U heeft hard gewerkt om uw bedrijf op te bouwen. Laat beveiligingsrisico's uw succes niet in de weg staan. Neem deze beveiligingsmaatregelen om uw bedrijfsgegevens te beschermen.
Als je een heel klein bedrijf hebt (1-20 gebruikers) of een klein bedrijf (21-100 gebruikers), heb je waarschijnlijk geen vaste IT-beheerder, dus houden we de lijst kort!
Bescherm uw accounts
| Gebruik unieke wachtwoorden. Een goed wachtwoord is de eerste verdedigingslinie om gebruikers- en beheerdersaccounts te beschermen. Unieke wachtwoorden zijn niet gemakkelijk te raden. Denk bijvoorbeeld aan een lange zin en gebruik de eerste letter van elk woord als wachtwoord. Ontmoedig ook het hergebruik van wachtwoorden voor verschillende accounts, zoals e-mail en internetbankieren. Maak een sterk wachtwoord aan en creëer een veiliger account. |
| Vereis dat beheerders en belangrijke gebruikers extra bewijs leveren van hun identiteit. Als iemand erin slaagt je wachtwoord te stelen, kan tweestapsverificatie (2SV) voorkomen dat die persoon toegang krijgt tot je account. 2SV vereist dat gebruikers hun identiteit verifiëren door middel van iets wat ze weten (zoals een wachtwoord) plus iets wat ze bezitten (zoals een fysieke sleutel of toegangscode) om toegang te krijgen. We raden iedereen binnen uw bedrijf aan om 2SV te gebruiken, maar het is vooral belangrijk voor beheerders en gebruikers die met gevoelige gegevens werken, zoals financiële gegevens en personeelsinformatie. U dient 2SV verplicht te stellen voor beheerders en sleutelgebruikers. Bescherm uw bedrijf met tweestapsverificatie | Implementeer tweestapsverificatie |
| Beheerders moeten herstelgegevens aan hun account toevoegen. Als uw beheerder zijn of haar wachtwoord vergeet, kan hij of zij op de link 'Hulp nodig?' klikken op de aanmeldpagina. Google stuurt dan een nieuw wachtwoord via telefoon, sms of e-mail. Hiervoor heeft Google een hersteltelefoonnummer en een e-mailadres van het account nodig. |
| Zorg dat je de back-upcodes van tevoren hebt. Als uw bedrijf 2SV (tweestapsverificatie) hanteert en een gebruiker of beheerder de toegang tot zijn of haar 2SV-methode verliest, kan diegene niet meer inloggen op het account. Voorbeelden hiervan zijn een gebruiker die 2SV-verificatiecodes op zijn of haar telefoon ontvangt en de telefoon kwijtraakt, of een gebruiker die zijn of haar beveiligingssleutel kwijtraakt. In een dergelijk geval kunnen ze een back-upcode voor 2SV gebruiken. Beheerders en gebruikers met 2SV ingeschakeld moeten back-upcodes genereren, afdrukken en op een veilige plaats bewaren. |
| Maak een extra superbeheerdersaccount aan. Een bedrijf zou meer dan één superbeheerdersaccount moeten hebben, elk beheerd door een aparte persoon. Als uw primaire superbeheerdersaccount verloren gaat of gehackt wordt, kan de back-up superbeheerder cruciale taken uitvoeren terwijl het primaire account wordt hersteld. Je maakt een nieuwe superbeheerder aan door de rol van superbeheerder aan een andere gebruiker toe te wijzen. |
| Houd de informatie bij de hand voor het resetten van het wachtwoord van de superbeheerder. Als een superbeheerder zijn of haar wachtwoord niet kan resetten via e-mail of de herstelopties op de telefoon, en er geen andere superbeheerder beschikbaar is om het wachtwoord te resetten, kan hij of zij contact opnemen met Google Support. Om de identiteit te verifiëren, stelt Google vragen over het account van de organisatie. De beheerder moet ook het DNS-eigendom van het domein verifiëren. Bewaar accountgegevens en DNS-gegevens op een veilige plek voor het geval ze nodig zijn. |
| Superbeheerders mogen niet ingelogd blijven op hun account. Superbeheerders kunnen elk aspect van uw bedrijfsaccount beheren en hebben toegang tot alle bedrijfs- en werknemersgegevens. Als u ingelogd blijft op een superbeheerdersaccount wanneer u geen specifieke beheertaken uitvoert, loopt u het risico op kwaadwillige activiteiten. Superbeheerders moeten zich aanmelden wanneer nodig om specifieke taken uit te voeren en zich vervolgens weer afmelden. Gebruik voor dagelijkse administratieve taken een account met beperkte beheerdersrechten. Voorgedefinieerde beheerdersrollen | Aanbevolen beveiligingspraktijken voor beheerdersaccounts |
| Schakel automatische updates voor apps en internetbrowsers in. Om de nieuwste beveiligingsupdates te ontvangen, moet u ervoor zorgen dat uw gebruikers automatische updates voor hun apps en internetbrowsers inschakelen. Als ze Chrome gebruiken, kunt u automatische updates voor uw hele organisatie configureren. |
Als je Gmail, Agenda, Drive of Docs gebruikt
| Schakel de verbeterde pre-bezorgscan van berichten in. Phishing is de kwaadwillige praktijk waarbij e-mails worden verstuurd met als doel gebruikers te verleiden gevoelige informatie, zoals wachtwoorden, rekeningnummers of andere persoonsgegevens, prijs te geven. Google scant inkomende berichten om te beschermen tegen phishing. Wanneer Gmail een e-mail herkent als een mogelijke phishingpoging, kan er een waarschuwing worden weergegeven of kan de e-mail naar de spammap worden verplaatst. Dankzij verbeterde scans vóór verzending kan Gmail e-mails onderscheppen die voorheen mogelijk niet als phishing werden herkend. Help phishing te voorkomen met berichtscans vóór verzending. |
 | Schakel extra screening op schadelijke bestanden en links in voor Gmail. Google scant inkomende berichten om te beschermen tegen schadelijke programma's, zoals computervirussen. Schakel extra veiligheidscontroles in voor bijlagen, links en externe afbeeldingen om e-mails te onderscheppen die voorheen mogelijk niet als schadelijk werden herkend. |
| Zorg ervoor dat de ontvangers van uw e-mail uw e-mail niet als spam markeren. Spammail bestaat uit ongevraagde, massaal verstuurde e-mailberichten. Het wordt over het algemeen gebruikt door gewetenloze adverteerders, omdat er geen operationele kosten zijn, afgezien van het beheren van hun mailinglijsten. Sender Policy Framework (SPF) is een e-mailbeveiligingsmethode waarmee legitieme e-mails die door gebruikers binnen uw bedrijf worden verzonden, worden geautoriseerd. Een SPF-record geeft aan welke mailservers gemachtigd zijn om namens uw domein e-mails te verzenden. Als je geen SPF voor je domein instelt, kunnen sommige berichten worden geweigerd of als spam worden gemarkeerd. |
| Beperk het delen van agenda's met mensen buiten uw bedrijf. Gebruikersagenda's kunnen gevoelige informatie bevatten. U moet beperken hoe uw gebruikers hun agenda's met externe gebruikers delen. Beperk het delen van agenda's met externe gebruikers tot alleen beschikbaarheidsinformatie. |
| Beperk wie nieuw aangemaakte bestanden kan zien. |
| Waarschuw gebruikers wanneer ze een bestand delen met mensen buiten uw bedrijf. Als je gebruikers toestaat bestanden te delen met externe personen, zorg er dan voor dat ze een waarschuwing krijgen wanneer ze dit proberen. De waarschuwing vraagt hen te bevestigen dat ze het bestand willen delen met iemand buiten je bedrijf. Sta niet toe dat gebruikers binnen uw organisatie gegevens met anderen delen. |
Heeft uw bedrijf specifieke beveiligingsvereisten?
Uw bedrijf heeft wellicht minder dan 10 medewerkers, maar wel dezelfde informatiebeveiligingsvereisten als een veel groter bedrijf.
Kleine beleggings- en financiële adviesbureaus, en bedrijven die met gezondheidsinformatie werken, hebben bijvoorbeeld mogelijk specifieke wettelijke, privacy- en beveiligingsvereisten. Deze bedrijven beschikken wellicht over speciale IT-beheerders die zich met deze extra taken bezighouden.
Als dit op uw bedrijf van toepassing is, volg dan de aanbevolen beveiligingspraktijken in de beveiligingschecklist voor middelgrote en grote bedrijven (100+ gebruikers) .