Kennisportal
Kennisportal is een kennisplatform met een focus op de brede doelgroep Business en IT.

De Microsoft Secure Score geeft richtlijnen, maar staar je er niet blind op

Beveiliging is een van de grote speerpunten van Microsoft. Het veilig maken en houden van een Office 365 omgeving is een taak waarvan een deel bij Microsoft ligt, maar ook bij de IT-afdelingen van organisaties. Om hen te helpen met het bepalen van de belangrijkste risico’s is de Secure Score in het leven geroepen. Nieuwsgierig? Lees snel verder!

Beveiliging is een van de grote speerpunten van Microsoft. Het veilig maken en houden van een Office 365 omgeving is een taak waarvan een deel bij Microsoft ligt, maar ook bij de IT-afdelingen van organisaties. Om hen te helpen met het bepalen van de belangrijkste risico’s is de Secure Score in het leven geroepen. “Met de Secure Score wordt een waarde toegekend aan de beveiliging van de tenant. Echter, het zijn slechts adviezen en richtlijnen; wanneer het verkrijgen van een zo hoog mogelijke score een doel op zich wordt, ontstaat er een onwerkbare situatie”, legt Marcel Verweel, Infrastructuur Consultant bij ETTU, uit. “Zoek naar de ideale balans en blijf de nieuwste ontwikkelingen volgen.”

Wat is de Office 365 Secure Score?

“Voor administrators van de Office 365 tenant is het mogelijk om via het Security & Compliance Center inzicht te krijgen in de Secure Score. Deze score staat op een van de tegels in het dashboard waarin de belangrijkste informatie getoond wordt, namelijk de totaal behaalde score op dit moment. Vanuit daar klikt men gemakkelijk door naar het Secure Score Dashboard waar alle informatie te vinden is waarmee de score verbeterd kan worden”, aldus Marcel. In dit dashboard is algemene informatie te vinden over de Secure Score en de volledige lijst van alle mogelijke acties die uitgevoerd kunnen worden.

Secure Score

“Nu zal niet elke actie voor elke organisatie van belang zijn. Zo zijn er bijvoorbeeld veel ‘Advanced Actions’ gedefinieerd die sterk afhankelijk zijn van de extra applicaties die op de tenant aanwezig kunnen zijn. Wanneer een organisatie bijvoorbeeld geen gebruik maakt van Intune, kunnen de adviezen die horen bij deze applicatie dus niet opgevolgd worden. Het behalen van een 100% score is om deze reden al niet mogelijk, maar ook het blind streven naar een zo hoog mogelijke score raden wij altijd af.”

Ga kritisch om met de voorstellen voor de verbetering van de Secure Score

“Als je kijkt naar de aanbevolen acties om de Secure Score te verbeteren, zou men kunnen denken dat dit een afvinklijst is die gevolgd moet worden. Echter, elke actie heeft gevolgen voor de eindgebruiker. Wanneer alle voorstellen klakkeloos opgevolgd zouden worden, belemmert dit de eindgebruikers en kunnen ze workarounds gaan verzinnen die veel onveiliger uitpakken”, waarschuwt Marcel.

Een voorbeeld hiervan vinden we bij het e-mailen naar externe adressen. Wanneer een organisatie de beveiliging zo streng heeft ingericht dat mensen binnen de organisatie geen mails met bijlagen buiten de organisatie mogen sturen, belemmert dit de samenwerking met externe partijen. Een mogelijke zelfbedachte oplossing is dat ze een Dropbox-account openen waarop de belangrijke en mogelijk gevoelige informatie met de externe partij gedeeld kan worden. Informatie die in een Dropbox-account staat is eigendom van Dropbox en niet van de beheerder van het account, dus dit kan voor grote risico’s zorgen.

Hoe om te gaan met de voorgestelde acties voor Secure Score

Om zomaar alle voorstellen van Microsoft te implementeren voor een verhoging van de Secure Score is dus geen houdbare situatie en kan juist zorgen voor een onbeveiligde schaduw IT. Marcel biedt een oplossing om de balans te vinden: “Kijk altijd eerst naar het zogenaamde ‘laaghangend fruit’. Welke acties hebben een grote impact op de Secure Score en beveiliging als geheel, maar zorgen voor weinig extra handelingen of belemmeringen voor de eindgebruikers?”

Een goed voorbeeld hiervan is het toevoegen van Multi Factor Authentication (MFA) voor administratorrollen. Microsoft heeft het volledig voltooien van deze actie op 30 punten gezet, een van de hoogst scorende en dus meest impactvolle acties. “Maar ook in deze actie zitten verschillende manieren om hier zo goed mogelijk mee om te gaan. Het kan heel streng ingericht worden zodat elke administrator elke keer via MFA moet inloggen, maar dit werkt erg vervelend. Daarom is het mogelijk om de werkplek op kantoor en thuis toe te voegen als altijd veilige locaties. Het inloggen op deze locaties gebeurt dus via de bekende en vertrouwde manier, maar wanneer een administrator vanuit een vakantieadres wilt inloggen op de omgeving, zal er wel MFA gebruikt moeten worden”, aldus Marcel.

Het slim inrichten van de beveiligingsmaatregelen in Secure Score

“Dit voorbeeld laat goed zien hoe belangrijk het is om naar elke organisatie apart te kijken en de regels in te stellen op een manier die de werkbaarheid zo min mogelijk beïnvloedt. Het is heel handig dat Microsoft alle beveiligingsopties suggereert, maar per organisatie moet bepaald worden welke optie relevant is en hoe deze optie dan ingericht moet worden”, verduidelijkt Marcel. “ETTU heeft al vele organisaties mogen helpen met, begeleiden in en adviseren over verbeteringen in beveiliging. Met deze Secure Score worden de aandachtspunten duidelijk weergegeven en kan een stappenplan opgesteld worden om de score te verbeteren.”

“Zo analyseren we de organisatie en stellen aan de hand van de Secure Score suggesties een stappenplan op, gerangschikt op de grootste impact op de beveiliging en de minste op de gebruikerservaring. Ook kunnen we het gehele beheer uit handen nemen, zodat ETTU de wekelijkse en maandelijkse controles uitvoert die repeterend van aard zijn”, legt Marcel uit. Ook hier worden namelijk punten aan toegekend.

Beveiliging is een continu proces en met Secure Score is dat niet anders

Microsoft is continu bezig met het verbeteren van zijn eigen beveiliging en van de regels die zijn opgesteld binnen de Secure Score. Zo kan het zijn dat bepaalde acties ineens niet meer in de lijst staan omdat deze een te kleine impact hebben of dat ze op een andere manier zijn ondervangen. “Maar er worden ook regelmatig nieuwe suggesties toegevoegd aan de lijst. Zo is het belangrijk om deze acties continu in de gaten te houden en te blijven monitoren op de al geïmplementeerde verbeteringen”, aldus Marcel.

“De Secure Score van een organisatie kan door deze aanpassingen per dag verschillen, dus streef niet naar een bepaalde score. Streef naar het maken van een zo veilig mogelijke omgeving waar men minimaal gehinderd wordt in het dagelijks werk.”