Office 365 – in zes stappen naar succes met MFA

De toekomst voor kantoorapplicaties is de cloud. Microsoft beweegt alle klanten richting Office 365, er is bijna geen ontsnappen aan. Bij Ordina kijken we naar Office 365 als een business platform. Veel organisaties zijn al gemigreerd of staan aan de vooravond van de overstap.

Naast de voordelen van werken in de cloud zorgt de komst van Office 365 tegelijkertijd voor nieuwe dreigingen. Deze dreigingen ontstaan omdat het Office 365-platform overal en altijd bereikbaar is. Hierdoor kunnen niet alleen medewerkers inloggen op het platform, ook ongewenste gebruikers proberen op het platform in te loggen.

Voorheen gebruikten bedrijven hun eigen interne netwerk om te bepalen welk verkeer vertrouwd was. Deze manier van kijken naar veiligheid past niet meer in de huidige manier van werken. Eén van de manieren om de dreiging van ongeautoriseerde toegang in te perken is het gebruik van Multi Factor Authenticatie (MFA).

MFA in het kort

MFA is een veiligheidsmechanisme waarbij de gebruiker meer dan één methode gebruikt om zijn identiteit te bevestigen. Hierbij kan gedacht worden aan een combinatie van iets dat een persoon weet (zoals een wachtwoord), iets dat in zijn bezit is (bijvoorbeeld een token) of een uniek persoonskenmerk (bijvoorbeeld zijn vingerafdruk). Een populaire oplossing is om de gebruiker na het ingeven van zijn username en password een extra code te laten invoeren die hij ontvangt via een persoonlijk device, bijvoorbeeld op zijn smartphone.

Wat zijn de uitdagingen bij MFA

Het aanzetten van MFA lijkt eenvoudig: je zet het aan en gebruikers moeten hun identiteit bevestigen in een extra stap tijdens het inloggen op een van de applicaties in de Microsoft Cloud. Er kunnen echter al snel (praktische) problemen ontstaan. Wat doe je bijvoorbeeld als medewerkers hun mobiele telefoon vanwege veiligheidsredenen niet bij zich mogen hebben op de werkvloer? De code die ze op hun laptop moeten invoeren van MFA verschijnt dan op een scherm van een telefoon in een afgesloten locker. Niet handig.

Het is ook belangrijk om te beseffen dat MFA bedoeld is om ongeautoriseerde toegang tot bedrijfsinformatie te voorkomen. Je vraagt idealiter alleen om een extra handeling als je vermoedt dat er onterecht toegang wordt gevraagd. Stel dat medewerkers een laptop van de zaak hebben die goed is beveiligd. Idealiter krijgen medewerkers op dit device geen MFA-verzoeken. De laptop is een vertrouwd device. Als een medewerker toegang vraagt op zijn onbeveiligde, eigen smartphone, dan is het wél logisch dat via MFA om een extra bevestiging wordt gevraagd: we kennen de smartphone immers niet.

Veel organisaties zetten MFA momenteel aan zonder goed na te denken over het gebruik van devices. Dat kan leiden tot een waterval aan meldingen. Gebruikers zullen de inzet van MFA in dit geval niet accepteren en vragen om een andere oplossing.
De inzet van MFA vraagt daarom om een zorgvuldige planning, zowel aan de technische kant als aan de kant van de medewerkers die het moeten gaan gebruiken. Een succesvolle aanpak bestaat uit zes stappen die we hieronder beschrijven.

Stap 1 – inventarisatie

Het is algemeen bekend dat gebruikers overal en op elk device willen werken. Zoals gezegd is het belangrijk om onderscheid te maken tussen vertrouwde en  devices om MFA effectief in te kunnen zetten.
Als eerste dient er daarom bekeken te worden hoe gebruikers inloggen op de applicaties die draaien binnen Office 365. Dus zorg ervoor dat de volgende vragen worden beantwoord:

  • Worden de werkplekken geleverd door het bedrijf of schaffen de gebruikers hun eigen systeem aan?
  • Van welke devices wordt gebruikgemaakt en via welke devices wordt toegang gevraagd tot de bedrijfsinformatie van Office 365?
  • Bestaat er centraal beheer voor de werkplekken en hoe ziet dit eruit
  • Worden de werkplekken in de Active Directory toegevoegd?

Stap 2 – maken van beveiligingsrichtlijnen

In de volgende stap worden er beveiligingsrichtlijnen opgesteld. Deze richtlijnen zijn bedoeld om te bepalen welke bedrijfsapplicaties het hoogste beveiligingsniveau krijgen.

  • In hoeverre moet de bedrijfsdata worden beveiligd, welke data is voor het bedrijf het meest kritiek?
  • Welke applicaties moeten te allen tijde voorzien worden van MFA?

Stap 3 – wanneer en op welke (werk)plek MFA

Deze stap bepaalt wanneer en op welke werkplek er gevraagd wordt voor de extra factor. Houd hier rekening met het feit dat de veiligheid niet in alle gevallen verbetert als er vaker om een MFA challenge wordt gevraagd. Gebruikers kunnen per abuis inlogpogingen van derden gaan goedkeuren als te telkens worden gevraagd om een MFA challenge.

Vragen die beantwoord worden in deze stap zijn onder meer:

  • Welk type werkplekken zijn er in gebruik?
  • Wat is het OS dat op de werkplekken staat?
  • Is er centraal beheer voor de werkplekken en hoe worden deze werkplekken beheerd?
  • Hoe zien de compliancy policies eruit van de verschillende devices?

Stap 4 – Implementatie en pilot

Zoals bij elke implementatie is het een goed idee om klein te beginnen. De beste start van een MFA-implementatie is het selecteren van een kleine groep gebruikers die affiniteit met IT hebben. Daarnaast is het handig om gebruikers te kiezen waarvan je weet dat deze voldoende communiceren. Het is erg belangrijk om feedback te krijgen op de implementatie, zodat alle leermomenten expliciet worden gemaakt en deze worden gebruikt om de bredere uitrol soepel te laten verlopen.
– Welke gebruikers (ongeveer 10 – 20) willen er meedoen in de pilot?
– Hoe wordt de feedback verzameld?

Stap 5 – Maken van een handleiding en beheer/servicedesk aanhaken

Het is voor gebruikers erg belangrijk om te weten wat hun te wachten staat met MFA. Zorg voor een handleiding waarin de stappen om MFA goed te laten werken helder zijn beschreven. Als gebruikers tegen problemen aanlopen zullen ze contact opnemen met de servicedesk. Het is dus van belang om ervoor te zorgen dat de servicedesk op de hoogte is van de uitrolmomenten en beschikken over FAQ’s en de contactgegevens van experts.
De meeste gebruikers zullen de volgende vragen hebben:

  • Hoe configureer ik MFA?
  • Wat moet ik doen als ik een nieuwe telefoon krijg?
  • Wanneer moet ik inloggen met MFA?
  • Bij wie of waar kan ik terecht met vragen als iets niet werkt?

Stap 6 – Bredere uitrol

Nu er voldoende feedback is verzameld, een handleiding is gemaakt en duidelijk is wanneer gebruikers een MFA challenge krijgen, kan er gestart worden met de bredere uitrol. Deze bredere uitrol kan het beste in delen gedaan worden, dus introduceer MFA niet tegelijkertijd voor het hele bedrijf. Dit voorkomt bijvoorbeeld een massale golf aan telefoontjes richting de servicedesk. Stel een planning op waarbij medewerkers in golven worden toegevoegd aan MFA.

Tot slot

MFA is een waardevolle toevoeging op het gebied van security. Effectief gebruik van de technologie vraagt wel om een zorgvuldige analyse en planning. Bekijk MFA vanuit het bredere securityperspectief, zodat het alleen wordt toegepast als het echt nodig is. Medewerkers zien securitymaatregelen al snel als hindernis, dus zorg ook voor voldoende communicatie die uitlegt waarom MFA past in het veiligheidsbeleid van de organisatie.