Security awareness nulmeting

Basisbeveiliging: goede ICT-beveiliging voor iedere mkb'er

Basisbeveiliging voor het mkb:
maak gebruik van wat je al hebt

Het fundament voor iedere goede beveiliging tegen cyberaanvallen bestaat uit de volgende vier basiselementen:
1. Bescherming van gebruikersidentiteiten
2. Bescherming van devices
3. Bescherming van data
4. Bescherming van apps

Omdat maar liefst 99% van de cyberaanvallen begint met een gelekte of gehackte gebruikersidentiteit, of een device dat besmet raakt door openen van een met malware besmette link of e-mailbijlage, is ons advies om met spoed in ieder geval met de eerste twee van deze vier elementen aan de slag te gaan. Met een kleine investering kunt u al veel resultaat bereiken. Veel MKB-bedrijven gebruiken namelijk al Microsoft 365 Business Premium. Wat veel bedrijven niet weten is dat Microsoft 365 Business Premium, naast de bekende Office 365 applicaties, ook veel security functies bevat die speciaal zijn afgestemd op het mkb.

Gebruik daarom eerst wat u al hebt en waarvoor u al betaalt; door de security functies van Microsoft 365 Business Premium aan te zetten en in te richten, kunt u al een groot deel van de safeguards uit Implementation Group 1 invullen.

Als u al Microsoft 365 Business Premium gebruikt, gaan uw maandelijkse abonnementskosten dus niet omhoog.
Gebruikt u een andere versie van Microsoft 365 of Office 365, dan kunt u upgraden voor een gering bedrag per maand extra.​

Deze Basisbeveiliging is onderdeel van het vijfstappenplan om uw IT-beveiliging op orde te brengen en houden. De Basisbeveiliging stap 2.

          Cyber Security stap 3 Beheer      Cyber Security stap 4 Awareness      Cyber Security stap 5 Monitoring

 
 

basis ict beveiliging mkb

1. Beschermen gebruikersidentiteiten

De meeste cyberaanvallen slagen omdat de identiteit van een gebruiker (zijn/haar gebruikersnaam en wachtwoord) achterhaald, gelekt of gehackt zijn. Hoe meer gebruikersnamen en wachtwoorden uw medewerkers hebben en moeten onthouden, hoe groter de risico’s zijn.

Zorg daarom dat uw gebruikers zo min mogelijk gebruikersnamen en wachtwoorden hebben. Liefst heeft iedere gebruiker slechts 1 centrale gebruikersnaam en wachtwoord waarmee ze op alle verschillende systemen en applicaties inloggen (Single Sign On). Deze identiteit kun je dan beschermen met een sterk wachtwoord en voorzien van Multi Factor Authenticatie. Ook wanneer een gebruikersnaam en wachtwoord in handen vallen van een hacker, kan hij nog niet zomaar inloggen. De hacker heeft dan namelijk nog niet de tweede factor, bijvoorbeeld de smartphone van de gebruiker, in handen die nodig is om te kunnen inloggen.

In de praktijk richten we een zogenaamde Azure Active Directory (AAD) identiteit in voor iedere gebruiker. Veel systemen en applicaties (sowieso alle apps van Microsoft maar ook heel veel apps van derden) ondersteunen AAD. Dit betekent dat het aantal gebruikersnamen flink kan worden verminderd (vaak tot 1).

Door deze stap uit te voeren, wordt de CIS control 5 (voor Implementation Group 1) geheel en CIS Control 6 deels ingevuld.​

basisbeveiliging ict mkb veilig werken

2. Bescherming en beheer

Voor een goede beveiliging is het belangrijk dat alle in uw bedrijf gebruikte hardware, van servers en laptops tot mobiele telefoons, van een goede bescherming wordt voorzien en dat devices die niet van de juiste beschermingsmaatregelen zijn voorzien, geen toegang tot uw netwerk en data krijgen. Zo kun je bijvoorbeeld verplicht stellen dat ieder apparaat moet zijn opgenomen in de Azure AD van de organisatie, dat de harde schijf versleuteld is, dat antivirus software actief is, etcetera.

Dit betekent dat je ook moet bepalen wat je doet met devices die niet aan de eisen voldoen en of je toestaat dat medewerkers met hun privé PC inloggen op het bedrijfsnetwerk of met hun privé smartphone bijvoorbeeld hun zakelijke email lezen. Voor mobiele devices kun je verschil maken in persoonlijke devices en devices die door het bedrijf verstrekt worden. Als u wilt toestaan dat medewerkers hun persoonlijke smartphone gebruiken om bijvoorbeeld hun bedrijfsemail te kunnen lezen, kunnen we zorgen dat dit alleen met toegestane applicaties (zoals Outlook) gebeurd. Gaat een medewerker uit dienst, dan vervalt zijn toegang tot deze app en wordt de email op zijn device gewist terwijl de privégegevens, zoals foto’s e.d., ongemoeid blijven. ​En mobiele devices die bedrijfseigendom zijn kunnen bij bijvoorbeeld diefstal op afstand helemaal gewist worden.​

Door deze tweede stap te zetten, heb je de CIS controls 1, 2 en 5 geheel en 3, 4, 6, 7 en 10 gedeeltelijk ingevuld.

basisbeveiliging ict mkb veilig emailen

Het risico op een geslaagde cyberaanval door een gestolen of gelekte gebruikersnaam en wachtwoord
vermindert u met 99% door deze eerste twee stappen te zetten.
 

3. Bescherming van data

Veel bedrijven maken nog gebruik van een “traditionele” fileserver om hun documenten op te slaan en van e-mail om documenten, als bijlagen, te versturen en te delen. Hierdoor is er nauwelijks controle mogelijk op de verspreiding van informatie en waar deze terecht komt. Fileservers zijn bovendien kwetsbaar voor ransomware aanvallen. ​

Om uw data beter te beschermen en controle te houden op uw vertrouwelijke gegevens (en om tevens efficiënter te werken!) adviseren wij om gebruik te maken van “moderne” manieren van opslag met applicaties zoals OneDrive, Teams en SharePoint. Deze applicaties, allemaal onderdeel van Microsoft 365, bieden een in de eerste plaats een betere bescherming tegen ransomware aanvallen. Daarnaast zijn er veel mogelijkheden om je data te beheren; bijvoorbeeld door te bepalen welke data wel en welke niet extern mag worden gedeeld, door te blokkeren dat data wordt gekopieerd naar externe opslagmedia (zoals USB-sticks), etcetera. Doordat data in de cloud wordt opgeslagen, is deze in principe ook overal en vanaf ieder device te benaderen (mits iemand de rechten daartoe heeft uiteraard).​

Werken met OneDrive, Teams en SharePoint biedt vele voordelen maar vraagt ook gewenning en een zorgvuldige planning van de migratie. Daarom wordt dit stap voor stap aangepakt waarbij telkens goed moet worden gekeken hoe gebruikers werken en hoe deze werkwijze verandert als wordt afgestapt van de bekende fileservers.​

Door dit onderdeel uit te voeren worden de CIS controls 3 en 11 geheel ingevuld.

Hybride werken de menselijke kant

4. Moderniseren apps

Het moderniseren van apps is werk voor de lange termijn waarin de gebruikte applicaties in kaart worden gebracht en een plan wordt opgesteld om, waar mogelijk, verouderde applicaties (die vaak een minder sterke security bieden) te vervangen door moderne SaaS (Software as a Service, vanuit de cloud aangeboden) versies waarop je, via Single Sign On, met je centrale gebruikersnaam en wachtwoord inlogt. Hiermee verlaag je het aantal verschillende wachtwoorden waarmee je voortbouwt op wat je in fase 1 begonnen bent. ​

Voor applicaties die niet direct vervangen kunnen worden, kunt u overwegen om ze via Azure Virtual Desktop aan uw gebruikers aan te bieden. Doordat de applicaties dan gehost worden in de Microsoft cloud, maakt u gebruik van de security voordelen die dat biedt.

Teams Safe Links