• Home
• Nieuws

Jaap de Koning en Elwin Ekker (The Sourcing Company): Goede informatiebeveiliging vindt balans tussen beveiliging en gebruiksgemak

Geplaatst door CorporatieMedia op Tuesday 12 October 2021

Door de coronapandemie zijn corporatiemedewerkers en masse thuis gaan werken. Maar de veiligheid van een eigen thuis betekent niet automatisch dat alle gevaren geweken zijn. Hoe zorg je ervoor dat de beveiliging geborgen wordt, zodat thuiswerken net zo veilig is als op kantoor? CorporatieGids.nl sprak daarover met Technology Lead Jaap de Koning (foto) en ICT-specialist Elwin Ekker van The Sourcing Company.

Inmiddels werkt Nederland alweer anderhalf jaar thuis door de coronapandemie. “Mensen zijn gewend geraakt om thuis te werken, maar security awareness blijft relevant,” begint Jaap. “Hoe ga je bijvoorbeeld om met vertrouwelijke documenten in een thuisomgeving? De leercurve van op afstand werken – bijvoorbeeld met Teams of samenwerken in documenten – is en blijft best steil. Maar met behulp van trainingen, webinars en hands-on video’s kunnen medewerkers begeleid worden om de juiste dingen te blijven doen.”

Obstakels
Op de vraag welke obstakels veel corporaties ervaren als het gaat om de moderne werkplek, vertelt Elwin: “Dat was aan het begin van de pandemie de switch van het werken op een remote-desktop naar het werken op een moderne werkplek. Inmiddels zijn steeds meer mensen daaraan gewend, en verschuift de uitdaging naar document- en identiteitsniveau. Ook werken corporaties hard aan het verhogen van het verantwoordelijkheidsniveau van medewerkers.”

Baseline
Het beveiligen van hardware begint volgens het duo met de TSC Base. Jaap: “Hierin staan instellingen rondom encryptie, de status van de virusscanner en andere beveiligingsinstellingen centraal. We dwingen dit af op de apparaten die onder beheer vallen. Overigens wordt de hardware zelf steeds minder relevant; de enige échte harde eis voor een laptop is een TPM-chip.”

De volgende stap is namelijk het afdwingen van beveiliging op document- en gebruikersniveau. “Door gebruik te maken van zaken als voorwaardelijke toegang, beheerde applicaties of beheerde apparaten, kunnen we basisregels afdwingen,” legt Elwin uit. “Belangrijk daarbij zijn bijvoorbeeld auditing en logging. Hiervoor richten we Azure Information Protection (AIP) in en koppelen we labels aan data. Dit maakt direct inzichtelijk wat er waar gebeurt. Zo is niet alleen de hardware veilig, maar ook de documenten waarmee gewerkt worden.”

Basisset definiëren
“The Sourcing Company kan corporaties op verschillende manieren helpen bij informatiebeveiliging,” gaat Jaap verder. “We kennen de sector zeer goed wat ons helpt in het maken van keuzes rondom de baseline. Onze ervaring zorgt ervoor dat wij een goede basisset gedefinieerd hebben die de fundering van beveiliging en configuratie inregelt. De corporatie hoeft daarom alleen nog maar na te denken over gebruiksspecifieke instellingen, zoals de te gebruiken labels voor documenten.”

Juiste balans
Bij informatiebeveiliging is er volgens Elwin wel altijd een balans nodig tussen beveiliging en gebruiksgemak. “Uiteindelijk is het een beleidskeuze en risico-afweging wat, waar en wanneer mag. Door afspraken vast te leggen in ons stoplichtmodel – met de kleuren groen, oranje en rood – houden we informatiebeveiliging inzichtelijk voor de klant.”

Nieuwe dreigingen
En dat is belangrijk, want in de toekomst zullen continu nieuwe dreigingen op het pad van corporaties komen. Jaap: “Daarom is het belangrijk om bijvoorbeeld aandacht te blijven besteden aan security awareness. De dreiging van phishing- en ransomware aanvallen neemt toe en hierbij blijft de mens de zwakste schakel. Met onze belofte van oneindige ondersteuning hebben we liever dat mensen een keer extra onze specialisten benaderen om te beoordelen of iets echt is, dan dat ze erin trappen. Gelukkig wordt de technologie tegelijkertijd ook steeds beter. Je ziet bijvoorbeeld dat Microsoft steeds geavanceerdere methoden – zoals AI en machine learning – inzet om kwaadwillenden op te sporen. Door gebruik te maken van SaaS-producten zoals Microsoft 365 zijn deze ook snel in te zetten waardoor de corporatie een veilige omgeving kan garanderen.”

Bron: CorporatieMedia, Foto: TSC