Moduleopdracht
IT-Security
Naam:
Studentennummer:
Datum: 31-7-2022
Opleidingsinstituut: NCOI Opleidingen
Opleiding: HBO Bachelor Informatica
Module: IT-Security
Docent:
,Voorwoord
Samenvatting
In dit document wordt de huidige situatie bij “Bedrijfsnaam” onderzocht. “Bedrijfsnaam” is
een Managed Service Provider (MSP) die een breed scala aan diensten aan voornamelijk
klanten in het MKB levert. Een aantal voorbeelden van deze diensten zijn: Hosting, server-,
werkplek- en netwerkbeheer, gebruikersondersteuning en het leveren en ondersteunen van
cloudoplossingen (Microsoft 365). Het verschilt per klant welke diensten er afgenomen
worden, al heeft een hoog percentage van alle klanten hun gehele IT omgeving bij
“Bedrijfsnaam” in beheer.
“Bedrijfsnaam” voert door middel van een gedeeld beheeraccount beheer uit op de
systemen van de klant. Dit account is voor de verschillende systemen (zoals Windows
servers en werkplekken, netwerkapparatuur en Microsoft 365 omgevingen) en klanten gelijk,
voor alle klanten en systemen is momenteel één beheeraccount.
Het voornaamste probleem is dat er één account wordt gebruikt voor meerdere systemen en
voor alle klanten. Mijn aanbeveling is daarom om de accounts op te splitsen en waar
mogelijk MFA te gebruiken. Met name de principes Separation of privilege en Least privilege
moeten verbeterd worden, dit is te bereiken door de accounts op te splitsen.
Moduleopdracht IT-Security Pagina 1 van 11
,Inhoudsopgave
Voorwoord 1
Samenvatting 1
Inhoudsopgave 2
Inleiding 3
Over de Organisatie 3
Doelstelling 3
Leeswijzer 3
1. Probleemanalyse 4
1.1. Huidige Situatie 4
1.2. Probleemstelling 5
1.2.1. Waarom is het een probleem? 5
1.2.2. Wie worden mogelijk geraakt door het probleem? 5
1.2.3. Wat zijn mogelijke effecten van het probleem? 5
1.3. Onderzoeksvragen Formulieren 6
1.3.1. Deelvraag 1: IT Beveiligingsprincipes 6
1.3.2. Deelvraag 2: IT Security beleid 6
2. Deelvragen Onderzoeken 6
2.1. Deelvraag 1: IT Beveiligingsprincipes 6
2.2. Deelvraag 2: IT Security beleid 8
2.2.1. Relatie met de AVG 8
2.3. Conclusie 8
3. Aanbevelingen 9
3.1. Deelvraag 1 9
3.2. Deelvraag 2 9
Literatuurlijst 10
Bijlage 11
Bijlage 1: Risicobeoordelingsproces 11
Moduleopdracht IT-Security Pagina 2 van 11
, Inleiding
Dit document is gemaakt als eindopdracht voor de module IT-Security in opdracht van
“Bedrijfsnaam”. In dit document wordt gekeken hoe informatiebeveiliging binnen de
organisatie verbeterd kan worden. De huidige situatie wordt geanalyseerd, er wordt een
probleemstelling opgesteld en aan de hand daarvan worden onderzoeksvragen
geformuleerd. Uit het onderzoek wordt vervolgens een conclusie getrokken en hieruit komen
meerdere verbeterpunten om de informatiebeveiliging te verbeteren.
Over de Organisatie
“Bedrijfsnaam” is een Managed Service Provider in “Plaatsnaam” die voornamelijk klanten in
het MKB heeft. “Bedrijfsnaam” heeft een breed scala aan diensten, een aantal voorbeelden
hiervan zijn:
- Hosting (Virtuele Machines en Webhosting);
- Serverbeheer (Windows Server);
- Werkplekbeheer (Windows 10);
- Netwerkbeheer (Switches, routers, firewalls, etc.);
- Cloud diensten (Microsoft 365, Azure, Exchange).
Het verschilt per klant welke diensten er afgenomen worden maar een groot deel van de
klanten heeft de gehele ICT omgeving bij “Bedrijfsnaam” in beheer.
Binnen “Bedrijfsnaam” zijn er een aantal afdelingen: Front Office voor een groot deel van het
klantcontact en de inkoop; Sales voor de werving van nieuwe klanten het verkopen van
projecten aan nieuwe klanten; Operations voor het beheren van bestaande klanten en het
afhandelen van tickets; Projects voor het uitvoeren van projecten voor zowel nieuwe als
bestaande klanten.
Doelstelling
Het doel van dit document is om de huidige situatie te beschrijven met betrekking tot IT-
Security. Vervolgens wordt er een probleemstelling geformuleerd en onderzocht, hieruit
komt een verbetervoorstel. De implementatie van de verbeteringen die uit dit voorstel komen
vallen buiten de scope van dit document.
Leeswijzer
In het eerste hoofdstuk wordt de huidige situatie geanalyseerd, de huidige manier van
werken wordt beschreven en het probleem wordt geïntroduceerd. Vervolgens wordt dit
vertaald naar een probleemstelling en ook wordt de probleemstelling specifiek gemaakt door
een aantal vragen te beantwoorden, ook wordt in dit hoofdstuk de onderzoeksvraag
geformuleerd evenals twee deelvragen. Deze onderzoeksvragen worden vervolgens in
hoofdstuk twee onderzocht en in hoofdstuk drie wordt er aan de hand van de conclusie van
het onderzoek een aantal aanbevelingen gedaan.
Moduleopdracht IT-Security Pagina 3 van 11
IT-Security
Naam:
Studentennummer:
Datum: 31-7-2022
Opleidingsinstituut: NCOI Opleidingen
Opleiding: HBO Bachelor Informatica
Module: IT-Security
Docent:
,Voorwoord
Samenvatting
In dit document wordt de huidige situatie bij “Bedrijfsnaam” onderzocht. “Bedrijfsnaam” is
een Managed Service Provider (MSP) die een breed scala aan diensten aan voornamelijk
klanten in het MKB levert. Een aantal voorbeelden van deze diensten zijn: Hosting, server-,
werkplek- en netwerkbeheer, gebruikersondersteuning en het leveren en ondersteunen van
cloudoplossingen (Microsoft 365). Het verschilt per klant welke diensten er afgenomen
worden, al heeft een hoog percentage van alle klanten hun gehele IT omgeving bij
“Bedrijfsnaam” in beheer.
“Bedrijfsnaam” voert door middel van een gedeeld beheeraccount beheer uit op de
systemen van de klant. Dit account is voor de verschillende systemen (zoals Windows
servers en werkplekken, netwerkapparatuur en Microsoft 365 omgevingen) en klanten gelijk,
voor alle klanten en systemen is momenteel één beheeraccount.
Het voornaamste probleem is dat er één account wordt gebruikt voor meerdere systemen en
voor alle klanten. Mijn aanbeveling is daarom om de accounts op te splitsen en waar
mogelijk MFA te gebruiken. Met name de principes Separation of privilege en Least privilege
moeten verbeterd worden, dit is te bereiken door de accounts op te splitsen.
Moduleopdracht IT-Security Pagina 1 van 11
,Inhoudsopgave
Voorwoord 1
Samenvatting 1
Inhoudsopgave 2
Inleiding 3
Over de Organisatie 3
Doelstelling 3
Leeswijzer 3
1. Probleemanalyse 4
1.1. Huidige Situatie 4
1.2. Probleemstelling 5
1.2.1. Waarom is het een probleem? 5
1.2.2. Wie worden mogelijk geraakt door het probleem? 5
1.2.3. Wat zijn mogelijke effecten van het probleem? 5
1.3. Onderzoeksvragen Formulieren 6
1.3.1. Deelvraag 1: IT Beveiligingsprincipes 6
1.3.2. Deelvraag 2: IT Security beleid 6
2. Deelvragen Onderzoeken 6
2.1. Deelvraag 1: IT Beveiligingsprincipes 6
2.2. Deelvraag 2: IT Security beleid 8
2.2.1. Relatie met de AVG 8
2.3. Conclusie 8
3. Aanbevelingen 9
3.1. Deelvraag 1 9
3.2. Deelvraag 2 9
Literatuurlijst 10
Bijlage 11
Bijlage 1: Risicobeoordelingsproces 11
Moduleopdracht IT-Security Pagina 2 van 11
, Inleiding
Dit document is gemaakt als eindopdracht voor de module IT-Security in opdracht van
“Bedrijfsnaam”. In dit document wordt gekeken hoe informatiebeveiliging binnen de
organisatie verbeterd kan worden. De huidige situatie wordt geanalyseerd, er wordt een
probleemstelling opgesteld en aan de hand daarvan worden onderzoeksvragen
geformuleerd. Uit het onderzoek wordt vervolgens een conclusie getrokken en hieruit komen
meerdere verbeterpunten om de informatiebeveiliging te verbeteren.
Over de Organisatie
“Bedrijfsnaam” is een Managed Service Provider in “Plaatsnaam” die voornamelijk klanten in
het MKB heeft. “Bedrijfsnaam” heeft een breed scala aan diensten, een aantal voorbeelden
hiervan zijn:
- Hosting (Virtuele Machines en Webhosting);
- Serverbeheer (Windows Server);
- Werkplekbeheer (Windows 10);
- Netwerkbeheer (Switches, routers, firewalls, etc.);
- Cloud diensten (Microsoft 365, Azure, Exchange).
Het verschilt per klant welke diensten er afgenomen worden maar een groot deel van de
klanten heeft de gehele ICT omgeving bij “Bedrijfsnaam” in beheer.
Binnen “Bedrijfsnaam” zijn er een aantal afdelingen: Front Office voor een groot deel van het
klantcontact en de inkoop; Sales voor de werving van nieuwe klanten het verkopen van
projecten aan nieuwe klanten; Operations voor het beheren van bestaande klanten en het
afhandelen van tickets; Projects voor het uitvoeren van projecten voor zowel nieuwe als
bestaande klanten.
Doelstelling
Het doel van dit document is om de huidige situatie te beschrijven met betrekking tot IT-
Security. Vervolgens wordt er een probleemstelling geformuleerd en onderzocht, hieruit
komt een verbetervoorstel. De implementatie van de verbeteringen die uit dit voorstel komen
vallen buiten de scope van dit document.
Leeswijzer
In het eerste hoofdstuk wordt de huidige situatie geanalyseerd, de huidige manier van
werken wordt beschreven en het probleem wordt geïntroduceerd. Vervolgens wordt dit
vertaald naar een probleemstelling en ook wordt de probleemstelling specifiek gemaakt door
een aantal vragen te beantwoorden, ook wordt in dit hoofdstuk de onderzoeksvraag
geformuleerd evenals twee deelvragen. Deze onderzoeksvragen worden vervolgens in
hoofdstuk twee onderzocht en in hoofdstuk drie wordt er aan de hand van de conclusie van
het onderzoek een aantal aanbevelingen gedaan.
Moduleopdracht IT-Security Pagina 3 van 11
