De experts van SCCT werken elke dag keihard aan een veilige en goed functionerende werkplek voor de klant van onze klant: de eindgebruiker. Zo’n essentieel onderdeel van de bedrijfsvoering moet altijd veilig, efficiënt en up-to-date zijn. Onze specialisten bespreken de vier elementen van onze werkplek: Security, Productivity, Identity en Datacenter. Deze keer is een van onze consultants aan het woord over Security.

Sinds de komst van het internet en de digitale transformatie is security een onderwerp waar we dagelijks mee te maken hebben in zowel een professionele context als ons privéleven. Ik kom van oorsprong uit een technische beheerfunctie, en ook binnen mijn werkzaamheden is security een steeds grotere rol gaan spelen.

De oplossingen die we bij SCCT aanbieden, zijn gebaseerd op Microsoft-technologieën, mede vanwege het brede portfolio en de ondersteuning bij Microsoft. Wanneer je een groot platform zoals Windows aanbiedt, word je automatisch een doelwit voor opportunistisch misbruik. Jaren geleden, in de tijd van Windows XP, gebruikte iedereen nog virusscanners van externe leveranciers, omdat de eigen antivirussoftware van Microsoft niet veel soeps was. Maar inmiddels heeft Microsoft de eigen investeringen in security enorm opgevoerd, en hun eigen proposities en producten zitten nu vol met securityfeatures.

Altijd secure by design

Die verschuiving naar ingebouwde functionaliteit vond plaats vanaf Windows 8. Microsoft is de schat aan informatie die ze hadden overgehouden aan de anti-spam-filters van Hotmail gaan inzetten om hun securityportfolio uit te breiden. In de jaren daarna is Microsoft met Defender for Endpoint op het gebied van security uitgegroeid tot marktleider. Daarbij is het onderdeel van Microsoft 365, wat de basis is van de werkplekpropositie van SCCT. We werken volgens het secure by design-principe: vanaf de ontwerpfase tot de oplevering en beheer van een nieuwe IT-omgeving houden we rekening met security, waardoor het in iedere laag van de omgeving ingebed is.

We spreken met onze klanten altijd af dat de implementatie van security zo gebruiksvriendelijk mogelijk is. Je wil namelijk voorkomen dat de eindgebruiker gaat proberen bepaalde maatregelen te omzeilen en op die manier juist onveiliger bezig is.

Voorkom MFA-moeheid

Een goed voorbeeld hiervan zijn moderne authenticatietechnieken zoals Multi-Factor Authentication (MFA). Die beveiligt de primaire authenticatiefactor, het wachtwoord, met aanvullende factoren zoals authenticeren met een ander device. Want wie gebruikt inmiddels nog geen authenticatie-app op zijn smartphone? Het probleem is alleen dat we tegenwoordig zo vaak op ‘bevestigen’ moeten drukken, we niet altijd meer echt opletten welke applicatie probeert in te loggen.

Dit verschijnsel, waar kwaadwillenden steeds vaker van profiteren, wordt MFA-moeheid genoemd. Bij SCCT proberen we dit te voorkomen door alleen extra authenticatie te vragen wanneer het echt nodig is: als de risicofactor van de eindgebruiker verandert. Bijvoorbeeld wanneer de inlogpoging vanuit een ander land of een ander device komt. Een andere is passwordless authentication, een vorm van MFA die gebruik maakt van andere factoren en daardoor nog veiliger en gebruiksvriendelijker is.

Dit zijn de huidige security-trends

Binnen security zijn een aantal trends zichtbaar die vroeg of laat voor iedere organisatie van belang worden. Ik bespreek ze hieronder.

Privacy

Voor veel van onze klanten gaat ook het privacy-aspect van security een grotere rol spelen. Zo zie ik steeds vaker dat organisaties het voor hun medewerkers onmogelijk maken om Google Chrome te gebruiken: ze maken van Microsoft Edge de standaardbrowser, om zo de algoritmes van Google Ads buiten de deur te zetten. Dit geldt ook voor zoekmachines, waarbij Google wordt ingeruild voor alternatieven zonder tracking als DuckDuckGo. Dit is met name voor sommige sectoren van belang, omdat Google op basis van het surfgedrag van medewerkers kan afleiden welke klanten ze bedienen.

Wetgeving

Overheden zijn steeds meer bezig om IT-security vast te leggen in wet- en regelgeving. Zo is er natuurlijk de bekende AVG, en bereikte het Europees Parlement onlangs een akkoord over de Digital Markets Act (Verordening Digitale Markten). Deze moet voorkomen dat grote bedrijven als Google en Microsoft hun machtspositie in de markt misbruiken.

Compliancy en data residency

Klanten krijgen vaker te maken met compliancy-vraagstukken. Wanneer ze gebruikmaken van public cloud, worstelen ze soms met data residency: waar moet data worden opgeslagen, in de VS of in Europese datacenters? Gelukkig biedt Microsoft 365 Multi-Geo: hiermee kun je als organisatie zelf per gebruikersgroep bepalen waar data wordt opgeslagen.

Certificeringen

Voor organisaties uit bepaalde sectoren, zoals de financiële sector, worden nog hogere eisen gesteld aan security. Die moeten dan voldoen aan de standaarden die zijn gesteld in de ISO27000-serie certificeringen voor informatiebeveiliging, zoals het hebben van een cloud-exitstrategie en het op orde hebben van back-ups en disaster recovery.

Veiligheid boven alles

Bij SCCT praten we niet zomaar mee met de klant. Sterker nog: ik zeg vaker nee tegen klanten, dan ja. Juist om hun werkplek zo veilig mogelijk te houden, en ze bewust te maken van de risico’s die hun keuzes met zich mee kunnen brengen. Het komt bijvoorbeeld wel eens voor dat klanten geen MFA op hun omgeving willen. Daar staan wij bij SCCT nooit achter: we willen de werkplek zo gebruiksvriendelijk mogelijk maken, maar het moet nooit ten koste gaan van de beveiliging.

Hoe staat het met de security binnen jouw organisatie? Onze Microsoft Cloud Security Assessment geeft je in een aantal uur inzicht in de veiligheid van je omgeving. SCCT komt op locatie langs, doet een analyse en levert een adviesrapport op met aanbevelingen. Meer weten? Neem contact op via het contactformulier.