helder en onafhankelijk!