Handige linkjes
Bekijk je licenties, lees de veelgestelde vragen of ga naar de wijzigingsformulieren.
Normenkader IBP: Securitymanagement
Domein 11 uit het normenkader IBP gaat over de beveiliging van informatie. Je dient de risico’s goed vast te leggen en dreigingen zo veel mogelijk te minimaliseren. Hieronder geven we je tips voor de normen uit dit domein en lees je hoe onze (Microsoft)-productoplossingen daarbij kunnen ondersteunen.
Lees de uitleg over domein 11 van KennisnetLet op: technologie kan helpen om aan bepaalde normen te voldoen, maar zorgt er niet automatisch voor dat je een groen vinkje bij de norm kan zetten. Ook is er binnen elke norm altijd ruimte voor groei en ontwikkeling.
Norm
SM.1 Beveiligingsbaselines
Tips
Met beveiligingsbaselines zorg je dat alleen de mensen met toestemming toegang krijgen tot de systemen. De verantwoordelijke personen moeten deze baselines formeel vastleggen, regelmatig actualiseren en goedkeuren. Het IT-team zorgt ervoor dat iedereen op de hoogte is van deze regels en controleert regelmatig of alles op de juiste manier wordt nageleefd.
SM.2 Authenticatiemechanismes
Elke gebruiker en alle activiteiten die plaatsvinden op jullie IT-systemen, moeten uniek identificeerbaar zijn. De gebruikers moeten actief onderhouden, gecontroleerd én beschermd worden. Via dit algehele authenticatiemechanisme zorg je er bijvoorbeeld ook voor dat onjuiste en inactieve accounts tijdig worden gedeactiveerd. Met Entra ID Governance kun je dit voor externe gebruikers zo managen dat de lijst met die gebruikers ook wordt opgeschoond.
SM.3 Mobiele apparaten en telewerken
Wanneer gebruikers mobiele apparaten gebruiken of bijvoorbeeld thuiswerken, moet je uiteraard ook zorgen dat informatie veilig blijft. Via mobile device management, versleuteling en bescherming tegen malware beperk je de risico’s.
SM.4 Logging systeemactiviteiten
Via logging hou je alles bij wat er gebeurt op de systemen. De logboeken controleer je regelmatig om te zien of er ongepaste of ongebruikelijke activiteiten zijn. Als er iets verdachts wordt gevonden, kun je passende maatregelen nemen (die ook beschreven staan). De logboeken worden bewaard volgens de vereiste bewaartermijnen.
SM.5 Testen, inspectie van toezicht beveiliging
Door beveiligingsmaatregelen proactief te testen, inspecteren en monitoren, zorg je ervoor dat systemen goed functioneren en naleving op de juiste manier plaatsvindt. Dit helpt om problemen vroegtijdig te ontdekken en op te lossen. De implementatie van je IT-beveiliging moet daarom niet alleen goed worden vastgelegd, maar ook proactief worden getest en bewaakt.
SM.6 Patchmanagement
Het regelmatig installeren van updates en beveiligingsfixes (patchmanagement) beschermt systemen tegen nieuwe bedreigingen. Dit doe je volgens een vastgesteld beleid, dat ook geldt voor besturingssystemen, databases en geïnstalleerde applicaties. Daarbij maak je gebruik van aanbevelingen van experts.
SM.7 Threat- en vulnerabilitymanagement
Dit omvat het proces om bedreigingen en kwetsbaarheden te identificeren en op te lossen. Dit helpt om aanvallen op systemen te voorkomen en de algehele beveiliging te verbeteren. Via beheer-, beveiligings- en auditmaatregelen bescherm je de hardware en (infrastructuur)software en zorg je ervoor dat alles goed blijft werken en altijd beschikbaar is.
SM.8 Beschikbaarheid en bescherming infrastructuur
De beschikbaarheid en bescherming van infrastructuur evenals de verantwoordelijkheden zijn duidelijk gedefinieerd.
SM.9 Onderhoud van de infrastructuur
De infrastructuur wordt gecontroleerd, geëvalueerd en geïmplementeerd tijdens configuratie.
SM.10 Cryptografisch sleutelmanagement
Zorg voor een duidelijk beleid en vastgestelde procedures voor het beheer van cryptografische sleutels. Dit waarborgt dat sleutels veilig blijven en niet ongeautoriseerd kunnen worden gewijzigd. Het is essentieel om ze te beschermen tegen onbevoegde toegang om misbruik te voorkomen.
SM.11 Netwerkbeveiliging
Via beveiligingstechnieken zoals firewalls en inbraakdetectie controleer en bescherm je de toegang tot jullie netwerken. Hierbij volg je de best practices zoals de NCSC, ISO/IEC en ITSec. Binnen de hele organisatie zijn preventieve, detectie- en correctieve maatregelen getroffen (met name actuele beveiligingspatches en virusscanning) om informatiesystemen en technologie te beschermen tegen malware, zoals virussen, wormen, spyware en spam.
SM.12 Beheersing van malware-aanvallen
Je moet maatregelen hebben om de systemen te beschermen tegen malware zoals virussen en spyware. Dit omvat het regelmatig installeren van beveiligingspatches en het scannen op virussen.
SM.13 Bescherming van beveiligingstechnologie
Zorg ervoor dat je beveiligingstechnologie bestand is tegen manipulatie en dat beveiligingsdocumentatie niet onnodig openbaar wordt gemaakt.
Ondersteunende producten
Entra ID (B2B)
Zit standaard in de A3-licentie (het basispakket)
Toelichting
Wanneer je nauw met andere besturen samenwerkt of al je scholen een eigen tenant hebben, kun je een wederzijdse vertrouwensrelatie instellen om beter samen te werken. Ook handig wanneer je gebruikmaakt van gedeelde kanalen in Teams met externe gebruikers!
Entra ID Governance
Dit is een aanvullende, losse licentie (geen A5)
Hiermee zorg je dat de juiste personen toegang hebben tot de juiste bronnen, bijvoorbeeld gastgebruikers.
Een wereldwijde open authenticatiestandaard die het mogelijk maakt om YubiKeys te gebruiken voor inloggen zonder wachtwoord.
Privileged Identity Management (PIM)
Dit is een A5-functionaliteit
Hiermee geef je gebruikers just-in-time toegang tot beheerrollen. Bijvoorbeeld voor een specifieke periode om een specifieke taak uit te voeren. Je hebt de licentie nodig voor zowel de mensen die PIM instellen, als degenen die via PIM toegang tot een beheerrol krijgen.
Intune (MAM, MEM/MDM)
Zit standaard in de A3-licentie (het basispakket)
Voor het beheren van alle apparaten binnen jullie organisatie, zodat je gebruikers veilig toegang krijgen tot organisatiebronnen volgens eigen beleid.
Voor scenario’s wanneer je een virtuele Windows pc wilt laten draaien, zo krijg je meer grip op wat een gebruiker wel of niet mag op hardware.
Een logsysteem voor activiteiten die plaats hebben gevonden. Met de standaard A3-licentie (het basispakket) kun je tot 90 dagen terug, via een A5-upgrade is dit langer.
Microsoft Threat & Vulnerability Management
Dit is een A5-functionaliteit, maar zit ook in Defender for Endpoint Plan 2
Hiermee blokkeer je onder andere kwetsbare toepassingen en kun je een scan uitvoeren op onbeheerde Windows-apparaten.
Purview Message Encryption
Zit standaard in de A3-licentie (het basispakket)
Hiermee kun je e-mail en bijlages versleuteld versturen. Wil je dit geautomatiseerd of geavanceerder? Maak dan gebruik van Advanced Message Encryption (A5-functionaliteit).
Double Key Encryption (DKE)
Dit is een A5-functionaliteit
Naast de standaard versleuteling vanuit Microsoft kun je je data extra laten versleutelen met Double Key Encryption. De versleutelingssleutel zal wel nog steeds in Azure bij Microsoft liggen.
Defender for Identity
Dit is een A5-functionaliteit
Hiermee bescherm je geautomatiseerd al je identiteiten. Zijn er bijvoorbeeld risicovolle aanmeldpogingen? Dan wordt er direct om MFA gevraagd of worden er zelfs direct accounts geblokkeerd.
Defender for Cloud
Zit standaard in de A3-licentie (het basispakket)
Hiermee krijg je toegang tot bijvoorbeeld de Secure Scores (aanbevelingen voor beveiliging) en Azure-beleidsregels. Via een A5-upgrade kun je ook vooraf analyses maken en een kaart van je gehele cloudomgeving om risico’s te vinden. Ook krijg je dan uitgebreide zichtbaarheid en controle over machtigingen voor elke identiteit en/of resource.
Defender for Endpoint
Zit standaard in de A3-licentie (het basispakket)
In Defender for Endpoint Plan 1 zitten al specifieke functionaliteiten om apparaten te beschermen, denk aan antivirusscans, apparaten isoleren, bestanden blokkeren en netwerkbeveiliging. In Plan 2 (A5) zitten meer functionaliteiten, zoals geautomatiseerd onderzoek/detectie en herstel.
Defender for Cloud Apps
Zit standaard in de A3-licentie (het basispakket)
Zie welke (externe) cloudapps al binnen je organisatie gebruikt worden. In Plan 2 (A5) worden onveilige apps automatisch geblokkeerd en ontvang je waarschuwingen bij risico’s.
Defender for Office 365
Zit standaard in de A3-licentie (het basispakket)
In Defender for Office Plan 1 zit veilige bijlages, veilige linkjes, anti-spam, -mallware en -phishing. Met Plan 2 (A5) krijg je ook toegang tot aanvalssimulatie-trainingen en geautomatiseerde acties of incidenten doorzetten naar Microsoft Defender XDR.
Hiermee zorg je dat al je digitale sleutels veilig zijn bewaard. Bijvoorbeeld voor Double Key Encryption, tokens, certificaten en API-sleutels.
BitLocker
Zit standaard in de A3-licentie (het basispakket)
Hiermee versleutel je je harde schijf.
Customer Key
Dit is een A5-functionaliteit
Wil je een stap verder met versleutelen en dit in eigen hand houden? Met Customer Key kun je een ‘eigen’ digitale sleutel opslaan, waarmee je data vervolgens wordt versleuteld.
Microsoft Sentinel
Standaard beschikbaar binnen de Defender-portal
Hier zie je enkel incidenten en waarschuwingen die gerelateerd zijn aan de Microsoft 365-diensten. Wil je alle functionaliteiten van Sentinel benutten, bijvoorbeeld ook cloudproviders en on-premise apparaten toevoegen? Dan moet je Microsoft Sentinel aanzetten in de Azure Portal (een betaalde Azure-dienst).
Speciaal voor A5-klanten is er een aanbieding waarin je maximaal 5MB per gebruiker per dag krijgt om Microsoft 365-gegevens op te nemen in de betaalde Azure-variant van Microsoft Sentinel.
Kies ik voor A3 of A5?
Een A3-licentie biedt vaak standaardfunctionaliteiten, terwijl een A5-licentie meer mogelijkheden voor automatisering en geavanceerde beveiliging biedt. Als je nog niet alles uit je A3-licentie hebt gehaald, is een overstap naar de volledige A5-licentie vaak niet nodig. Een handige tussenstap is dan een add-on licentie die specifieke functies toevoegt, zoals A5 Security of A5 Compliance. Zo kun je je A3-licentie gericht uitbreiden, zonder direct over te stappen naar de volledige A5.
Goed om te weten: wanneer je twee losse A5-producten aanschaft, is dat vaak in verhouding net zo duur als de volledige A5-suite. In sommige gevallen is het dus slim om direct al te kiezen voor de A5-suite. Bijvoorbeeld wanneer je nu één specifiek product wilt upgraden, maar komend jaar mogelijk nog eentje.