In december 2019 is de universiteit van Maastricht vermoedelijk gehackt door een groep internetcriminelen. Het e-mail verkeer lag plat en meerdere systemen waren onbereikbaar. Dit was niet hun eerste aanval, eerder legden zij de Universiteit van Antwerpen plat en een Frans ziekenhuis. Niet alleen deze instanties worden geraakt, cybercrime treft alle soorten bedrijven. Van MKB tot multinational, van overheid- tot zorginstellingen. Cybercrime neemt in grote mate toe, beveiliging van data moet hoog op de agenda staan. Maar hoe zorg je ervoor dat de data in cloud goed beveiligd is?
Werk je in de (public) cloud dan staat de bedrijfsdata niet letterlijk meer op een server op locatie, maar bij Microsoft in de cloud. Het technisch onderhoud wordt verzorgd door Microsoft, tal van functies worden geboden. Maar ga er niet zomaar vanuit dat alle risico’s zijn afgedekt. Je moet namelijk met diverse factoren rekening houden. Denk aan het gedrag van de mens, het uitvoeren van beheerswerkzaamheden van de IT afdeling. Is iedereen op de hoogte van de kwetsbaarheden, gevolgen daarvan, maar ook van de innovaties op het gebied van security?
Security is een doorlopend proces. Het begint met het in kaart brengen van kwetsbaarheden.
Beheer
Het beheren van de omgeving en dit structureel onder de loep nemen is belangrijk. Krijg inzichtelijk welke data op welke plek beschikbaar is en hoe je hiermee om wilt gaan. Zorg dat er beleid is opgesteld voor het netwerk en het beheer hiervan. Denk aan het structureel maken van back-ups. Denk aan controle op toegangsrechten. Bijvoorbeeld: wie heeft er allemaal toegang tot de personeelszaken map? Maar ook wie hebben er allemaal toegang tot een Admin account om wijzigen door te voeren? En zijn deze mensen nog allemaal in dienst?
Prioriteit op data kwetsbaarheden
Voorheen lag de prioriteit voornamelijk bij het beveiligen van de aanwezige hardware/devices. In de cloud verschuift de prioriteit naar het beveiligen van de datalagen in je organisaties. (Uiteraard vergeet je ook niet de hardware/devices) Wanneer je weet wat voor data je hebt, wat de gevoeligheid hiervan is, waar het staat en wie hier toegang tot heeft heb je de eerste stap gezet. Om dit te ordenen classificeer je structureel alle data. Heb je inzichtelijk welke data aanwezig is en hoe je data is geordend binnen jouw organisatie?
Wie heeft toegang tot welke data op welk apparaat?
Met Microsoft beheer je de apparaten van medewerkers. Zo kun je instellen wie vanaf welke locatie op welk apparaat, met welke voorwaarden toegang heeft tot bedrijfsdata. Je bepaalt aan welke systeemvereisten het apparaat moet voldoen, welke verificatie nodig is, maar ook of applicaties niet worden toegestaan. Wanneer een medewerker bijvoorbeeld uit dienst treedt kan op afstand alle bedrijfsdata/toegangsinstellingen worden gewist van een apparaat. Is inzichtelijk welke apparaten en van wie, waar toegang tot hebben?
En hoe ga je om met apparaten van externen? Krijgt een externe medewerker dezelfde rechten en toegang als de andere medewerkers? En kijkt men kritisch welke toegang noodzakelijk is voor het optimaal uitvoeren van de werkzaamheden?
We horen regelmatig nieuwsberichten over phishing. E-mail is een veelgebruikt doelwit van cybercriminelen. Zorg ervoor dat het systeem up-to-date is en voorzien van de juiste beveiligingslaag. Daarnaast staat ook de mens centraal in deze kwetsbaarheid. Want, soms lijkt een e-mail verdacht echt, en klikt een medewerker op een kwaadwillende link met alle gevolgen van dien. Zijn je medewerkers bewust van deze gevaren? Hoe maak je ze hier van bewust?
Encryptie
Veel organisaties versturen documenten, extern maar ook intern, met privacygevoelige informatie. Deze documenten worden vervolgens opgeslagen op iemand zijn apparaat, in een map gezet of doorgestuurd naar een collega. Wanneer je bestanden beveiligt en encrypt voorkom je dat iedereen privacygevoelige of bedrijf kritische data inkijkt en/of verspreidt. Dit is instelbaar per bestand. Hoe gaat de HR afdeling bijvoorbeeld om met documenten met persoonsgegevens of een CV?
Data delen
Er is allerlei data binnen je organisatie en dit staat op steeds meer plekken opgeslagen. Het komt regelmatig voor dat een bedrijfsdocument ook op de privé telefoon van een medewerker staat omdat hij/zij nog iets wil voorbereiden. Super wanneer medewerkers zo betrokken zijn, echter verlies je hiermee grip op de data. Want waar gaat het heen? Wie krijgt het in handen? Wat zijn de gevolgen wanneer dit gebeurt? Een applicatie als Teams maakt het bijvoorbeeld mogelijk om centraal informatie te delen, te chatten, te vergaderen en samen te werken. Zowel op een desktop als onderweg via de smartphone.
Een datalek heeft vaak grote gevolgen, zeker wanneer het gaat om persoonsgegevens. De AVG is in het leven geroepen om de privacy van Europese burgers beter te beschermen. Volgens de AVG documenteer je duidelijk hoe je hiermee omgaat. In deze documentatie vermeld je welke gegevens je verwerkt, voor welke doeleinden en hoe ze beveiligd worden.
Binnen de nieuwe wetgeving moet je met al je leveranciers en afnemers een verwerkersovereenkomst afsluiten. Je blijft immers zelf verantwoordelijk voor de data die door jouw organisatie opgeslagen is, ook als deze elders staat of wordt beheerd. In de verwerkersovereenkomst beschrijf je hoe je omgaat met persoonsgegevens. Bij het uitbesteden van diensten waar persoonsgegevens van een klant bij betrokken zijn, is dit een belangrijk aandachtspunt. Je moet niet alleen afspraken met leveranciers en klanten maken, maar hiervoor ook toestemming van die betreffende klant vragen. Hoe heb jij dit ingeregeld?
Menselijke factor
De mens is de zwakste schakel. Technologie en bewustwording van medewerkers speelt een belangrijke rol en bepaalt het succes van de ICT-beveiliging. Wat zijn de gevolgen van cybercriminaliteit voor je organisatie, of voor jou persoonlijk? En hoe voorkom je dit? Zijn de medewerkers hiervan op de hoogte? Deel de risico’s. Door het creëren bewustwording beperk je de kans op menselijke fouten.
Schaduw IT
Naast bewustwording is het ook goed rekening te houden met schaduw IT. Wanneer medewerkers zelf IT-middelen inzetten en dit is onbekend bij de IT afdeling, spreek je van schaduw IT. Denk bijvoorbeeld aan privé mail, Dropbox. Het lijkt voor de medewerker de ideale manier om op eigen wijze efficiënter, sneller of slimmer te werken. Jouw organisatie verliest hiermee de grip op de data. Want wat gebeurt er met een privé mail box? Hoe beveilig je deze? Wie is er verantwoordelijk? Microsoft biedt allerlei tools om efficiënter, slimmer en beter (samen) te werken waardoor schaduw IT niet nodig is. Het is belangrijk te bepalen welke tools bij de wensen van de organisatie en haar medewerkers aansluiten.
Microsoft zorgt voor een veilige cloud omgeving voor een ieder, maar data is en blijft wel je eigen verantwoordelijkheid.
Met de tooling van Microsoft richt je de cloud omgeving, zo veilig mogelijk, naar jouw wensen, in. Ik kan mij voorstellen dat je soms door de bomen het bos niet meer ziet. Er is zoveel tooling beschikbaar. En als je het dan eenmaal gebruikt moet je ook bijblijven in de ontwikkelingen. Niet iedere organisatie heeft daar de mensen en middelen voor, ga daarom in gesprek met je automatiseringspartner om samen te bepalen wat je organisatie nodig heeft om veilig, maar ook efficiënt, slim en beter (samen) te werken zonder grip op data te verliezen.