In het accountantskantoor sta je dagelijks voor allerlei securityrisico's. De AVG hijgt in je nek en daarnaast heb je branchegerelateerde verplichtingen. En dit zijn nog enkel de externe factoren. Maar je wilt natuurlijk ook de security voor je klanten op orde hebben. Is het dan verstandig om de boel volledig dicht te timmeren om zo cyberaanvallen en datalekken te voorkomen? Ook als dit ten koste gaat van de gebruiksvriendelijkheid van je systemen? Of is dat laatste ondergeschikt? Wij delen onze visie op de balans tussen het dichttimmeren van veiligheidsrisico’s en de werkbaarheid van je systemen.
Securityrisico’s in het accountantskantoor
Om te beginnen: met welke securityrisico’s heb je eigenlijk te maken als accountant? Nou, met medewerkers die hun laptop, smartphone of tablet verliezen in de trein. Apparaten die vol staan met zakelijke e-mails en privacygevoelige documenten.
Of jouw Microsoft 365-applicaties staan wagenwijd open voor onbevoegden doordat je de toegang niet controleert of beperkt. Misschien gebruiken jouw medewerkers zwakke wachtwoorden, gedragen zij zich niet volgens de protocollen of verkoopt een cybercrimineel ongezien en ongehinderd de data uit jouw netwerk door. En dat is nog maar het topje van de ijsberg. Je ontdekt alle veiligheidsrisico’s in ons e-book.
Securityrisico’s dichttimmeren met multi-factorauthenticatie
De eerste oplossing waarmee je veel securityrisico’s vermijdt, is multi-factorauthenticatie. Hiermee log je niet alleen in met je gebruikersnaam en wachtwoord, maar heb je ook een sms-code of pop-up nodig om toegang te krijgen. Hierdoor is het voor onbevoegden zo goed als onmogelijk om met enkel inloggegevens je netwerk in te komen. Uit onderzoek blijkt zelfs dat het risico op onbevoegde toegang afneemt met 99 procent als je multi-factorauthenticatie instelt.
De valkuilen rondom multi-factorauthenticatie
Multi-factorauthenticatie mag daarom in jouw organisatie niet ter discussie staan. Toch merken we dat er nog steeds mensen zijn die het “gedoe” vinden. Om ervoor te zorgen dat iedereen er gebruik van maakt, adviseren we om het adoptietraject goed te regelen en uit te leggen wat er kan gebeuren als ze het niet instellen. En verzeker jezelf ervan dat écht iedereen het protocol volgt. Ook de directie. Het ontkracht namelijk je beleid als zij zich hieraan onttrekken.
Wel raden we aan om vrijheden te nemen in de detaillering. Bepaal waar medewerkers multi-factorauthenticatie moeten aanvragen: op kantoor, thuis of in een café? Hoe lang bewaar je zo’n sessie? Moeten ze zich dagelijks of om de dag aanmelden? Weeg hierbij risico’s en gebruiksvriendelijkheid tegen elkaar af.
Securityrisico’s omzeilen met mobile device-management
De tweede securityoplossing die elk bedrijf móet hebben, is mobile device-management. Tegenwoordig werkt namelijk bijna iedereen op een laptop, met een zakelijke telefoon of een tablet. En sinds corona werken een hoop mensen ook weleens thuis of in een café. Daarom is het noodzaak dat je mobile device-management uitrolt binnen jouw bedrijf. Raakt een apparaat kwijt of wordt het gestolen? Dan wis je alle zakelijke informatie op afstand. Zo voorkom je een datalek zélfs als een apparaat buiten je bereik is.
De valkuilen rondom mobile device-management
Wij merken wel dat mobile device-management omstreden is onder medewerkers. Als bedrijf heb je namelijk inzicht in de applicaties en documenten die op zakelijke apparaten staan. Dit voelt een beetje als ‘Big Brother is watching you’. Toch valt dit te bezien, want je kunt geen e-mails of andere berichtuitwisseling bekijken. Je kunt enkel de applicaties beheren en wissen op afstand.
En als je privéapparaten toevoegt aan het mobile device-management, wat we zeker aanraden, dan heb je enkel zicht op zakelijke content. Raakt die mobiel kwijt? Dan kun je ook alleen dit gedeelte wipen. Meer rechten heb je niet op een privéapparaat.
Werkbaarheid voorop bij thuiswerken
Maar wat als een medewerker thuis of in een café op een onbeveiligd of openbaar wifinetwerk werkt? Op dat moment kun je de gebruiker weren uit je netwerk, maar dit raden wij altijd af. Dit werkt vooral frustrerend en beperkt de flexibiliteit. Wél kun je als voorwaarde stellen dat ze hun multi-factorauthenticatie activeren. Zo ben je namelijk altijd beschermd. En werk als het even kan via een hotspot. Maar mocht dat niet kunnen, dan zit je met multi-factorauthenticatie goed.
Flexibiliteit in het toewijzen van toegang
Wanneer je met Microsoft 365 werkt, is het belangrijk om per map en document te bepalen wie daar toegang toe heeft. Voor grote organisaties is het slim om toegang te definiëren op basis van de rollen junior, medior, senior en klant. Zo houd je het voor jezelf overzichtelijk. Maar heb je een klein bedrijf? Dan werkt het toewijzen van rechten juist frustrerend. Let dan vooral op welke toegang en rechten externen krijgen als je een bestand met hen deelt.
Verbeter werkbaarheid met Single Sign-On
Multi-factorauthenticatie maakt het dus een stuk makkelijker om securityuitdagingen aan te gaan. Maar als je voor elke applicatie toegang moet geven, wordt dat nogal veel. Om dit te ondervangen verbinden we het Microsoft-account van een gebruiker aan andere grote applicaties, die hier een koppeling voor hebben. Voor de applicaties die hierbuiten vallen gebruiken we Single Sign-On van SecureLogin. Daarmee heb je een primair portaal voor al je Clouddiensten. Zo verenig je veiligheid met gebruiksvriendelijkheid.
Een computerprotocol opstellen
Natuurlijk zijn wij er helemaal voor om samen met je medewerkers tot een veilige én werkbare situatie te komen. Maar als eigenaar van een accountantskantoor staat het je vrij om naleving van de securityvoorschriften te eisen. Hierbij is het zaak dat je een computerprotocol hebt. Dit is een verouderde benaming, maar hierin leg je vast wat de rechten en plichten van medewerkers zijn als ze toegang krijgen tot je systemen.
Naleving eisen van securityvoorschriften
In het computerprotocol bepaal je bijvoorbeeld dat het downloaden van spelletjes op een zakelijk apparaat verboden is. Of dat medewerkers multi-factorauthenticatie moeten instellen en managed services moeten toestaan. Doen zij dit niet dan treedt een sanctiebeleid in werking. Overigens is het niet de bedoeling medewerkers te “straffen”, maar om ze te informeren over hun rechten en plichten. Het opstellen van zo’n computerprotocol voelt misschien streng, maar het scheelt je een hoop getouwtrek in de praktijk.
Neem contact op
Heb jij ondersteuning nodig bij het vinden van de balans tussen werkbaarheid en veiligheid? Neem gerust contact met ons op via info@arcusit.nl. Wij helpen je graag verder!