Als bundel nog voordeliger (40% korting) - Dit Verantwoordingsrapport is onderdeel van het afstudeerproces bij het NCOI en vormt samen met het Beroepsproduct de afstudeeropdracht. De afstudeeropdracht is geschreven voor de opleiding HBO Bachelor Informatica (Afstudeeropdracht Techniek & IT) en hee...
,Inhoudsopgave
Inleiding 3
Over de Organisatie 3
Aanleiding 3
1. Het Vraagstuk 4
1.1. Huidige Situatie 4
1.2. Ontstaan van het Vraagstuk 5
1.3. Gewenste Situatie 5
1.3.1. Doelstelling 5
2. Werkwijze 6
3. Analyse 7
3.1. Literatuuronderzoek 7
3.1.1. Deelvraag 1: IT-beveiligingsprincipes die de veiligheid van beheer verhogen 7
3.1.2. Deelvraag 2: Voor- en nadelen van de IT Beveiligingsprincipes 9
3.1.3. Deelvraag 3: Duurzame IT-beveiligingsprincipes 9
3.2. Praktijkonderzoek 10
3.2.1. Deelvraag 1: Wijzigingen aan het interne IT-security beleid 11
3.2.2. Deelvraag 2: Impact van IT-beveiligingsprincipes op beheerwerkzaamheden 11
3.2.3. Deelvraag 3: Beheer van de IT-beveiligingsprincipes 11
3.3. Programma van Eisen 11
4. Oplossingsalternatieven 13
4.1. Oplossingsalternatief: Beveiliging prioriteren 13
4.2. Oplossingsalternatief: Gebruiksgemak prioriteren 14
4.3. Oplossingsalternatief: Een hybride vorm gebruiken 16
5. Keuze Oplossingsalternatief 18
5.1. Evaluatie en Reflectie 19
Literatuurlijst 20
Bijlagen 21
Bijlage 1: Theoretisch Kader 21
1: Best practices for Azure AD roles 21
2: Manage emergency access accounts in Azure AD 22
3: Fundamental Security Design Principles 23
4: Administrative account security 26
5: Werkplekken van beheerders beveiligen 29
Bijlage 2: Microsoft Device Security - Apparaatrollen en -profielen 30
Bijlage 3: Plan van Aanpak 30
Bijlage 4: Goedgekeurd Plan van Aanpak opdrachtgever 30
Bijlage 5: Logboek 31
Bijlage 6: Voor- en nadelen IT-beveiligingsprincipes of best practices 33
Bijlage 7: Uitwerking gesprek stakeholders 34
Verantwoordingsrapport Pagina 2 van 35
, Inleiding
In dit verantwoordingsrapport worden de ondernomen stappen en de gemaakte keuzes
tijdens het onderzoeken en het maken van het beroepsproduct beschreven. Voorafgaand
aan dit verantwoordingsrapport is een Plan van Aanpak opgesteld, dit is in 2022 gebeurd.
Nieuwe technologieën en ideeën volgen elkaar in de wereld van IT snel op, tijdens het
uitvoeren van het onderzoek is echter niet gebleken dat de doelen die in het Plan van
Aanpak gesteld zijn anno nu niet meer relevant zijn of zijn vervangen door een nieuwe
technologie.
Over de Organisatie
“Bedrijfsnaam” is een Managed Service Provider (MSP) die een breed scala aan diensten
aan voornamelijk klanten in het MKB levert. Het verschilt per klant welke diensten er
afgenomen worden, al heeft een hoog percentage van alle klanten hun gehele IT-omgeving
bij “Bedrijfsnaam” in beheer. Een aantal voorbeelden hiervan zijn:
• Hosting (Virtuele Machines en Webhosting);
• Serverbeheer (Windows Server);
• Werkplekbeheer (Windows 10);
• Netwerkbeheer (Switches, routers, firewalls, etc.);
• Clouddiensten (Microsoft 365, Azure, Exchange).
Binnen “Bedrijfsnaam” zijn er een aantal afdelingen: Front Office voor een groot deel van het
klantcontact en de inkoop; Sales voor de werving van nieuwe klanten het verkopen van
projecten aan nieuwe klanten; Operations voor het beheren van bestaande klanten en het
afhandelen van tickets; Projects voor het uitvoeren van projecten voor zowel nieuwe als
bestaande klanten.
Het vraagstuk speelt zich intern af maar heeft op invloed en impact op de klanten en
klantsystemen. Enkel de technische afdelingen zoals Operations en Project zijn betrokken
bij die vraagstuk aangezien enkel zij toegang hebben tot de systemen van klanten.
Aanleiding
Het vraagstuk gaat over informatiebeveiliging en gaat in op de veiligheid van de
beheeraccounts bij “Bedrijfsnaam”. Het vraagstuk is ontstaan doordat “Bedrijfsnaam” is
gegroeid, zowel in klanten als in medewerkers. Ook heeft “Bedrijfsnaam” een aantal jaar
geleden het ISO 27001 certificaat gehaald waardoor er intern extra aandacht en
bewustwording is gekomen op het gebied van informatiebeveiliging. Ook is de toename in
het aantal prominente hacks zoals bijvoorbeeld ransomware, phishing en dataverlies /
datalekken die in het nieuws komen binnen “Bedrijfsnaam” niet onopgemerkt gebleven.
Hierdoor is binnen de organisatie regelmatig de vraag “Is onze werkwijze op het gebied van
informatiebeveiliging wel veilig?” of “Is dit ingericht volgens de laatste best practices op het
gebied van informatiebeveiliging?” naar voren gekomen als het aankomt op de interne
informatiebeveiliging.
Een aantal voorbeelden van de context waarin deze vragen gesteld werden:
1. MFA bij beheeraccounts;
2. Eén beheeraccount voor alle klanten / systemen;
3. Klantsystemen benaderbaar van kantoor VLAN;
4. De toegewezen rechten op de interne systemen;
5. Wachtwoordbeleid.
Meerdere punten die hierboven zijn genoemd zijn intussen al opgelost of verbeterd, in dit
beroepsproduct wordt punt één en twee behandeld.
Verantwoordingsrapport Pagina 3 van 35
Les avantages d'acheter des résumés chez Stuvia:
Qualité garantie par les avis des clients
Les clients de Stuvia ont évalués plus de 700 000 résumés. C'est comme ça que vous savez que vous achetez les meilleurs documents.
L’achat facile et rapide
Vous pouvez payer rapidement avec iDeal, carte de crédit ou Stuvia-crédit pour les résumés. Il n'y a pas d'adhésion nécessaire.
Focus sur l’essentiel
Vos camarades écrivent eux-mêmes les notes d’étude, c’est pourquoi les documents sont toujours fiables et à jour. Cela garantit que vous arrivez rapidement au coeur du matériel.
Foire aux questions
Qu'est-ce que j'obtiens en achetant ce document ?
Vous obtenez un PDF, disponible immédiatement après votre achat. Le document acheté est accessible à tout moment, n'importe où et indéfiniment via votre profil.
Garantie de remboursement : comment ça marche ?
Notre garantie de satisfaction garantit que vous trouverez toujours un document d'étude qui vous convient. Vous remplissez un formulaire et notre équipe du service client s'occupe du reste.
Auprès de qui est-ce que j'achète ce résumé ?
Stuvia est une place de marché. Alors, vous n'achetez donc pas ce document chez nous, mais auprès du vendeur hogafTar. Stuvia facilite les paiements au vendeur.
Est-ce que j'aurai un abonnement?
Non, vous n'achetez ce résumé que pour €19,99. Vous n'êtes lié à rien après votre achat.
