Veilig digitaal werken wordt steeds belangrijker. Je wil uiteraard voorkomen dat criminelen toegang krijgen tot gevoelige informatie van jouw organisatie. Het beschermen van informatie en systemen en het op de juiste manier inregelen van je processen staat bovenaan. Maar er is veel meer actualiteit. Op deze pagina vind je thema's waar jij, in relatie tot AFAS, mee aan de slag kan!
AFAS begrijpt het belang van digitale veiligheid en zet zich in om te zorgen voor een veilige omgeving voor zowel medewerkers als klanten. Op deze themapagina bespreken we de verschillende aspecten van digitale veiligheid, zoals authenticatie en autorisatie, en leggen we uit hoe AFAS omgaat met wachtwoordbeleid, passkeys, Single Sign-On, koppelingen en privacy.
Digitale veiligheid raakt vandaag alles: van strategie en continuïteit tot het dagelijks werken van medewerkers. Tijdens het Seminar Digitale Veiligheid werd één ding glashelder: het is geen IT-feestje meer, maar een organisatiebreed vraagstuk.
Weet waar je afhankelijk bent
Welke leveranciers, cloudplatformen en geopolitiek gebruik je? Denk na over exitstrategieën en waar je data staat.
Beveilig de gebruiker, niet alleen het systeem
Moderne aanvallen richten zich op apparaten en gedrag. Multifactor-authenticatie (MFA) alleen is niet genoeg.
Zorg voor grip en overzicht
Breng risico’s, maatregelen en verantwoordelijkheden samen in één framework.
Investeer in bewust gedrag
Medewerkers maken het verschil. Herken phishing, werk veilig en maak security onderdeel van de cultuur.
Regel autorisaties goed
Wie mag wat zien en doen? Dit is één van je sterkste verdedigingslagen.
Stuur op digitale autonomie
Volledige controle bestaat niet, maar wel de vrijheid om keuzes te maken en te kunnen schakelen.
De realiteit is dat aanvallen slimmer, sneller en onzichtbaarder worden. Data is waardevol en organisaties zijn interessante doelwitten. Vaak meer dan ze zelf denken. De belangrijkste les van het seminar was dus: digitale veiligheid is geen project, maar een continu proces.
Wil je niet alleen de highlights, maar echt begrijpen wat dit betekent voor jouw organisatie – en hoe je het toepast in de praktijk? Dan wil je er de volgende keer bij zijn. We maken binnenkort een nieuwe datum bekend.
Authenticatie is het proces van het verifiëren van de identiteit van een gebruiker, systeem of apparaat voordat toegang wordt verleend tot beveiligde informatie of bronnen. Het verzekert dat alleen geautoriseerde entiteiten toegang krijgen tot vertrouwelijke gegevens en systemen. Authenticatie kan worden bereikt met behulp van verschillende methoden, zoals gebruikersnaam-wachtwoordcombinaties, biometrie of tokens.
We weten allemaal dat het een slecht idee is om wachtwoorden te hergebruiken, toch doen de meeste mensen dit nog steeds massaal. Waarschijnlijk ook binnen jouw organisatie. Hergebruik van wachtwoorden vergroot het risico dat één beveiligingslek bij een dienst al je accounts kwetsbaar maakt voor aanvallen, wat kan leiden tot identiteitsdiefstal en andere beveiligingsproblemen. Bij AFAS is het gebruik van een wachtwoordmanager verplicht. Alle medewerkers hebben toegang tot eenzelfde applicatie om de wachtwoorden, zowel zakelijke als privé, in op te slaan. Bijkomend voordeel is dat je gebruik kan maken van gedeelde wachtwoorden per afdeling.
Zelf aan de slag met je wachtwoorden?
Passkeys zijn een nieuwe manier om in te loggen op websites en apps, zonder dat je minder veilige wachtwoorden hoeft te gebruiken. Dit maakt het proces eenvoudiger en veiliger. Authenticatie vindt namelijk plaats via je apparaat, bijvoorbeeld je laptop of mobiele telefoon. Wij geloven dat passkeys de nieuwe standaard zijn voor online inloggen.
Zelf aan de slag met je passkeys?
Tweestapsverificatie (2FA) betekent dat je jouw identiteit naast een wachtwoord op een tweede manier moet bevestigen.
Door in te loggen met tweestapsverificatie beperk je de mogelijkheid om gehackt te worden tot een minimum. Daarom is dit ook de standaard inlogmethode van AFAS (via tweestapsverificatie). Ook op onze Klantportal is het verplicht om in te loggen met tweestapsverificatie. Wanneer je gebruikmaakt van Single Sign On in je organisatie is tweestapsverificatie niet verplicht. We gaan er namelijk vanuit dat jullie zelf tweestapsverificatie aan hebben staan.
Meer lezen over 2FA of SSO?
Als je iets automatiseert, gaat de veiligheid daarvan omhoog. Er is namelijk geen menselijke fout meer mogelijk met het doorvoeren van de mutatie. Dat geldt ook voor Active Directory (AD). Het is heel goed mogelijk om de gebruikers én gebruikersgroepen die je in AFAS hebt, te koppelen met je Active Directory gebruikers en security groups. Dit kun je zelf door gebruik te maken van GET-connectoren. Of bekijk de AFAS partnerportal voor standaardoplossingen.
Met autorisatie beperk je de toegang van gebruikers tot je eigen gegevens binnen de AFAS Software-applicaties. Dit zijn AFAS Profit, AFAS InSite en AFAS Pocket. Je zorgt ervoor dat gebruikers, op basis van hun ‘rol’ in de organisatie, de juiste toegang hebben tot de relevante gegevens. Dit noemen we “Role-Based Access Control”. Hier komt het onderwerp ‘Privacy’ naar boven. In de wet is niet bepaald wat een medewerker in welke rol wel en niet mag inzien. Veel moet je als organisatie zelf bepalen. Wat helpt is om een autorisatie-aanvraagproces te maken binnen je organisatie waarbij alle aanvragen worden beoordeeld (dat mag zowel vooraf als achteraf) bij het toedelen van autorisatie.
Het start met het bepalen van op basis van welke uitgangspunten de autorisatie moet worden gebaseerd. De cultuur van de organisatie is hiervoor leidend.
In veel organisaties is ‘de plek’ waar je werkt (organigram) of de functie die je hebt (functiehuis) al voldoende om de autorisatie op uit te delen, maar vaak hebben medewerkers daarnaast nog een extra ‘rol’. Ook die autorisatie kan geautomatiseerd worden uitgedeeld.
Ook hier is het uitdelen van autorisatie door middel van groepen beter om te automatiseren. Het toekennen van rechten is bij een handmatige actie nooit een probleem, het ontnemen ervan bij wijziging van functie of rol vaak wel. Met behulp van Selecties is het mogelijk dit proces voor 100% te automatiseren, wat de totale autorisatie ten goede komt.
Als contactpersoon van AFAS kun je in 'mijn gegevens' onderaan bij aanvullende gegevens het vinkje 'Privacy nieuws' aanzetten. Ben jij verantwoordelijk voor de data binnen jouw organisatie en moet je dit melden als er bij ons iets aan de hand is? Zet dan dit vinkje aan zodat we jou informeren!
Tip: bekijk ook de Securitypagina van AFAS Online: hier vind je alle informatie over ons informatiebeveiligingsbeleid of als je zelf een datalek wilt melden.
Vanuit de template leveren we het proces 'melding datalek' uit. Zo kun je goed reageren op interne datalekken!
Deze checklist helpt je inzicht te krijgen in de basis van de digitale veiligheid van jouw organisatie. Na het invullen ontvang je een score en praktische tips om te verbeteren, zowel binnen onze software als daarbuiten.
De AFAS Cybercheck is bedoeld voor iedereen die zich bezighoudt met digitale veiligheid, zoals Security Officers, AFAS Beheerders en HR-medewerkers. Tip: Vul de checklist ook samen met collega’s in om een compleet beeld te krijgen van hoe jouw organisatie er op dit gebied voor staat.
Wist je dat we ons eigen securityteam hebben? Zij kijken kritisch naar gedrag en de informatiebeveiliging binnen AFAS, om zo samen AFAS veiliger te maken. In het securityteam zit een directielid, een aantal managementleden, onze Security Officer (CISO) en de Functionaris Gegevensbescherming (FG). Zij houden zich bezig met alle securityvraagstukken die zowel intern als extern worden ingestuurd.
Op AFAS Online worden systemen, processen en gebruikers continu gemonitord met als doel storingen te voorkomen of in een vroeg stadium op te lossen. Dit doen we in ons Cyber Operations Center. Monitoring is gericht op het tijdig ontdekken van storingen en ongewenst gedrag. Controle op misbruik is hierbij onderdeel van de (dagelijkse) standaard monitoringswerkzaamheden.