Op dinsdag 23 april organiseerden we de Dutch Microsoft Security Meetup bij Valid op kantoor in Eindhoven. De Dutch Security Meetup is een community van meer dan 1.700 Microsoft security specalisten. Bij het maandelijkse event, met wisselende locaties, komen security professionals uit het hele land, en zelfs uit België, samen om ervaring en kennis te delen over IT-security technologie van Microsoft. Dit keer voor het eerst in het zuiden van het land, bij Valid in Eindhoven! We kijken met veel plezier terug op een mooi event, met een heerlijk gezamenlijk diner, interessante lezingen en een gezellige afsluitende borrel met pubquiz.

Zo gaf Neal Bongers, van Tilburg University, een presentatie over ’15 security zaken die gratis zijn, maar die bijna niemand gebruikt’: Je hebt MFA aanstaan, maar hoeveel medewerkers hebben het ook ingesteld? Heb je alle domeinen in je Entra ID tenant voldoende beveiligd? Deze en andere valkuilen die je kunt voorkomen voordat je gehackt wordt. Een Lessons Learned sessie over een breed spectrum van zaken vanuit uitgevoerde Security Assessments op basis van Microsoft 365 en Entra ID. Hierbij liet Neal praktijkvoorbeelden zien, maar gaf hij ook aan hoe je dit zelf kunt controleren en aanpassen (bron: Dutch Security Meetup).

Ruud Gijsbers Rademakers, van Avanade, gaf een presentatie over ‘Het landschap van RBAC rollen in Microsoft Intune’:  Deze sessie gaf handvatten voor het beheersen van Intune’s RBAC-rollen, waarmee je het complexe terrein van RBAC en toegang succesvol kunt implementeren. Ruud gaf inzicht in de wereld van Microsoft Intune, en deelde zijn best practices met het publiek. (bron: Dutch Security Meetup).

De belangrijkste en meest praktische security tips

Tijdens het event vroegen we de aanwezige security experts om hun belangrijkste of meest praktische IT-security tip. Hieronder vind je een overzicht van de tips die de experts hebben opgeschreven. Belangrijk: we hebben bij elke tip een korte uitleg gegeven, omdat dat de context verduidelijkt. Dit is echter een interpretatie en aanvulling vanuit onze kant en niet per se de mening van de gever van de tip. De lijst is verder zeker niet uitputtend, het is slechts een overzicht van de gegeven tips:

• ‘Gebruik altijd MFA (Multi Factor Authenticatie)’: met MFA als aanmeldmethode moet een gebruiker de authenticiteit verifiëren op meer dan één manier. Dit kan bijvoorbeeld een wachtwoord in combinatie met authenticator-app, fysieke sleutel, biometrie of verificatiecode via sms of mail zijn.
• ‘Betrek niet techneuten bij het security beleid’: Het security beleid wordt vaak opgesteld door techneuten, die alles van de materie weten. Het kan echter ook zeker waardevol zijn om de niet techneuten erbij te betrekken en te zorgen dat zij de afwegingen begrijpen om uiteindelijk het beleid goed te kunnen naleven.
• ‘Zorg voor awareness bij collega’s door awareness programma’s en trainingen’: In het verlengde van de vorige tips is awareness een zeer belangrijke factor bij IT-security. Met een goed awareness-programma creëer je begrip en oplettendheid onder je collega’s.
• ‘Gebruik een password manager, zoals KeyPass of Bitwarden’: Een password manager helpt je om je inloggegevens veilig op te slaan en centraal te beheren en is eigenlijk voor iedereen een onmisbare tool om je laptop, telefoon en alle andere digitale apparaten veilig te gebruiken.
• ‘Zoek de balans tussen security en functionaliteit’: Met het zoeken naar de juiste balans, streef je naar de beste mix van veiligheid en een beleid wat in de praktijk haalbaar en uitvoerbaar is.
• ‘Hanteer het Zero Trust principe’: Met Zero Trust worden alle IT-gebruikers aan het begin van elke interactie als onbetrouwbaar beschouwd. Dit betekent dat de authenticiteit steeds opnieuw moet worden geverifieerd.
• ‘Gebruik Microsoft 365 Defender’: Microsoft 365 Defender is een gebundeld verdedigingspakket voor bedrijven voor en na een aanval dat detectie, preventie, onderzoek en reactie coördineert voor endpoints, identiteiten, e-mail en toepassingen om geïntegreerde bescherming te bieden tegen geavanceerde aanvallen.
• ‘Niet elke medewerker hoeft public facing e-mail te hebben’: zakelijke e-mailadressen bevatten soms gevoelige info met betrekking tot het werk en/of de organisatie. Sommige e-mailadressen, zoals info@voorbeeld.nl, zijn public facing of algemeen bekend. De administrator e-mailadressen van bepaalde applicaties of infrastructuur, wil je in verband met security niet public facing hebben.
• ‘Luister naar signalen en feedback van ‘niet IT-collega’s’’: Ook in lijn met de eerder genoemde tips, is het belangrijk om de feedback en signalen van niet IT-collega’s aangaande het security beleid, te luisteren en dit daadwerkelijk mee te nemen.
• ‘Maak gebruik van MAST (Microsoft Attack Simulation & Training’) voor security awareness’: Met MAST kunnen bedrijven verschillende aanvalstechnieken simuleren die door kwaadwillenden worden gebruikt, zoals phishing, ransomware en geavanceerde aanhoudende dreigingen (APT’s). Door deze simulaties kunnen organisaties hun beveiligingsniveau inventariseren en ontdekken waar ruimte is voor verbetering.
• ‘Stap over op ‘password-less’ werken’: Bij werken zonder wachtwoorden, melden gebruikers zich aan via alternatieve methodes: zoals bijvoorbeeld Face ID, fingerprint, (tijdelijke) pincodes en/of fysieke security keys.

Zoals aangegeven, is dit slechts een overzicht van een aantal tips die door de security experts zijn opgeschreven. Het ligt aan de context welke van de tips het meest van toepassing en/of relevant zijn voor jouw organisatie. Wat is jouw belangrijkste security tip?

Wat zijn de security uitdagingen van jouw organisatie?

Security en compliance is voor vrijwel elke organisatie een belangrijke uitdaging. Het is een actueel thema, je weet dat je er waarschijnlijk wel iets mee moet, maar waar moet je beginnen? Wat is wel relevant en wat niet? Was past bij jouw organisatie en hoe kun je het best omgaan met dreigingen en risico’s. We begrijpen dat dit lastige vragen zijn. We gaan dan ook graag vrijblijvend in gesprek om je situatie, wensen en behoeften te bespreken om te bekijken hoe jouw organisatie het beste met security kan omgaan.