Inleiding
Bedrijven krijgen steeds meer te maken met aanvallen op hun netwerk. Vaak bedoeld om de bedrijfs- en persoonsgegevens te gijzelen om het betalen van losgeld af te dwingen. Als het bedrijfsgeheimen betreft kan het bedrijf zijn unieke positie in de markt verliezen. Persoonsgegevens die in onbevoegde handen komen is per definitie een datalek en tast het vertrouwen van de klanten in het bedrijf aan.
Wij vinden dat bedrijven de regie over hun zelfverdediging moeten nemen door het IT- risicomanagement zelf uit te voeren of te laten uitvoeren. Bedrijven die dat willen ondervinden enige bobbels op de weg. Deze blog gaat over de bobbelige weg en hoe het bedrijf de bobbels kan pareren.
Verantwoordelijkheid
Na een geslaagde aanval spreekt het bedrijf zijn IT-beheerder aan: ‘jij zou toch voor de beveiliging zorgen!’ En dan begint eerst een Babylonische spraakverwarring tussen het bedrijf en de IT-beheerder want ze spreken elkaars taal niet, de afspraken blijken toch niet zo duidelijk te zijn vastgelegd en er gaapt een enorme verwachtingskloof.
Bedrijven die hun IT-beheer hebben uitbesteed, zijn nog steeds verantwoordelijk voor hun beveiliging.
Onze 1e tip is:
- Maak heldere afspraken met de IT-beheerder over de verantwoordelijkheden en neem in het contract op hoe de IT-beheerder hierover periodiek verantwoording aflegt; en
- Leg risicomanagement niet neer bij de IT-beheerder. Risicomanagement moet onafhankelijk van de IT-beheerder plaatsvinden door het bedrijf zelf of door een externe deskundige.
Weerbarstige praktijk
Bedrijven die riskmanagement (laten) oppakken, kunnen daarvoor bijvoorbeeld Microsoft 365 Defender gebruiken. Defender geeft de mogelijkheid om snel te zien waar de beveiliging onvoldoende is ingeregeld. De meeste bedrijven werken met de kantoortoepassing van Microsoft 365 en kunnen daarom gebruik maken van Defender.
In de praktijk blijkt dat de IT-beheerder vaak een beveiligingspakket heeft lopen dat het functioneren van Defender belemmert. De IT-beheerder zal moeilijk doen om het pakket te verwijderen omdat ze dan een deel van hun activiteiten afstoten. Dat is tegenstrijdig want ze doen amper wat aan beveiliging. Ga zelf maar eens na, wanneer heb je voor het laatst een signaal gekregen van de IT-beheerder? En als je een signaal hebt gehad, wist je dan wat te doen?
Onze 2e tip is:
- Laat de IT-beheerder het beveiligingspakket van uw kantooromgeving (Microsoft 365) voor uw openstellen.
IT-Risicomanagement terug bij het bedrijf
Nadat de toegang tot Defender is gelukt, worden de risico’s zichtbaar voor het bedrijf en kan er gehandeld worden. En dan blijken aanvalsroutes open te staan, MFA niet ingeregeld te zijn of worden de bijlagen bij e-mailberichten niet gecontroleerd.
Microsoft Defender biedt een uitgebreide reeks mogelijkheden wat betreft preventie, detectie, onderzoek en opsporing, reactie en herstel, bewustwording en training, en het bereiken van een veilige status. De mogelijkheden zijn zo groot dat een bedrijf vaak niet weet waar te beginnen en heeft zelf te weinig kennis van risicomanagement. Wij adviseren daarom met een beperkte scope te beginnen onder leiding van een ervaren risicomanager.
Onze 3e tip is:
- Begin met een beperkte scope: Zet Microsoft 365 Defender aan voor de kantooromgeving en de eindpunten;
- Beoordeel met een risicomanager de kwetsbaarheden voor de kantooromgeving en eindpunten, prioriteer deze en handel de kwetsbaarheden af; en
- Beoordeel incidenten en leer wat er gebeurt in het bedrijf.
IT-Risicomanagement zet je aan het denken
Een bedrijf heeft vaak meer dan Microsoft 365. Er zijn nog bedrijven met een eigen datacenter en of maken gebruik van nog een andere cloudaanbieder. Met Defender is het mogelijk op het gehele IT-landschap risicomanagement uit te voeren.
Echter, hoe complexer het IT-landschap is, des te complexer is het risicomanagement. Defender maakt het wel overzichtelijker maar het blijft bewerkelijk en zeker lastig te overzien. Behalve lastig risicomanagement zijn de kosten van een complex IT-landschap ook hoog. Deze twee factoren bij elkaar kan een goede reden zijn voor een bedrijf om het IT-landschap te herzien. Bijvoorbeeld door het lokale datacenter af te stoten en of zoveel mogelijk gebruik te maken van SaaS-oplossingen.
Onze 4e tip is:
- Breid het risicomanagement steeds verder uit zodat integraal risicobeheer mogelijk is;
- Streef naar vereenvoudiging en standaardisatie;
- Beoordeel het huidig IT-landschap op effectiviteit en efficiency; en
- Voer een strakke policy in om nieuwe complexiteit te voorkomen.
Ondersteuning
Wij bieden bedrijven ondersteuning bij hun risicomanagement. Op deze wijze haalt u kennis in huis die onafhankelijk is van uw IT-beheerder. Neem contact met ons op en we bespreken graag de mogelijkheden.