ICT Concept actueel

Nieuws

Wat zijn de basiselementen voor goede en gebruiksvriendelijke beveiliging?

27/01/2021 -

Omdat steeds meer kantoren serverloos willen werken, en er daarnaast veel medewerkers nu vanuit huis werken, wordt veiligheid nog wel eens een ondergeschoven kindje. Bart van Wanroij, Managing Director van Epona Legal, ziet dat veel van zijn klanten het toegang verkrijgen tot de data en applicaties wel lukt, maar dat daarbij soms voorbij wordt gegaan aan de noodzakelijke beveiliging. Tijd voor Bart om daarom eens te bellen met zijn Lexxyn Groep collega Mark Noordzij, Manager NOC & Cloud bij ICT Concept.

Bart: “Hi Mark, hoe is het? Ook thuis aan het werk? Ik heb een vraagje; ik spreek net een klant en die heeft, om zijn collega’s thuis te kunnen laten werken, van de week 10 laptops besteld bij Coolblue en bij iedereen direct thuis laten bezorgen. Hij kan bij zijn data in ons DMSforLegal, omdat dat in Office 365 staat, maar hij vroeg mij of ik nog tips had voor de beveiliging. Toen dacht ik, ik bel de specialisten maar even.”

Mark: “Hi Bart, leuk dat je belt! Ja ook ik zit thuis achter de laptop. Ik snap je vraag en denk dat ik je wel kan helpen. Het is natuurlijk fijn dat alle data al in Office 365 staat, maar dat betekent niet dat de individuele laptops al goed beveiligd zijn. Ik zou ze adviseren om te beginnen met minsten twee factor authenticatie aan te zetten voor het inloggen op Office 365. Verder zou ik op de laptop minstens een goede virusscanner en encryptie, bijvoorbeeld Bitlocker, aanzetten. Er zijn verder een hoop technische zaken te regelen die voor een gemiddelde gebruiker vaak te ver gaan, maar door een partij als ons heel simpel en betaalbaar te regelen zijn. Wij monitoren en beheren voor een paar euro per werkplek per maand de ingewikkelde delen van je beveiliging.”

Ingewikkeld

Bart: “Wat bedoel je met de ingewikkelde delen?”

Mark: “We kunnen bijvoorbeeld een aantal digitale ‘huisregels’ instellen voor wat er wel en niet kan op het apparaat, of de installatie en updates van een virusscanner op afstand controleren. We checken of de encryptie goed werkt en zetten een aantal instellingen in Windows zo dat een gebruiker zelf geen veiligheidsrisico’s kan veroorzaken. Zo schakelen we bijvoorbeeld de local administrator uit en kunnen we conditional access instellen op Office 365. Dan kunnen alleen nog vooraf goedgekeurde apparaten inloggen op de Office 365 omgeving van je klant.”

Bart: “Dat klinkt allemaal heel technisch, maar jullie regelen dat dan voor de klant begrijp ik? Hij hoeft zelf niks te doen?”

Mark: “Nee, voor de gebruiker zelf verandert er niks, behalve dat we z’n laptop nu extra in de gaten houden om problemen te voorkomen.”

Veilig inloggen

Bart: “En wat zou je ze adviseren omtrent het inloggen op de apparaten zelf? Want als er thuis wordt ingebroken wil je niet dat de data op die laptop zomaar ingezien kan worden.”

Mark: “Ja dat is een belangrijk punt. De inlogsystemen van Windows zijn behoorlijk goed. Je kunt gebruikmaken van een wachtwoord, een pincode of zelfs gezichtsherkenning. Zolang je ervoor zorgt dat je je wachtwoorden of pincodes niet op een briefje bij de laptop bewaart, is dat dus goed te doen. En mocht de laptop toch ontvreemd worden, dan is de data op de laptop, zoals ik net al aangaf, versleuteld door BitLocker. De harde schijf kan dus niet zomaar aan een andere PC worden gekoppeld om de data uit te lezen. Twee factor authenticatie is dan het definitieve slot op de deur.”

Bart: “Dat is al een geruststelling, en de data die bij ons in DMSforLegal staat in Office 365 is dan dus ook veilig omdat het apparaat zelf niet toegankelijk is. Maar stel dat je nou wel je pincode of wachtwoord op een briefje in je tas had zitten, wat dan?”

Mark: “Ja dan wordt het wel spannend, zeker als je datzelfde wachtwoord gebruikt voor de diensten zoals Office 365. Dan heb je hopelijk als kantoor de andere voorzorgsmaatregelen die ik benoemde geregeld. Twee factor authenticatie zorgt er dan voor dat de diensten die dat gebruiken veilig zijn. En als het apparaat op afstand beheerd kan worden, dan kan deze ook op afstand worden gewist zodra het weer een internetverbinding maakt.”



Mobiele apparaten

Bart: “En hoe werkt dat dan met mobiele apparaten? Stel ik heb bijvoorbeeld een stagiair, die geef ik geen telefoon van de zaak, maar het is wel handig als hij/zij een paar van onze apps kan gebruiken. Als hij/zij dan klaar is met de stage wil ik natuurlijk wel dat ze gelijk uit onze systemen wordt verwijderd.”

Mark: “Daarvoor kun je kijken naar Mobile Device Management (MDM). Dat werkt vergelijkbaar met wat ik net omschreef voor de laptops. Het apparaat wordt gekoppeld aan een centraal beheersysteem, en daarmee kan je beleid afdwingen. Door accounts af te sluiten van de gebruikte apps voorkom je natuurlijk al ongeoorloofde toegang, maar soms staan er nog offline bestanden op. Die kunnen dan, als de apps in een apart profiel staan, door middel van MDM ook weer verwijderd worden.”

Back-ups

Bart: “Maar stel nou dat het allemaal toch misgaat: laptop weg, telefoon gestolen, data weg, nu moeten we de boel herstellen. Microsoft maakt van data in Office 365 geen back-ups, maar bewaart enkel de laatste paar versies. Dus stel dat ik een ransomware infectie heb die stilletjes al een tijdje op de achtergrond mijn data aan het gijzelen is, dan is er een kans dat ik geen niet-versleutelde versie meer heb.”

Mark: “Nee dat klopt, dat is een groot misverstand over data in de cloud bij Microsoft, er is een verschil tussen oude versies terughalen en een zogenaamde ‘point in time’ back-up. Die eerste doet Microsoft inderdaad voor je, de laatste zoveel versies en wijzigingen bijhouden. Maar werk je aan een actief document dan maak je zomaar 10 versies in een week. Moet je dan voor het herstellen van een back-up terug naar de versie van twee weken geleden, dan gaat dat dus niet. Dan zul je dus een aparte back-up dienst voor je Office 365 data moeten inschakelen.”

Bart: “Fijn dat daar dus wel een oplossing voor is, en knap dat je in dit telefoongesprek een hyperlink naar een blog in je woorden weet te krijgen. De techniek staat voor niks. Laatste vraag Mark, ik wil even bij dat scenario blijven dat alles dus toch mis is gegaan. Ik weet dat je dan een melding bij de Autoriteit Persoonsgegevens moet doen, maar hoe zorg ik nou voor dat ik erachter kom wat er mis is gegaan?”

Mark: “Office 365 heeft een hele uitgebreide logging functionaliteit waarin een beheerder exact kan zien wie wat op welk tijdstip met welk bestand heeft gedaan. Maar, dat staat vaak standaard niet aan! Check dus bij je beheerder of dat aanstaat, want als je erachter komt dat het niet aanstond als je de data nodig hebt voor een audit of forensisch onderzoek, dan ben je te laat.”

Bart: “Goeie tips Mark, dankjewel voor je tijd. Ik en mijn klanten kunnen hier zeker wat mee. Ik hoop dat we elkaar snel weer kunnen zien!”

Mark: “Insgelijks Bart, succes!”