Welke organisatie wil nou niet graag weten bij wie (welke gebruiker) en waar (welke locatie) hun bedrijfsdata allemaal staat? Denk hierbij vooral aan e-mail, bestanden, etc. In veel gevallen hebben organisaties dit niet inzichtelijk en hebben ze hier ook geen beleid voor, met alle risico’s van dien. Uw medewerkers werken niet alleen meer op “hun” vaste computers aan “hun” bureau, maar ook op een laptop, tablet of smartphone en steeds vaker op wisselende locaties. Zo is het bijvoorbeeld mogelijk dat een medewerker vanaf een publieke pc in bijvoorbeeld een internetcafé zijn volledige mailbox of OneDrive ophaalt. Niet echt een veilig idee toch?
Het belang van digitale beveiliging neemt toe, zeker met de invoering van de AVG, en het goed beveiligen van bedrijfsinformatie is cruciaal is voor uw organisatie. Tegelijkertijd wilt u een moderne en toekomstbestendige werkomgeving, waarin medewerkers snel, efficiënt en veilig (samen)werken en uw klanten optimaal kunnen bedienen.
Daarom is het belangrijk om uw medewerkers de goede tools (en juiste instructies) te geven om mobiel te kunnen werken, anders gaan ze daar zelf wel naar op zoek. Menselijk, maar niet wenselijk.
Gelukkig zijn er hele goede tools die u kunnen helpen om veilig te gaan werken en om als organisatie ‘in control’ te blijven.
1. De eerste stap gaat over het (IT) beleid, over hoe medewerkers met bedrijfsdata om moeten gaan.
Hierbij is één vraag cruciaal: Wie mag welke data, wanneer en waarvandaan benaderen?
– Zijn dit alle medewerkers?
– Mogen zij dit dan vanaf alle locaties? Of alleen vertrouwde locaties?
– Moet hiervoor dan het apparaat waarvan de data benaderd wordt voldoen aan compliance regels van het bedrijf? (antivirus / firewall, etc.)
– Moet voor deze gebruikers dan Multi Factor Authenticatie gelden?
– Etc.
Voor meer informatie verwijs ik u graag naar onze pagina over het opstellen van ICT-Beleid.
2. De tweede stap is natuurlijk om alle (technische) maatregelen ook echt te implementeren en het gedefinieerde beleid te “handhaven”.
EMS biedt hier uitkomst. EMS staat voor Enterprise Mobility en Security en is onderdeel van Microsoft 365. Met EMS kunt u centraal Single Sign-On voor verschillende apparaten beheren, krijgt u identiteitsgerichte beveiliging tegen geavanceerde aanvallen, kunt u mobiele apparaten en apps vanaf één locatie beheren, bedrijfsdata eenvoudig beschermen en met virtuele desktops werken.
Met EMS kun je ervoor zorgen dat apparaten (Windows 10, IOS of Android toestellen) zich eerst dienen te registreren bij de organisatie voordat bedrijfsdata benaderd mag worden. Vervolgens is het mogelijk om dan een beleid te laten gelden op die apparaten.
Ontdek hoe u met EMS uw bedrijf beschermt zonder consessies te hoeven doen aan de mogelijkheden van mobiel werken. Maak kennis met identiteitgestuurde beveiligingsaanpak en de nieuwste beveiligingstechnologieën voor gebruikers, apparaten, apps en gegevens.
Daarnaast doet u er verstandig aan om ook een extra beschermlaag toe te voegen voor het inloggen. Dat doet u met Multi Factor Authenticatie (MFA). Dit is een manier waarop authenticatie verleend wordt door middel van meerdere factoren. Er zijn drie soorten authenticatiemiddelen:
– Iets wat iemand weet (bijvoorbeeld een wachtwoord of pincode)
– Iets wat iemand heeft (toegangsmiddelen zoals ID-pasjes of een mobiele telefoon)
– Iets wat iemand is (vingerafdruk, irisscan of gezichtsherkenning)
Door gebruik te maken van minstens twee van deze verschillende authenticatiemiddelen wordt de beveiliging verhoogd. Gebruiksnamen en wachtwoorden zijn relatief eenvoudig te verkrijgen voor hackers. Andere authenticatiefactoren zoals de mobiele telefoon, een ID-pasje of vingerafdruk zijn niet of moeilijk te verkrijgen en maakt het hackers dus veel moeilijker. Zo niet onmogelijk.
Meest voorkomende combinatie voor MFA is de gebruiker-wachtwoord-combinatie i.c.m. de mobiele telefoon. Nadat de gebruiker heeft ingelogd met zijn gebruiker-wachtwoord-combinatie krijgt hij een melding in de Microsoft Authenticator app op zijn telefoon die hij moet bevestigen. Pas nadat hij de melding op mijn telefoon heeft bevestigd, krijgt hij toegang.
Misschien heeft u ook weleens van Intune gehoord. Intune is een clouddienst voor het beheren van bedrijfsmobiliteit (Enterprise Mobility Management, en zoals alle termen in de ICT heeft ook deze term een 3-letterige afkorting: EMM) die uw werknemers in staat stelt om productief te zijn terwijl uw zakelijke gegevens veilig blijven.
Met Intune (ook onderdeel van Microsoft 365) kunt u mobiele apparaten beheren die door uw werknemers worden gebruikt voor toegang tot bedrijfsgegevens, mobiele apps beheren, gegevens van uw bedrijf beschermen door te bepalen hoe uw werknemers toegang hebben tot de gegevens en garanderen dat apparaten en apps compatibel zijn met de beveiligingsvereisten van het bedrijf.
Hoe werkt dat nou in de praktijk?
Om de voordelen van het werken met EMS te verduidelijken hieronder een tweetal scenario’s van de fictieve gebruiker Henk. De werkgever van Henk heeft de zaakjes goed op orde en heeft een duidelijk IT-beleid opgesteld en werkt met de juiste tools om problemen te voorkomen:
Scenario A (mobiel apparaat)
Henk probeert vanaf zijn zakelijke of privételefoon bedrijfsdata te benaderen. Hij wil zijn mailbox openen en enkele OneDrive bestanden doorsturen. Zijn telefoon is nog niet geregistreerd bij het bedrijf, want Henk pakt net zijn telefoon uit de doos. Voordat Henk toegang krijgt tot zijn e-mail krijgt hij eerst de melding dat zijn toestel geregistreerd dient te worden bij zijn organisatie.
Henk gaat door het registratieproces heen en krijgt de melding dat zijn toestel is geregistreerd. Vervolgens wordt gecontroleerd of de telefoon aan de gestelde eisen van het beleid voldoet. Het beleid van de organisatie vereist echter dat apparaten altijd voorzien moeten zijn van een pincode voordat het apparaat als “compliant” wordt gezien. Omdat Henk de telefoon net heeft uitgepakt, heeft hij nog geen toegangscode op zijn telefoon ingesteld. Henk ontvangt de melding dat zijn telefoon niet voldoet aan de gestelde eisen en krijgt de vraag om een pincode in te stellen. Pas na het instellen van de pincode voldoet de telefoon aan het beleid en krijgt Henk toegang tot de bedrijfsdata.
Uw medewerker verliest op vakantie zijn telefoon. Is uw bedrijfsdata dan goed beschermd?
Henk gaat vervolgens op vakantie naar Hawaii en raakt zijn telefoon kwijt. In paniek belt Henk (met de telefoon van zijn vrouw) de IT-afdeling op en vertelt wat er is gebeurd. Gelukkig zit er een pincode op het toestel, waardoor toegang niet eenvoudig is. De ICT-beheerder logt in bij Intune en zorgt ervoor dat alle bedrijfsdata direct van het toestel wordt verwijderd. Realtime worden nu alle bedrijfsapplicaties en data van de telefoon verwijderd.
Scenario B (Windows 10 apparaat)
Henk krijgt van zijn werkgever ook een Windows 10 apparaat. Dit apparaat is door de afdeling ICT toegevoegd aan de Azure Active Directory (AAD) en voldoet aan het gestelde beveiligingsbeleid. Het beveiligingsbeleid stelt dat apparaten die worden beheerd en voldoen aan de beveiligingseisen, onbeperkte toegang hebben tot de bedrijfsdata, mits het apparaat zich binnen de EU bevindt. Henk is echter in Hawaii op vakantie en wil bedrijfsdata benaderen vanaf zijn Windows 10 apparaat. Echter bij het inloggen op de Office 365 omgeving wordt gevraagd om additionele authenticatie door middel van Multi Factor Authenticatie, gezien het apparaat zich buiten de EU bevindt. Na het invoeren van een pincode op zijn mobiele telefoon en een vingerafdruk heeft hij toegang tot de data.
Met Microsoft EMS houdt u altijd de controle over de informatie van uw organisatie én kunt u tegelijkertijd ook de mobiliteit van uw medewerkers faciliteren. Omdat het perfect integreert met Office 365 biedt het een complete en veilige oplossing voor elke organisatie. En dat is hard nodig, want cybercriminelen worden steeds actiever en vanuit de overheid wordt er op het gebied van beveiliging steeds meer van u verwacht. Denk daarbij bijvoorbeeld aan de AVG die in mei 2018 van kracht is geworden.
