Blog

Hoe goed is jouw Office 365-beveiliging?

Je werkt inmiddels in de cloud, maar aandacht voor security blijft van levensbelang. Heb jij volledig inzicht in je Azure- en Office 365-beveiliging?

In een wereld waarin alles met elkaar in verbinding staat, zijn de veiligheidsrisico’s enorm. Bijna dagelijks zie je nieuws over cyberaanvallen, datalekken en privacyschandalen. Phishing mails brengen regelmatig, gebruik makend van beveiligingslekken, de operaties van nationale en internationale bedrijven in gevaar. Een goed voorbeeld is rederij Maersk, dat zijn data na de NotPetya-epidemie van 2017 op het nippertje wist te redden door een harde schijf uit Ghana te laten overkomen. De server daar was door stom toeval intact gebleven omdat er op dat moment een stroomstoring was. Niet bepaald een scenario waar je van afhankelijk wilt zijn.

Office 365 beveiliging: je eigen verantwoordelijkheid

In de praktijk zien we dat het voor veel bedrijven een grote uitdaging is om een Office 365-omgeving veilig te lanceren. Er is vaak goed nagedacht over het beveiligen van de werkplek binnen het bedrijf. Maar zijn deze beveiligingsmaatregelen net zo effectief als een medewerker jouw cloud-omgeving op een privé-device benadert?

Als je de Journey to the Cloud succesvol hebt afgerond en je digitale werkplek voor elkaar hebt, ben je verlost van de complexiteit die het technisch beheer van een eigen omgeving met zich meebrengt. Maar in de cloud werken betekent nog niet dat je beveiliging ook automatisch optimaal is. Standaard zit er ontzettend veel security-gereedschap in je Office 365- en Azure-omgeving, maar het effectief inzetten ervan is je eigen verantwoordelijkheid.

Na de ‘Journey to the Cloud’ komt de ‘Security Journey’

6 stappen naar een veilige cloud

Bij Portiva hebben we de Security Journey voor Office 365 en Azure ingedeeld in zes concrete stappen. De komende maanden loop ik daar in een serie blogs met je doorheen. Vandaag stap 1: hoe veilig is jouw cloudomgeving eigenlijk?

Om verantwoordelijkheid te kunnen nemen voor je cloud security moet je eerst antwoorden hebben op een paar essentiële vragen:

1. Wie is er administrator en hoe zijn accounts beveiligd?

Werknemers komen en werknemers gaan. Mensen wisselen van functie, van team en van standplaats. Vaak nemen ze daarbij ongemerkt hun admin-rechten met zich mee. We hoeven denk ik niet uit te leggen dat ongebruikte, onbeheerde admin-accounts die al jaren hetzelfde wachtwoord hebben een beveiligingsrisico vormen…

2. Hoe veilig is je e-mail?

E-mail is voor veel bedrijven nog steeds de ruggengraat van de interne en externe communicatie. Het is, precies daarom, ook het belangrijkste doelwit van hackers en phishing. Hoe goed houdt jouw mailsysteem onveilige attachments tegen? En wat gebeurt er als gebruikers op een onveilige link klikken?

E-mail is het favoriete doelwit van hackers en phishing

3. Weet je welke data welke beveiliging nodig heeft?

Het classificeren en beveiligen van data is de basis van je beveiligingsstrategie. Sinds de introductie van de cloud verschuiven beveiligingsmaatregelen steeds meer naar de bron van informatie. De beveiliging van de devices is niet meer het belangrijkst. Juist de applicatielaag en de data moeten beter worden beveiligd. Door je data te classificeren en te voorzien van beveiligingsbeleid maakt het niet meer uit op welk device die data staan. Alleen met de juiste identiteit en via het juiste authenticatieproces kan de informatie worden benaderd.

4. Gebruik je encryptie bij alle vertrouwelijke en privacygevoelige documenten?

Een voorbeeld daarvan is encryptie. Je hebt dat niet voor alle documenten en data nodig. Maar als het nodig is, moet het goed geconfigureerd zijn. In de praktijk zien we dat dit een behoorlijke uitdaging kan zijn.

5. Zijn alle tools voor het voorkomen van dataverlies goed geconfigureerd?

De gevolgen van dataverlies variëren. Soms moet je een paar uur werk overdoen, maar in het ergste geval kan je bedrijfsvoering langdurig in gevaar komen. Reden genoeg om het goed configureren van Microsoft Data Loss Prevention op je Exchange, Office 365, SharePoint en OneDrive for Business serieus aan te pakken. Dit is echter een grote klus die, gezien de snelheid van de ontwikkelingen, nooit af is. Begin daarom met een goede nulmeting, zodat je weet hoe je ervoor staat.

6. Heb je controle over wie op welk device en met welke app welke data mag gebruiken?

Digitaal werken is al lang niet meer beperkt tot laptop of PC. Je mensen gebruiken niet alleen bedrijfsapparaten, maar ook hun eigen tablets en telefoons. Je cloud-omgeving is namelijk te benaderen vanaf ieder apparaat dat op het internet is aangesloten.

En dat is nog niet alles, want je medewerkers gebruiken hoogstwaarschijnlijk niet alleen hun eigen devices, maar ook hun eigen apps. Hoeveel van jouw vertrouwelijke data zwerft er over WhatsApp, Dropbox en Slack?

Om de controle te houden voorziet Microsoft je ook hierbij van de nodige tooling, maar weer geldt: om die effectief in te kunnen zetten heb je eerst overzicht nodig.

Om Office 365 beveiliging effectief te maken heb je eerst inzicht nodig

Duidelijke antwoorden

Om deze vragen snel te beantwoorden, doen we bij klanten onze Security Scan. Dat is een snelle en eenvoudige manier om een beeld te krijgen van de toestand van je Office 365-beveiliging. In een paar dagen geven we een organisatie niet alleen een overzicht van wat er goed gaat en wat er beter zou kunnen, maar ook een concreet advies voor volgende stappen. Het inzetten van ‘multi-factor authentication’ of het beperken van de mogelijkheden van privé-devices van werknemers zijn goede voorbeelden. Deze oplossingen zijn relatief eenvoudig uit te rollen en leveren direct winst op voor de veiligheid van je Office 365-omgeving.

Gebruikersgedrag als grootste gevaar

Na de Security Scan en het implementeren van eventuele quick wins, is het de volgende stap om werk te maken van het eenduidig classificeren van data. Tegelijkertijd gaan we meestal met klanten aan het werk om het gedrag van gebruikers te monitoren en te verbeteren. Want je kunt nog zoveel mooie techniek hebben, de ervaring leert dat een gebrek aan security awareness en het gevaarlijke gebruikersgedrag dat daar bijhoort de grootste gevaren zijn voor je Office 365-beveiliging.

Kom meer te weten over security in ons webinar

Onze security consultants Thomas Schrader en Bram Zegwaart vertellen alles over actuele dreigingen binnen de Microsoft Cloud-omgeving en hoe je stappen kunt zetten om meer grip te krijgen op de security binnen je eigen omgeving en daarmee de digitale werkplek veiliger te maken.

Meer weten over onze Security Scan? 

Neem voor meer informatie contact op met:

Bram Zegwaart, Business Consultant
T +31 6 100 009 36
E bzegwaart@portiva.nl

Meer lezen?

Download onze gratis gids 'Zo realiseer je een veilige werkplek in de cloud.'

Dit vind je vast ook interessant.

Blog

Dataclassificatie in Office 365: grip op je data