Veel bedrijven, groot en klein maken gebruik van de services van Microsoft. Die zijn handig en bekend. De strategie van Microsoft om ons allemaal naar hun cloud te krijgen mag dan ook een succes genoemd worden. Maar hoe zit het met de beveiliging?
Natuurlijk besteed MS hier veel aandacht aan. Maar het is wel een enorm target voor een kwaadwillende. Het is de moeite waard voor een hacker om veel tijd te besteden en gaten te schieten in de beveiliging van Office365. Het ergste is natuurlijk dat het begint met het feit dat het een gedeeld platform is. Vele gebruikers die vast niet allemaal een zorgvuldig wachtwoord beleid hebben of zich daaraan houden. Binnenkomen op het platform is voor een hacker dus niet moeilijk. Hun ontdekkingsreis begint dan eigenlijk pas.
Phishing is nog steeds de beste manier van het verwerven van gegevens (inloggegevens of andersoortige gegevens), ruim 90% van de inbraken beginnen met een phishing email! Dat helpt de hacker ook weer om meer informatie te verzamelen. Natuurlijk heeft Microsoft een sandbox voor het screenen van die emails, maar een deel van de phishing emails komen daar toch doorheen en dan heeft de hacker weer een flinke stap gezet. En als laatste moet er dan nog geconstateerd worden dat er een hacker bezig is, of dat er malware is geplaatst. Wie is dan precies het slachtoffer? Welke informatie is gecompromitteerd? Kortom, we kunnen er niet op vertrouwen dat Microsoft onze gegevens goed beveiligt, ook al proberen ze dat natuurlijk wel. Daarbij komt dat Microsoft zie niet aan de letter van AVG houdt. Meta gegevens en logbestanden blijven niet in de EEC maar gaan, ondanks dat volgens contract alles in de EEC gehost wordt, naar de Verenigde Staten toe!
Wat dan wel?
De antwoorden liggen eigenlijk redelijk voor de hand. Wachtwoordbeleid is essentieel, goede complexe (lange) wachtwoorden maken echt een groot verschil. Liever complexer dan vaak wijzigen! Zorg dat mensen ook weten hoe ze met die wachtwoorden om moeten gaan. Dus niet opschrijven, niet delen met anderen, etc. Ten tweede zorg voor alertheid bij de medewerkers op het gebied van phishing, smishing, etc., maar ook op andere facetten van informatieveiligheid en hou die kennis up to date. We weten het allemaal uit de reclame, herhaling helpt om de boodschap over te brengen en te laten beklijven. Dat is voor dit onderwerp niet anders. Biedt dezelfde onderwerpen regelmatig en via verschillende vormen aan. Zorg ook voor duidelijke regels voor het gebruik van het internet en sociale media. Wat kan en mag wel en wat niet. Help medewerkers ook hun privé gebruik van internet, email en sociale media veiliger te maken. Het bedrijf zal er uiteindelijk profijt van hebben. Als laatste is het natuurlijk essentieel dat alle updates steeds netjes doorgevoerd zijn en dat dit niet gaat achterlopen. Dat kan gelden voor anti virus software, maar bijvoorbeeld ook voor updates van Windows en andere systeem-software. Natuurlijk zijn er allemaal prachtige tools om de bescherming verder op te hogen. Dus als u al het bovenstaande al hebt geïmplementeerd en het een normaal onderdeel van de bedrijfsvoering is worden, dan kunnen deze extra ”lines of defense” zeker iets toevoegen. Die tooling is vaak duur (in aanschaf, dan wel implementatie of allebei) en als de bovenstaande aspecten niet goed ingeregeld zijn ook minder effectief.
Voor de awareness van medewerkers zijn goede hulpmiddelen beschikbaar, zo ook om te controleren of alle updates doorgevoerd zijn of welke kwetsbaarheden er in de infrastructuur zijn. Mits goed geïmplementeerd, kunnen die hulpmiddelen de kwaliteit van de beveiliging aanzienlijk verhogen. Meten is weten is het credo hier. Maar als met de resultaten van die hulpmiddelen niet gedaan wordt zijn ze ook weinig effectief. A fool with a tool is still a fool! ConanDoyle helpt u graag bij het uitwerken van goed beleid, het inzetten van de juiste hulpmiddelen en tools. Het liefst in die volgorde, maar in veel gevallen is er al het een en ander aanwezig en zullen we de effectiviteit van die investeringen helpen verbeteren.
Bel of mail ons! 085-0606496 of sirarthur@conandoyle.eu