Security audits

Een eenmanszaak groeit vaak organisch, en dat was hier niet anders. Wat ooit begon met een eenvoudig Hotmail-adres en een losse verzameling documenten op Google Drive, was uitgegroeid tot een situatie waarbij het overzicht — en vooral de veiligheid — zoek was.

Het zakelijke e-mailadres was gekoppeld aan een privé-Hotmailaccount, documenten waren verspreid opgeslagen in Google Drive zonder duidelijke structuur, en er was geen zicht op welke klanten nog toegang hadden tot welke gedeelde bestanden. Het leek werkbaar, maar veilig was het allerminst.

Tijdens een korte security audit van Studio Congo kwam aan het licht dat zowel de Hotmailaccount als Google Drive gebruikmaakten van dezelfde gebruikersnaam én hetzelfde wachtwoord.

Er werd geen MFA, geen SMS-verificatie en geen enkele extra beveiligingslaag gebruikt.

Het wachtwoord was bovendien al meerdere keren gedeeld “met personen die ze konden vertrouwen”.

Op basis van het auditrapport werden onmiddellijk enkele belangrijke stappen gezet die zowel de veiligheid als de dagelijkse werking drastisch verbeterden:

• Overstap naar Microsoft 365, gekoppeld aan een eigen professioneel domein.
• Een compacte, betrouwbare website onder datzelfde domein.
• Duidelijke documentstructuur op SharePoint, overzichtelijk per klant en project, eenvoudig en veilig te delen.
• Invoering van wachtwoordbeheer, zodat elke online dienst een uniek, sterk wachtwoord heeft dat veilig wordt bewaard.
• Volledige beveiliging met MFA op e-mail, documenten en andere kritieke accounts.
• Ingebouwde back-ups, zodat zelfs bij problemen bij Microsoft geen waardevolle informatie verloren gaat.

Het resultaat?

Klanten ervaren het bedrijf nu als professioneler en betrouwbaarder. De communicatie is helder, e-mail en documenten zijn veilig, en de zelfstandige werkt met een gestructureerde, toekomstbestendige IT-omgeving.

Ja, er zijn enkele maandelijkse kosten bijgekomen — maar de gemoedsrust, tijdswinst en beveiliging die ze opleveren zijn het dubbel en dik waard.

Een KMO met een tiental medewerkers draaide ogenschijnlijk zonder problemen. Iedereen kon werken, de systemen functioneerden en er leek geen reden tot ongerustheid.

Tot op een gewone werkdag een medewerker op een ogenschijnlijk onschuldige advertentie klikte op een nieuwssite.

Die advertentie bleek een val: binnen enkele seconden haalde hij een crypto locker binnen.

Het gevolg: alle documenten op de gedeelde netwerkmap werden versleuteld en waren plots onbruikbaar. Paniek — de volledige administratieve ruggengraat van het bedrijf was ontoegankelijk.

Na een incidentanalyse door Studio Congo kwam een verrassende conclusie: deze onderneming had ongelooflijk veel geluk. De malware was slecht geschreven, en via reverse engineering kon de encryptiesleutel achterhaald worden. Dankzij die sleutel konden alle documenten alsnog hersteld worden.

Maar één ding was duidelijk: dit was een wake-upcall. De KMO had letterlijk door het oog van de naald gekropen.

Ze vroegen onmiddellijk om een grondige security audit om te voorkomen dat ze ooit nog zo’n risico zouden lopen.

De daaropvolgende oplossing was stevig en toekomstgericht:

• Volledige netwerksegmentatie tussen medewerkers, klanten en infrastructuur, zodat problemen zich niet meer zomaar kunnen verspreiden.
• Een nieuwe netwerkdrive met snapshot-technologie, waardoor meerdere versies van alle bestanden automatisch worden bewaard — ideaal om snel te herstellen bij een aanval met minimaal dataverlies.
• Een eigen professionele firewall met extra bescherming tegen malware en verdachte activiteiten.
• Geavanceerde antivirus op alle werkstations.
• Duidelijke segmentatie in de gedeelde mappen én een toekomstplan om volledig naar SharePoint te migreren.
• Invoering van least-access-principes: medewerkers krijgen enkel toegang tot wat ze écht nodig hebben.

Sindsdien is de KMO blijven groeien, en bij elke nieuwe fase zijn de vastgelegde beveiligingsprincipes consequent toegepast.

De jaarlijkse audit blijft belangrijk — maar intussen levert die enkel nog een kort rapport op, met enkele kleine aandachtspunten in plaats van grote problemen.