Skip to main content

Veilig werken met laptop

Werken op een vrij systeem (de zakelijke laptops zonder hele strenge restricties) brengt een eigen verantwoordelijkheid mee als het gaat over veiligheid. We kiezen voor een open beleid omdat veel developers vaak admin rechten nodig hebben bij het uitvoeren van taken. Indien we de laptops helemaal dicht zetten zorgt dit voor veel extra processen wat niet altijd ten goede komt voor de productiviteit.

Je hebt door het ontbreken van deze restricties wel een extra verantwoordelijkheid als het gaat om het veilig werken met het apparaat. In dit overzicht de regels waar je aan dient te voldoen, of rekening mee moet houden bij het werken op een Maglr laptop.

De risico's

Letten we niet op het onderdeel 'security' dan zijn de risico's groot. De laptops die we op kantoor gebruiken zijn de toegangspoort tot de overige onderdelen van het Maglr systeem. Nu kan een server natuurlijk ook direct worden gehacked / aangevallen, maar toegang langs een laptop zou voor een hacker wel eens eenvoudiger kunnen zijn.

Waarom je de regels in dit document moet volgen:

  • Je laptop zou gewiped of gelocked kunnen worden, indien je onderstaande regels volgt moet dan geen hele grote gevolgen hebben
  • Malware zou bestanden kunnen locken. Onedrive is hiertegen beveiligd al kan dit toch problemen geven.
  • Via een laptop hack zou men gevoelige data van klanten kunnen downloaden (onedrive)
  • Via een laptop hack zou men toegang kunnen krijgen tot het Maglr CMS
  • Via een laptop hack zou men toegang kunnen krijgen tot de servers of database via op de laptop geïnstalleerde programma's

Trust no-one

Om bovenstaande scenario's tegen te gaan is de belangrijkste regel, vertrouw niemand. Krijg je informatie binnen van een persoon (e-mail bijvoorbeeld), valideer de herkomst. Bezoek je een website, controleer je of de herkomst klopt. Belt iemand je op met vage instructies die je op een laptop moet uitvoeren, hang op. Laptops kunnen privé worden gebruikt maar let erop wat je bezoekt of installeert.

We voeren dit principe overal op door (ook externe systemen) waarbij jij jezelf eerst kenbaar moet maken voor je kunt inloggen. Kantoor is hierbij geen unieke locatie meer, ook hier moet jij je als persoon valideren voor je gebruik kunt maken van systemen.

Wachtwoorden

Het aantal wachtwoorden binnen Maglr proberen we te limiteren door het gebruik van SSO. Met je Microsoft account moet je zoveel mogelijk op veelgebruikte tools kunnen inloggen. Toch zijn er applicaties die SSO nog niet ondersteunen of los door je worden gebruikt waardoor een manueel wachtwoord nodig is.

Wachtwoord policy Moet je een wachtwoord aanmaken, zorg dan dat het aan de volgende regels voldoet. Systemen waar we grip hebben op de policy wordt onderstaan de doorgevoerd:

  • Het wachtwoord mag geen aanzienlijke gedeelten van de accountnaam of de volledige naam van de gebruiker bevatten.
  • De lengte moet minimaal 8 tekens zijn.
  • Het wachtwoord moet tekens uit drie van de volgende categorieën bevatten:
  • Hoofdletters (A tot en met Z) Kleine letters (a tot en met z) Cijfers uit het tientallig getallenstelsel (0 tot en met 9) Niet-alfanumerieke tekens (zoals, !, $, #, %) Wachtwoord historie: 3 wachtwoorden.

Vernieuwen wachtwoord Twee wachtwoorden die we verplichten om ieder jaar te veranderen is het wachtwoord van je laptop en het wachtwoord van je Microsoft SSO account. Beide worden beheerd door een policy waarbij je zelf melding krijgt wanneer het wachtwoord gaat verlopen (30 dagen).

Wachtwoord manager Wachtwoorden zijn op te slaan binnen de password manager van Chrome, via Microsoft Authenticator of met behulp van externe tools. Je bent zelf in staat een tool te kiezen. We controleren nog het gebruik van een globale password manager voor iedere werknemer.

2FA Heb je binnen een externe tool de beschikking over 2FA, activeer dit dan via de Microsoft authenticator app.

Globale wachtwoorden Voor globale wachtwoorden van diensten of producten die we binnen Maglr gebruiken, en niet via SSO kunnen verlopen, zijn de wachtwoorden opgeslagen in Bitwarden. Maar een beperkte groep medewerkers heeft toegang tot deze wachtwoorden.

Software

Je bent zelf in staat software te installeren, maar denkt eraan dat het om een zakelijke laptop gaat. Installeer geen rommel of tools die niets met werk te maken hebben. Ondanks dat een Mac beter is beschermd tegen virussen of malware, is het altijd mogelijk om software te installeren wat op de achtergrond wat 'extra' taken uitvoert

  • Installeer (indien beschikbaar) alleen software vanuit de MacStore, deze software wordt extra gecontroleerd op malware
  • Controleer de herkomst van de download (.dmg), verzamel websites voor software zijn niet altijd te vertrouwen
  • Apps zijn op een Mac 'gesandboxed', rechten moet je apart toekennen, let op dat je apps niet te veel rechten geeft (apps die niet marktconform zijn)
  • Bezoek geen torrent achtige websites, staan erom bekend dat ze malware achterlaten
  • Open geen vreemde bijlagen in e-mails wat potentieel malware zou kunnen installeren
  • Installeer geen vreemde chrome plugins, enkel plugins die je nodig hebt en van een betrouwbare bron komen

Virusscanner

De Macs zijn standaard voorzien van een interne virusscanner. Je dient er enkel voor te zorgen dat je Mac up-to-date blijft. Het is niet nodig extra virusscanners te installeren.

Updates

Je Mac dient zo te zijn ingesteld dat updates automatisch worden geïnstalleerd. Dit is te regelen via About your Mac -> Software update. Met een up-to-date mac voorkom je problemen met oude security issues.

Wifi

Werk je op kantoor dan kan je op twee netwerken verbinden. Het 'Gast netwerk' of het 'BlueBerry' netwerk. Enkel toegewezen laptops kunnen verbinding maken met het 'BlueBerry' netwerk. Dit netwerk geeft toegang tot interne servers en via de firewall externe servers.

Externe onveilige wifi Werk je niet thuis maar in een internet cafe, let dan op. Een wifi verbinding kan onveilig zijn, het is mogelijk dat andere computers meeluisteren indien je op een 'niet-versleutelde' verbinding werkt. Mail of verbindingen met ons CMS lopen altijd over SSL. In deze scenario's dien je via Cloudflare Access te werken die je complete verbinding versleuteld met het internet.

OpenVPN / Cloudflare Acces

Developers die vanuit huis werken en toegang nodig hebben tot het kantoor netwerk (of externe servers via kantoor) kunnen gebruik maken van OpenVPN. Enkel medewerkers die op deze servers moeten zijn (developers) hebben een VPN-account.

Documentbeheer

Je volgt de regels als het gaat om het opslaan van gegevens binnen Maglr. Lees meer

Chrome plugins

Kleine apps die stiekem binnen Chrome worden geïnstalleerd kunnen grote schade veroorzaken. Je voegt ze eenvoudig toe en voor je het weet lezen ze de data uit die jij invoert op het internet. Zorg ervoor dat je enkel de broodnodige plugins installeert. Controleer ook om de zoveel tijd wat er in je plugins staat. Ken je de plugin niet, gooi de app eruit. Overzicht is te vinden via Chrome -> Instellingen -> Extensies.

Persoonlijk SSO-account / 2FA

Iedere medewerker ontvangt een persoonlijk Microsoft-account. Dit account gebruiken we voor e-mail, teams, agenda's en Onedrive. Daarnaast koppelen we dit account aan tal van andere tools om jouw als medewerkers te identificeren. Hiermee voorkomen we een wildgroei aan wachtwoorden en weten we dat er altijd een dubbele authenticatie (2FA) wordt toegepast. Je Microsoft-login wordt toegepast voor:

  • Cloudflare Access (VPN) authenticatie
  • E-mail / teams
  • Onedrive
  • Maglr CMS
  • Maglr documentatie
  • AWS server dashboard
  • Pipedrive
  • Sendgrid
  • Gitlab

Waar heb je een apart wachtwoord nodig:

  • Laptop
  • OpenVPN (indien nog in gebruik is)
  • Toegang ssh servers

Screensavers & screen lock

Zorg ervoor dat je scherm na 10 min in slaap valt en moet worden 'ge-unlocked' met wachtwoord of fingerprint. Op kantoor kan je even koffie halen zonder je scherm uit te zetten. Zit je in een 'internet cafe', dan lock je het scherm voor je naar bijvoorbeeld de wc gaat.

Encryptie & firewall

De Mac dient standaard te worden voorzien met encryptie en firewall. Via de instellingen op je Mac kan je dit activeren. Het zorgt ervoor dat niet alle poorten van je laptop open staan en je harddisk is versleuteld. Wordt je mac gejat zal het lastig zijn om tot de data te komen.

Microsoft Intune

Op iedere laptop wordt Microsoft Company portal geïnstalleerd, gekoppeld aan Intune. Dit programma controleert of een policy, uitgezet door Maglr, correct op de laptop is uitgezet. We controleren op de volgende vereisten:

  • Opzet van het wachtwoord
  • Tijd dat wachtwoord vernieuwd moet worden
  • 15 minuten lockscreen / screensaver
  • Encryptie harddisk
  • Firewall

Dit programma controleert verder niet wat je uitvoert. Het checkt de configuratie van een laptop en kan indien mogelijk de laptop 'op slot' zetten. Het geeft ons overzicht welke devices er in omloop zijn. Stel dat de laptop wordt gestolen kunnen we dit op afstand uitvoeren.

Verwijderbare media

Het begint langzaam iets van vroeger te worden, maar de laptops hebben twee aansluitingen waarbij het mogelijk is USB of harddisks aan deze apparaten toe te voegen. Belangrijkste is op te letten wat je in je laptop steekt. Het gaat hierom niet dat files gekopieerd kunnen worden, maar vooral wat voor files er via een USB op je laptop terecht komen (of code die wordt uitgevoerd). Steek dus niet zomaar onbekende USB-devices in je laptop!

Het delen van gegevens

Het is niet toegestaan om klantinformatie, opgeslagen op Onedrive te delen met derden. Met verschillende klanten zijn er NDA's getekend waarbij men aangeeft dat hun data gevoelige informatie of persoonsgegevens kan bevatten. Dit soort data blijft dan ook op de Onedrive locatie staan.

Onedrive is beveiligd tegen het delen van informatie. Het is dan ook niet mogelijk om een file/assets via onedrive met een derden te delen. Stuur je zelf files via e-mail, let dan op wat je deelt. Een document mag niet zomaar gevoelige informatie bevatten.

Sturen we klanten wachtwoorden toe, of delen we intern wachtwoorden. Doe dit dan in twee delen. Verspreid over twee e-mails, of de gebruikersnaam en wachtwoord langs twee kanalen (e-mail en teams). Gaat het om demo of trial accounts, dan kunnen we deze gegevens in een enkele e-mail delen.

Verzoeken van klanten

Een klant die naar binnen belt of via de chat een vraag stelt moeten we valideren. We sturen niet zomaar wachtwoorden toe of wijzigen e-mail adressen van klanten. Deze route is vaak de eenvoudige manier om een applicatie te hacken, je voordoen als iemand anders.

Bij dergelijke aanvraag verzoeken we om:

  • Aanvraag per mail in te dienen (zodat we persoon kunnen valideren)
  • Aanvraag via chat in dashboard indien (zijn ingelogde gebruikers)
  • Verzoek nabellen of navragen bij leidinggevende van organisatie

Clear desk beleid

Op kantoor houden we ons bureau schoon. Papieren kladjes gooien we weg en we verzamelen geen stapels met documenten die nooit meer worden ingezien. We hangen geen post-it's met wachtwoorden aan beeldschermen of laten gevoelige informatie op bureau liggen. Heb je documenten die je wilt opslaan hebben we hier een kast voor met mappen.

Schoonmakers die in de avond de bureau's schoonmaken hoeven niet te weten wat we doen, daarbij moeten zij het bureau kunnen schoonmaken zonder er troep in weg ligt. Doordat we nu met laptops werken is het verder mogelijk dat men op andere werkplekken plaats kan nemen. Een schoon bureau is daarbij wel zo fijn.

Gooi je documenten weg, denk eraan dat je dit goed verscheurd voor het de prullenbak in komt (processen -> data)

Laptop back-ups

Werk je volgens de regels dan staan er geen zakelijke bestanden op de harddisk van je laptop. Voor zowel marketing, design als sales staan alle bestanden in Onedrive. Voor development staan er bestanden lokaal maar daarnaast een recente versie (online) in git.

Een back-up van je laptop is op dat moment dan ook niet verplicht. Moet je de laptop opnieuw installeren dan zijn veel cloud gerelateerde programma's weer snel terug te zetten via SSO. Heb je het apple account correct geconfigureerd, dan worden veel settings via die route teruggezet.

Wil je wel een back-up van je laptop, dan kan je dit zelf optioneel activeren in Onedrive. Ieder account heeft een persoonlijke map waar het mogelijk is om bijvoorbeeld het bureaublad in je eigen account als back-up mee te nemen. Lokale back-ups op kantoor via time machine ondersteunen we niet meer.