Verantwoordingsrapport
HBO Bachelor Informatica
Casus: Beveiliging beheerproces verbeteren
Naam:
Studentennummer:
Datum: 30-6-2023
Opleidingsinstituut: NCOI Opleidingen
Opleiding: HBO Bachelor Informatica
Afstudeerbegeleider:
,Voorwoord
Verantwoordingsrapport Pagina 1 van 35
,Inhoudsopgave
Inleiding 3
Over de Organisatie 3
Aanleiding 3
1. Het Vraagstuk 4
1.1. Huidige Situatie 4
1.2. Ontstaan van het Vraagstuk 5
1.3. Gewenste Situatie 5
1.3.1. Doelstelling 5
2. Werkwijze 6
3. Analyse 7
3.1. Literatuuronderzoek 7
3.1.1. Deelvraag 1: IT-beveiligingsprincipes die de veiligheid van beheer verhogen 7
3.1.2. Deelvraag 2: Voor- en nadelen van de IT Beveiligingsprincipes 9
3.1.3. Deelvraag 3: Duurzame IT-beveiligingsprincipes 9
3.2. Praktijkonderzoek 10
3.2.1. Deelvraag 1: Wijzigingen aan het interne IT-security beleid 11
3.2.2. Deelvraag 2: Impact van IT-beveiligingsprincipes op beheerwerkzaamheden 11
3.2.3. Deelvraag 3: Beheer van de IT-beveiligingsprincipes 11
3.3. Programma van Eisen 11
4. Oplossingsalternatieven 13
4.1. Oplossingsalternatief: Beveiliging prioriteren 13
4.2. Oplossingsalternatief: Gebruiksgemak prioriteren 14
4.3. Oplossingsalternatief: Een hybride vorm gebruiken 16
5. Keuze Oplossingsalternatief 18
5.1. Evaluatie en Reflectie 19
Literatuurlijst 20
Bijlagen 21
Bijlage 1: Theoretisch Kader 21
1: Best practices for Azure AD roles 21
2: Manage emergency access accounts in Azure AD 22
3: Fundamental Security Design Principles 23
4: Administrative account security 26
5: Werkplekken van beheerders beveiligen 29
Bijlage 2: Microsoft Device Security - Apparaatrollen en -profielen 30
Bijlage 3: Plan van Aanpak 30
Bijlage 4: Goedgekeurd Plan van Aanpak opdrachtgever 30
Bijlage 5: Logboek 31
Bijlage 6: Voor- en nadelen IT-beveiligingsprincipes of best practices 33
Bijlage 7: Uitwerking gesprek stakeholders 34
Verantwoordingsrapport Pagina 2 van 35
, Inleiding
In dit verantwoordingsrapport worden de ondernomen stappen en de gemaakte keuzes
tijdens het onderzoeken en het maken van het beroepsproduct beschreven. Voorafgaand
aan dit verantwoordingsrapport is een Plan van Aanpak opgesteld, dit is in 2022 gebeurd.
Nieuwe technologieën en ideeën volgen elkaar in de wereld van IT snel op, tijdens het
uitvoeren van het onderzoek is echter niet gebleken dat de doelen die in het Plan van
Aanpak gesteld zijn anno nu niet meer relevant zijn of zijn vervangen door een nieuwe
technologie.
Over de Organisatie
“Bedrijfsnaam” is een Managed Service Provider (MSP) die een breed scala aan diensten
aan voornamelijk klanten in het MKB levert. Het verschilt per klant welke diensten er
afgenomen worden, al heeft een hoog percentage van alle klanten hun gehele IT-omgeving
bij “Bedrijfsnaam” in beheer. Een aantal voorbeelden hiervan zijn:
• Hosting (Virtuele Machines en Webhosting);
• Serverbeheer (Windows Server);
• Werkplekbeheer (Windows 10);
• Netwerkbeheer (Switches, routers, firewalls, etc.);
• Clouddiensten (Microsoft 365, Azure, Exchange).
Binnen “Bedrijfsnaam” zijn er een aantal afdelingen: Front Office voor een groot deel van het
klantcontact en de inkoop; Sales voor de werving van nieuwe klanten het verkopen van
projecten aan nieuwe klanten; Operations voor het beheren van bestaande klanten en het
afhandelen van tickets; Projects voor het uitvoeren van projecten voor zowel nieuwe als
bestaande klanten.
Het vraagstuk speelt zich intern af maar heeft op invloed en impact op de klanten en
klantsystemen. Enkel de technische afdelingen zoals Operations en Project zijn betrokken
bij die vraagstuk aangezien enkel zij toegang hebben tot de systemen van klanten.
Aanleiding
Het vraagstuk gaat over informatiebeveiliging en gaat in op de veiligheid van de
beheeraccounts bij “Bedrijfsnaam”. Het vraagstuk is ontstaan doordat “Bedrijfsnaam” is
gegroeid, zowel in klanten als in medewerkers. Ook heeft “Bedrijfsnaam” een aantal jaar
geleden het ISO 27001 certificaat gehaald waardoor er intern extra aandacht en
bewustwording is gekomen op het gebied van informatiebeveiliging. Ook is de toename in
het aantal prominente hacks zoals bijvoorbeeld ransomware, phishing en dataverlies /
datalekken die in het nieuws komen binnen “Bedrijfsnaam” niet onopgemerkt gebleven.
Hierdoor is binnen de organisatie regelmatig de vraag “Is onze werkwijze op het gebied van
informatiebeveiliging wel veilig?” of “Is dit ingericht volgens de laatste best practices op het
gebied van informatiebeveiliging?” naar voren gekomen als het aankomt op de interne
informatiebeveiliging.
Een aantal voorbeelden van de context waarin deze vragen gesteld werden:
1. MFA bij beheeraccounts;
2. Eén beheeraccount voor alle klanten / systemen;
3. Klantsystemen benaderbaar van kantoor VLAN;
4. De toegewezen rechten op de interne systemen;
5. Wachtwoordbeleid.
Meerdere punten die hierboven zijn genoemd zijn intussen al opgelost of verbeterd, in dit
beroepsproduct wordt punt één en twee behandeld.
Verantwoordingsrapport Pagina 3 van 35
HBO Bachelor Informatica
Casus: Beveiliging beheerproces verbeteren
Naam:
Studentennummer:
Datum: 30-6-2023
Opleidingsinstituut: NCOI Opleidingen
Opleiding: HBO Bachelor Informatica
Afstudeerbegeleider:
,Voorwoord
Verantwoordingsrapport Pagina 1 van 35
,Inhoudsopgave
Inleiding 3
Over de Organisatie 3
Aanleiding 3
1. Het Vraagstuk 4
1.1. Huidige Situatie 4
1.2. Ontstaan van het Vraagstuk 5
1.3. Gewenste Situatie 5
1.3.1. Doelstelling 5
2. Werkwijze 6
3. Analyse 7
3.1. Literatuuronderzoek 7
3.1.1. Deelvraag 1: IT-beveiligingsprincipes die de veiligheid van beheer verhogen 7
3.1.2. Deelvraag 2: Voor- en nadelen van de IT Beveiligingsprincipes 9
3.1.3. Deelvraag 3: Duurzame IT-beveiligingsprincipes 9
3.2. Praktijkonderzoek 10
3.2.1. Deelvraag 1: Wijzigingen aan het interne IT-security beleid 11
3.2.2. Deelvraag 2: Impact van IT-beveiligingsprincipes op beheerwerkzaamheden 11
3.2.3. Deelvraag 3: Beheer van de IT-beveiligingsprincipes 11
3.3. Programma van Eisen 11
4. Oplossingsalternatieven 13
4.1. Oplossingsalternatief: Beveiliging prioriteren 13
4.2. Oplossingsalternatief: Gebruiksgemak prioriteren 14
4.3. Oplossingsalternatief: Een hybride vorm gebruiken 16
5. Keuze Oplossingsalternatief 18
5.1. Evaluatie en Reflectie 19
Literatuurlijst 20
Bijlagen 21
Bijlage 1: Theoretisch Kader 21
1: Best practices for Azure AD roles 21
2: Manage emergency access accounts in Azure AD 22
3: Fundamental Security Design Principles 23
4: Administrative account security 26
5: Werkplekken van beheerders beveiligen 29
Bijlage 2: Microsoft Device Security - Apparaatrollen en -profielen 30
Bijlage 3: Plan van Aanpak 30
Bijlage 4: Goedgekeurd Plan van Aanpak opdrachtgever 30
Bijlage 5: Logboek 31
Bijlage 6: Voor- en nadelen IT-beveiligingsprincipes of best practices 33
Bijlage 7: Uitwerking gesprek stakeholders 34
Verantwoordingsrapport Pagina 2 van 35
, Inleiding
In dit verantwoordingsrapport worden de ondernomen stappen en de gemaakte keuzes
tijdens het onderzoeken en het maken van het beroepsproduct beschreven. Voorafgaand
aan dit verantwoordingsrapport is een Plan van Aanpak opgesteld, dit is in 2022 gebeurd.
Nieuwe technologieën en ideeën volgen elkaar in de wereld van IT snel op, tijdens het
uitvoeren van het onderzoek is echter niet gebleken dat de doelen die in het Plan van
Aanpak gesteld zijn anno nu niet meer relevant zijn of zijn vervangen door een nieuwe
technologie.
Over de Organisatie
“Bedrijfsnaam” is een Managed Service Provider (MSP) die een breed scala aan diensten
aan voornamelijk klanten in het MKB levert. Het verschilt per klant welke diensten er
afgenomen worden, al heeft een hoog percentage van alle klanten hun gehele IT-omgeving
bij “Bedrijfsnaam” in beheer. Een aantal voorbeelden hiervan zijn:
• Hosting (Virtuele Machines en Webhosting);
• Serverbeheer (Windows Server);
• Werkplekbeheer (Windows 10);
• Netwerkbeheer (Switches, routers, firewalls, etc.);
• Clouddiensten (Microsoft 365, Azure, Exchange).
Binnen “Bedrijfsnaam” zijn er een aantal afdelingen: Front Office voor een groot deel van het
klantcontact en de inkoop; Sales voor de werving van nieuwe klanten het verkopen van
projecten aan nieuwe klanten; Operations voor het beheren van bestaande klanten en het
afhandelen van tickets; Projects voor het uitvoeren van projecten voor zowel nieuwe als
bestaande klanten.
Het vraagstuk speelt zich intern af maar heeft op invloed en impact op de klanten en
klantsystemen. Enkel de technische afdelingen zoals Operations en Project zijn betrokken
bij die vraagstuk aangezien enkel zij toegang hebben tot de systemen van klanten.
Aanleiding
Het vraagstuk gaat over informatiebeveiliging en gaat in op de veiligheid van de
beheeraccounts bij “Bedrijfsnaam”. Het vraagstuk is ontstaan doordat “Bedrijfsnaam” is
gegroeid, zowel in klanten als in medewerkers. Ook heeft “Bedrijfsnaam” een aantal jaar
geleden het ISO 27001 certificaat gehaald waardoor er intern extra aandacht en
bewustwording is gekomen op het gebied van informatiebeveiliging. Ook is de toename in
het aantal prominente hacks zoals bijvoorbeeld ransomware, phishing en dataverlies /
datalekken die in het nieuws komen binnen “Bedrijfsnaam” niet onopgemerkt gebleven.
Hierdoor is binnen de organisatie regelmatig de vraag “Is onze werkwijze op het gebied van
informatiebeveiliging wel veilig?” of “Is dit ingericht volgens de laatste best practices op het
gebied van informatiebeveiliging?” naar voren gekomen als het aankomt op de interne
informatiebeveiliging.
Een aantal voorbeelden van de context waarin deze vragen gesteld werden:
1. MFA bij beheeraccounts;
2. Eén beheeraccount voor alle klanten / systemen;
3. Klantsystemen benaderbaar van kantoor VLAN;
4. De toegewezen rechten op de interne systemen;
5. Wachtwoordbeleid.
Meerdere punten die hierboven zijn genoemd zijn intussen al opgelost of verbeterd, in dit
beroepsproduct wordt punt één en twee behandeld.
Verantwoordingsrapport Pagina 3 van 35
