Zoals mensen al duizenden jaren hun lichaam bedekken om het oppervlak waar zon, regen of kou ze raken zo klein mogelijk te maken, zo kun je ook de pogingen omschrijven om je bedrijf te beveiligen tegen dreigingen van buitenaf. Het oppervlak waar aanvallen je kunnen raken wil je minimaal houden. Op het gebied van cyberdreiging noem je dat Attack Surface Reduction (ASR).

De plekken waar je kwetsbaar bent

Als bedrijf heb je twee of drie plekken waar je kwetsbaar bent voor criminelen. Als eerste zijn dat de apparaten waarmee je medewerkers werken. Denk aan de vaste computer en eventueel de VoIP-telefoon op hun werkplek, het Teams-roomsysteem in de vergaderruimte en de laptop en mobiele telefoon die ze bij zich kunnen dragen. Als tweede is de Cloud waarin je werkt een plaats waar je blootstaat aan mogelijke aanvallen van buitenaf (en eventueel binnenuit). Als derde gelden de on premise servers die een enkel bedrijf nog in huis heeft staan. Die hebben ze dan om specifieke software of configuraties op te draaien, of om redenen van fysieke veiligheid.  

Criminelen hebben verschillende ingangen

Als criminelen via een van de genoemde kwetsbare plekken je digitale omgeving willen binnendringen, om bijvoorbeeld gegevens te stelen of je data te gijzelen, maken ze gebruik van drie verschillende ingangen:

• menselijke fouten
• zwakke plekken in je procedures
• technische kwetsbaarheden

Samen met de kwetsbare plekken vormen deze drie aspecten dus het ‘Attack Surface’ van je bedrijf. We lopen ze even langs, en vertellen daarna hoe je de risico’s op schade door criminele activiteiten kunt verkleinen.  

Menselijke fouten

In ons eerdere blog over phishing schreven we er al over: je medewerkers (en jij) zijn de zwakste schakel in de beveiliging van je bedrijfsgegevens. Kwaadwillende buitenstaanders gebruiken de menselijke neiging om onnadenkend ergens op te klikken, of vertrouwelijke gegevens achter te laten als de omgeving er een beetje betrouwbaar uitziet. Zo ontfutselen ze inlognamen en wachtwoorden en verschaffen ze zich toegang tot data die je zorgvuldig dacht te hebben afgeschermd.  

Procedures

Zijn je procedures op orde? Het is bijvoorbeeld belangrijk dat je helder vastlegt wie toegang heeft tot de data, en ook wie die gegevens kan aanpassen. En als je iemand (tijdelijk) rechten moet geven om gegevens te kunnen inzien of bewerken, wil je ervan verzekerd zijn dat die persoon niet meer kan doen of bekijken dan de bedoeling is. Procedures helpen trouwens niet alleen tegen criminele acties, maar voorkomen ook schade door menselijke fouten.  

Technische kwetsbaarheden

Je techniek is nooit 100% veilig. Hackers schrijven programmaatjes die automatisch het internet afstruinen op zoek naar netwerkpoorten die toevallig open zijn gelaten. Op het Dark web worden zwakke plekken in software gretig gedeeld. En op tal van onopvallende manieren kan je computer of server besmet raken met een virus. Alles wat technisch op het internet is aangesloten, is kwetsbaar.  

En soms is het gewoon brutaliteit

Soms zijn criminelen zelfs zo brutaal om je bedrijf binnen te lopen. Onder het mom van ‘ik kom de meter opnemen’ of verkleed als pakketbezorger worden ze vertrouwd op hun blauwe ogen, raken voorbij de ingang en schuiven ergens bij een werkstation aan om het systeem in te komen. Dit zou je ‘fysiek hacken’ kunnen noemen: random proberen ergens binnen te raken, en te hopen op kwetsbaarheden in de beveiliging.  

Hoe verklein je je kwetsbaarheid

Attack Surface Reduction betekent het verkleinen van de kans op een geslaagde aanval op je systemen en data. Net als bij inbraak geldt: als ze het maar lang genoeg proberen, komen ze er wel door. Daarom gaat het om het zoveel mogelijk beperken van de kwetsbare plekken. Dat doe je op drie manieren:

• Technische hulp en training gaat menselijke fouten tegen
• Goed systeembeheer, waaronder updates, firewall en virusscanner
• Heldere procedures en gebruikersbeperkingen

Je systeembeheerder is de aangewezen persoon om je hierbij te helpen. Het systeembeheer van Brisk ICT maakt daarbij het liefst gebruik van de uitgebreide beveiligingsmogelijkheden van Microsoft 365 Business Premium.  

De cloud lost veel op

Als je gebruik maakt van een professionele cloud-oplossing, zoals die van Microsoft 365, weet je zeker dat je de laatste updates en beveiligingsmogelijkheden aan boord hebt. De servers staan immers onder toezicht van de cloud-aanbieder. Let op: je systeembeheerder moet wel alles op de goede manier voor je instellen.

Technische hulp gaat menselijke fouten tegen

Je medewerkers zijn de zwakste schakel in je beveiliging. Laat daarom de apparaten waarmee je medewerkers digitaal contact hebben met de buitenwereld, zorgvuldig beheren, om fouten te voorkomen. Met Microsoft 365 Endpoint Manager kan je systeembeheerder dit vanaf 1 centraal punt regelen. Je kunt alle client devices van afstand de laatste beveiligingsupdates geven, bepaalde instellingen afdwingen, en ook monitoren of de beveiliging niet verbroken is en of de encryptie nog deugt.

Tegen phishing en virussen

Om de kans op geslaagde phishing te verkleinen, zorg je sowieso dat je medewerker alleen met Multi Factor Authenticatie kan inloggen. Eis ook een streng wachtwoord. Zo voorkom je dat inloggegevens al te makkelijk in handen van criminelen komen. De encryptie van je apparaat moet in orde zijn, anders krijg je niet eens toegang tot de bedrijfsdata. Inkomende mail wordt door Microsoft 365 Business Premium streng gescreend op virussen en verdachte links, en desnoods wordt een bericht in quarantaine gezet en alleen door een beheerder vrijgegeven.

Training

Een gewaarschuwd mens telt voor twee! Daarom is het goed om je medewerkers regelmatig te laten trainen en voor te lichten om bijvoorbeeld dreigingen te herkennen en op een verantwoorde manier met (login-)gegevens om te gaan.  

Updates, firewall, virusscanner

Controleer niet alleen inkomende mail op virussen, maar check ook je systeem op verdachte processen. Je OneDrive, Sharepoint en Microsoft Teams worden bij gebruik van Microsoft 365 Premium voortdurend kritisch nagelopen op virussen en ander gevaar. De beveiliging van je bedrijfsnetwerk begint waar het internet binnenkomt: met de beste modem/router. Bij Brisk ICT werken we graag met Fortigate routers, omdat deze uitstekende firewallsoftware aan boord hebben, en daarmee digitale inbraakpogingen goed kunnen afweren. De laatste updates van je programma’s zijn voor de veiligheid essentieel. Je systeembeheerder kan van afstand zorgen dat ieder apparaat over de laatste software- en firmware-updates beschikt. Zodra er een beveiligingsupdate uitkomt, wordt die direct over alle apparaten in het netwerk verspreid.  

Heldere procedures

Niet iedereen wil je zomaar toegang geven tot alle informatie. Daarom is het goed om per gebruiker de toegangsrechten te bepalen. Je wilt vastleggen wie op welke manier toegangsrechten voor gebruikers kan aanvragen. En bij het veranderen van functie of bij ontslag, moet het controleren van die rechten onderdeel uitmaken van de procedure. Bij Brisk ICT raden we ieder bedrijf aan om een IT-regisseur aan te stellen om procedures en processen te monitoren en te evalueren. En het aantal power users moet zoveel mogelijk worden beperkt.  

Als je servers in je bedrijf staan

In het begin noemden we ze al: de bedrijven die om speciale redenen hun data of (speciale) programma’s op fysieke servers on premise hebben staan. Zij maken niet of slechts deels gebruik van de Cloud-omgeving. Hun servers beheren ze zelf of via een ICT partner (zoals bijvoorbeeld Brisk ICT). Brisk ICT levert o.a. diensten om je eigen servers te beheren en te monitoren en van alle nodige (beveiligings-)updates te voorzien.  

Penetratietest

Het is goed om van tijd tot tijd een Pentest uit te laten voeren. Ethische hackers proberen dan op alle mogelijke manieren de beveiliging van je gegevens uit. Dat kan zowel van buitenaf, met fake-phishingmails of het opsporen van zwakke plekken in je systemen, als van binnenuit door te kijken hoe makkelijk het is om een gebruikersnaam en wachtwoord buit te maken. Bij Brisk ICT werken we hiervoor samen met gespecialiseerde informatiebeveligingsbureaus.  

Attack Surface Reduction: er komt veel bij kijken

Je ziet: bij ASR komt heel veel kijken. Gelukkig kun je de veiligheid van je (cloud)systemen helemaal overlaten aan het systeembeheer van Brisk ICT.

• Je krijgt advies, en wat we adviseren kunnen we ook uitvoeren
• Onze Service en Support reageert direct bij nieuwe veiligheidsrisico’s
• We zijn experts in alle aspecten van Microsoft 365, en werken net zo vaardig met de beheeroplossingen van Apple

Dat betekent dat jij je alleen maar bezig hoeft te houden met jezelf beschermen tegen warmte, zon en regen. Wij houden je cyberkwetsbaarheden ondertussen zo klein mogelijk. [...]

Na een zorgvuldig proces van anderhalf jaar, waarin alle interne procedures werden doorgelicht, risico’s geïnventariseerd en veiligheidsmaatregelen in stelling gebracht, gaf een externe auditor afgelopen januari het bevrijdende oordeel: Brisk ICT heeft met vlag en wimpel het ISO 27001 certificaat verdiend. Dat betekent dat we officieel voldoen aan één van de hoogste internationale standaarden voor informatiebeveiliging. En dat is goed nieuws voor jou, want het is nu ook onafhankelijk vastgesteld dat jouw gegevens bij Brisk ICT in superveilige handen zijn.

De 5 belangrijkste stappen

Als je wilt voldoen aan ISO 27001 moet je verschillende maatregelen nemen om risico's op het gebied van informatiebeveiliging te voorkomen of te minimaliseren. Je volgt daarbij voorgeschreven stappen, op basis van de PDCA. Dat staat voor ‘Plan-Do-Check-Act; het is een cyclus die zorgt dat je continu met verbetering bezig blijft.

1. Inrichten en inventariseren

Je begint met het opstellen van een informatiebeveiligingsmanagementsysteem (ISMS) en het uitvoeren van een SWOT-analyse. Een SWOT-analyse is een strategisch instrument dat wordt gebruikt om de sterke punten, zwakke punten, kansen en bedreigingen voor de organisatie te inventariseren. Het is een gestructureerde methode om een overzicht te krijgen van de interne en externe factoren die van invloed kunnen zijn op het behalen van informatiebeveiligingsdoelstellingen. Met dit overzicht maak je de volgende stap.

2. Risicoanalyse en risicobehandeling

Het managementsysteem (ISMS) zorgt ervoor dat de risicoanalyse een continu proces is en niet slechts eenmalige actie. Nadat zowel interne als externe risico's voor de informatiebeveiliging zijn geïdentificeerd en geanalyseerd, worden er passende maatregelen getroffen om deze risico's te lijf te gaan. Wat passend is verschilt per bedrijf (de auditor controleert uiteindelijk), maar je kunt denken aan het nauwkeurig beschrijven (en voorschrijven) van processen, het trainen van personeel, en het zorgen voor veilig gebruik van bedrijfsapparatuur. Ook het invoeren van beveiligingscontroles hoort natuurlijk bij risicobeperking.

3. Beveiligingscontroles invoeren

Wil je de ISO 27001-standaard halen, dan moet je zorgen voor passende beveiligingscontroles en -maatregelen om de informatie waarmee je werkt te beschermen. Dat doe je op verschillende manieren tegelijkertijd. Twee voorbeelden zijn de technische beveiliging en de beperking op digitale en fysieke toegang. Voor de technische beveiliging dienen bijvoorbeeld een degelijke firewall, antivirussoftware en encryptie van opgeslagen gegevens. En qua toegang leg je bijvoorbeeld vast wie welke gegevens mag inzien, en wie waar in je kantoor mag komen. Je snapt ook dat het belangrijk is dat de directie van het bedrijf 100% achter de informatiebeveiliging staat.

4. Managementbetrokkenheid en verantwoordelijkheid

Het topmanagement van een bedrijf moet actief betrokken zijn bij het proces van informatiebeveiliging en de implementatie van ISO 27001. De directie en het management moeten ervoor zorgen dat er voldoende middelen beschikbaar zijn, dat informatiebeveiliging een prioriteit is binnen de organisatie, en dat er regelmatig evaluaties worden uitgevoerd om de effectiviteit van de beveiligingsmaatregelen te beoordelen.

5. Continue verbetering

Het ISO 27001-certificaat wordt afgegeven voor 3 jaar. Maar om het te krijgen, moet je vastleggen hoe je continu blijft streven naar verbetering van je informatiebeveiligings-systemen. Dit houdt bijvoorbeeld in dat je regelmatig je processen, controles en beleid moet evalueren en aanpassen aan veranderende bedreigingen en omstandigheden. Door voortdurend te leren en te verbeteren, kan Brisk ICT zijn informatiebeveiliging steeds verder versterken en aanpassen aan nieuwe uitdagingen. De nieuwste versie van de ISO 27001 norm (2022) waar Brisk ICT aan voldoet, heeft ook beveiliging van de Cloud opgenomen.

ISO gaat verder dan techniek en procedures

Informatiebeveiliging heeft een belangrijke ‘technische’ component. Ook procedures horen daarbij, het volgen van de juiste stappen. Maar de ISO-normering vraagt meer dan dat. Bij het inventariseren van de risico’s, en het nemen van risicobeperkende maatregelen, moet je bijvoorbeeld ook nadenken over het gevaar dat medewerkers plotseling naar een andere werkgever vertrekken. Hoe voorkom je dat (houd je mensen geboeid en verbonden), en wat doe je als het onverhoopt toch gebeurt? En de interne Security Officer die ISO verplicht, wordt geacht niet alleen hoogwaardige kennis van beveiligingstechniek en procedures te hebben, maar ook de soft skills om ze te implementeren en te handhaven in de weerbarstige praktijk van de werkvloer.

En wat merk je ervan als partner?

Brisk ICT haalde zijn ISO 27001-certificaat met vlag en wimpel. Dit betekent dat partners kunnen vertrouwen op een betere bescherming van gevoelige gegevens en vertrouwelijke informatie die bij Brisk ICT staan opgeslagen of onderhanden zijn:

• Voor de partners van onze partners straalt het betrouwbaarheid uit. Brisk ICT is als dienstverlener vaak een schakel in een keten waarbinnen de informatieveiligheid gewaarborgd moet zijn. Het zorgt voor transparantie en helpt onze partners te begrijpen hoe wij omgaan met beveiligingskwesties.
• ISO 27001 vereist namelijk een gedocumenteerd informatiebeveiligingsbeleid en procedures.
• De risico op datalekken is geminimaliseerd, dit komt ook ten goede aan de partners, omdat hun gegevens minder kwetsbaar zijn. Zij kunnen hierdoor zelf (beter) voldoen aan wetgeving zoals de AVG.
• ISO 27001 dwingt Brisk ICT om processen te stroomlijnen en best practices te volgen, dit heeft een efficiëntere en veiligere dienstverlening aan onze partners tot gevolg.

Meer weten? Vraag je technisch consultant van Brisk ICT. Tim Grave, Security Officer. [...]

Vanaf maart 2024 zal Microsoft automatisch op alle 365-accounts Multi Factor Authenticatie (MFA) inschakelen. Dat is nodig, want veel organisaties gebruiken deze belangrijke beveiliging nog niet. MFA beschermt je tegen phishingaanvallen door cybercriminelen. Met zo’n phishingaanval proberen ze via nietsvermoedende medewerkers inloggegevens te stelen. Als ze die binnen hebben, levert dat je organisatie veel narigheid, van hoge kosten tot imagoschade. Het invoeren van MFA vraagt soms een investering. Bijvoorbeeld als niet iedereen een geschikte smartphone heeft. En er komt een extra stap om in te kunnen loggen. Sommige apparaten moeten anders worden ingesteld, bijvoorbeeld scanners die zelf kunnen mailen. Gebruikt jouw organisatie nog geen Multi Factor Authenticatie? Laat je niet verrassen. Maak het nu alvast in orde en voorkom met MFA schade aan je bedrijf en aan het imago van je organisatie. Alarmerende berichten Veel organisaties leven in de illusie dat het hen niet zal overkomen. Er zijn zoveel bedrijven, waarom zouden criminelen juist jouw organisatie uitkiezen? Schrik niet… het is niet de vraag of je organisatie het doel van een phishingaanval wordt, maar wanneer. Alarmerende berichten vanuit onze klanten laten het zien: iedereen komt vroeger of later aan de beurt. Daarom kun je maar beter goed voorbereid zijn. Schade is enorm Als criminelen inbreuk maken op de (bedrijfs)gegevens van je organisatie kan de schade enorm zijn. Denk aan financiële schade doordat je je gegevens vrij moet kopen, maar ook aan imagoschade en het verlies van vertrouwen bij klanten en leveranciers. Vooral op het gebied van phishing blijkt bij veel organisaties een zwakke plek te zitten. Je werkt immers met mensen, en die maken soms fouten. Wat is MFA eigenlijk? Multi Factor Authenticatie (soms noemen we het 2 factor authenticatie, 2FA) betekent dat een gebruiker (tenminste) 1 extra handeling moet verrichten om in te kunnen loggen. Alleen je mailadres en wachtwoord is niet meer genoeg. Je moet bevestigen dat jij het bent, door een code door te geven die een app op je telefoon maakt, of door in die app op een knop te drukken. Zo bewijs je dat jij wilt inloggen, en niet iemand anders. En bovendien zorgt de extra handeling voor een extra nadenkmoment, zodat je niet gedachteloos je gegevens prijsgeeft. Waarom zet Microsoft deze stap? Uit onderzoek van Microsoft zelf blijkt dat 98%  van de aanvallen waarbij criminelen inloggegevens proberen te stelen, door Multi Factor Authenticatie worden afgeslagen. Met de andere beveiligingsmaatregelen die Microsoft in zijn Business Premium heeft zitten, reduceert het standaard inschakelen van MFA op alle accounts de risico’s dus enorm. We maakten de verwoestende kracht van phishing onlangs nog mee bij een klant, gelukkig tijdens een security-check. Via een phishingmail kregen de ethische hackers binnen een dag toegang tot vitale bedrijfsinformatie. Welke gevolgen heeft het standaard worden van MFA? Microsoft heeft aangekondigd om met ingang van maart 2024 gefaseerd op alle accounts MFA in te gaan schakelen. Wanneer onze regio aan de beurt is, weten we vooraf niet. Je wilt natuurlijk niet verrast worden met het plotseling moeten instellen van de nieuwe beveiliging. Daarom raden we je aan om je er van tevoren van te verzekeren dat MFA op jouw accounts is ingeschakeld. Brisk ICT kan dat ook voor je doen. Scan to e-mail werkt niet meer Je scanner automatisch bestanden laten e-mailen werkt straks niet meer. Je apparaten kunnen zichzelf bij het inloggen immers niet via een extra app legitimeren. Daarom moet je hiervoor in je account een uitzondering op de MFA-regels instellen, zgn. ‘conditional access’. Die functie zit standaard in Microsoft Business Premium, wij adviseren je graag. Indirecte kosten, voor bijvoorbeeld smartphones Microsoft biedt MFA gratis aan voor alle Microsoft 365-accounts. Wel kunnen er indirecte kosten zijn. Bijvoorbeeld voor implementatie, of voor het beschikbaar stellen van de smartphones die nodig zijn om de Microsoft Authenticator-app te kunnen gebruiken. Wil je dat medewerkers zich op hun privé-telefoon kunnen identificeren voor toegang tot hun werkaccount, dan moet die daarvoor ingesteld worden. Moet het echt? Ja en nee. Microsoft maakt MFA standaard. Maar de ‘conditional access’ die je kunt laten instellen voor losse apparaten, kun je in principe ook laten inschakelen voor verkeer vanaf je kantoorlocatie. Brisk ICT kan ervoor zorgen dat, binnen de vereisten van veiligheid, er op kantoor niet steeds om extra authenticatie wordt gevraagd. Waarom Brisk ICT inschakelen voor het inschakelen van MFA? Hoewel er online handleidingen te vinden zijn om zelf MFA op je 365-account in te stellen, is het goed je te realiseren dat er voor organisaties aardig wat bij komt kijken om naar deze vorm van extra beveiliging over te stappen. Denk alleen al aan het geschikt maken van de smartphone van je medewerkers voor MFA. Bij Brisk ICT is dit, zoals altijd, in vertrouwde en vaardige handen. Ten slotte: waar je het allemaal voor doet Een deuk in je imago of een hap uit je vermogen… welke schade criminelen je ook berokkenen door het stelen van je inloggegevens; stel je voor dat je de salarissen niet kunt uitbetalen. Of dat je bij je leveranciers in het rood komt te staan. Alles wat je hebt opgebouwd kan door 1 stomme onnadenkendheid door je vingers glippen. Bij Brisk ICT zijn we daarom heel blij met de aangekondigde stap van Microsoft. Wil je meer informatie, of wil je dat wij MFA voor jou inschakelen? We helpen je graag. Bel onze consultants of neem contact met ons op via het contactformulier. [...]