Tweestapsverificatie is niet alleen voor nerds

Credits: Aaron Goodwin – Nerd – Flickr

Ik vind informatiebeveiliging leuk. Waarschijnlijk behoor ik daarmee tot een minderheid. Democratisch gezien zal ik deze discussie dus verliezen tenzij ik jou ervan overtuig dat tweestapsverificatie echt helpt, ook als je niet schatbewaarder van De Nederlandsche Bank bent.

De laatste tijd is steeds vaker fraude in het nieuws via internetoplichting. Waar vroeger vooral de e-mail werd gebruikt, maken kwaadwillenden nu steeds meer gebruik van het vertrouwen dat social media wekken. Voorbeelden daarvan zijn Whatsapp fraude en hacks op social media accounts. Tegen iemand die zich voordoet als een ander (‘social engineering’, zoals met Whatsapp fraude) is niet zoveel technisch te doen, maar tegen hacks op social media is er een heel adequaat middel: tweestapsverificatie.

Waarom zou je dat doen?

Social media berichten worden net als e-mail heel makkelijk vertrouwd. Als je een Whatsapp krijgt van een vriend of een Linkedin message of Facebookbericht ben je geneigd je schild van wantrouwen snel te laten zakken. Als een hacker er in slaagt jouw account over te nemen, kan hij heel snel andere slachtoffers maken. Daarom gebruiken bedrijven en zakelijke clouddiensten zoals Exact Online en Nmbrs vaak een vorm van tweefactorauthenticatie. Als een wachtwoord wordt gekraakt of afgegeven, blijft de omgeving alsnog beschermd door de tweede laag, iets wat je bent of iets wat je hebt. NCSC adviseert waar mogelijk altijd tweefactorauthenticatie toe te passen.

Privé zou je dat ook moeten doen. Zeker wanneer zakelijk en privé een beetje door elkaar gaan lopen zoals bij Linkedin en soms ook Facebook. Een hacker is het waarschijnlijk niet te doen om jouw vakantiefoto’s of Linkedincontacten, maar door uit jouw naam een bericht te sturen met een malafide link, wekt die vertrouwen bij een ontvanger. Daarbij worden sommige diensten zoals Facebook of Google door veel mensen als identity provider (‘aanmelden met je Facebook account’) ingezet. Een hacker kan zelfs een account bij een webshop aanmaken onder jouw naam! Dan is een hack van Facebook ineens veel meer dan lastig. Behalve het risico op gegevensdiefstal of bankfraude, loop je ook het risico op identiteitsdiefstal of het in gevaar brengen van andere mensen in je sociale netwerk.

Is het moeilijk?

Nee, het is niet moeilijk. Google, Facebook, Linkedin, Twitter, Microsoft Live/Hotmail, Whatsapp, Apple (verplicht), ze bieden allemaal tweefactorauthenticatie. Zeker omdat deze accounts ook voor identity provider kunnen worden ingezet (je kunt ergens anders inloggen met je Facebook, Microsoft of Google account), moeten die aanmeldsystemen beschermd worden. Het instellen is in al deze platformen een standaard beveiligingsoptie onder je accountinstellingen.

Wat heb je ervoor nodig?

Je hebt een smart phone nodig met een Authenticator app. Als je een zakelijke Office account hebt, is de Microsoft authenticator een goede keuze omdat je dan ook de backupfunctie kunt gebruiken. Maar als je dit zakelijke en privé wilt scheiden, kun je ook Google Authenticator of Lastpass gebruiken. Lastpass biedt ook een wachtwoordkluis en backup van je verificatiesleutels. Het nadeel daarvan is wel dat Lastpass vervolgens eigenlijk beide autehnticatiefactoren beheert. Met de telefoon app scan je een QR code en geeft als respons de cijfercode die in je app verschijnt. Vanaf dat moment wordt er een continu wisselende code gegenereerd die je moet ingeven bij inloggen.

Is dat niet onhandig?

Ja het is erg onhandig om altijd te moeten aanmelden met twee codes. Daarom bieden de meeste platformen de mogelijkheid hun app op je telefoon of in de browser op een specifieke pc te vertrouwen. Dan hoef je niet je authenticator te gebruiken wanneer je via dat apparaat aanmeldt, maar wel als iemand (bijvoorbeeld een hacker) via een ander apparaat probeert aan te melden.

Op deze blog van Corinne Keijzer wordt het voor verschillende platformen met screenshots gedemonstreerd, bijvoorbeeld voor Linkedin. Zet deze beveiligingsoptie alsjeblieft aan, het kost je een paar minuten en kan jou en de mensen om wie je geeft heel veel ellende besparen!

Nog één tip: wanneer je van telefoon wisselt, worden de accounts in je authenticator app niet zomaar gebackupd en teruggezet op je nieuwe apparaat. Zet dus de backupfunctie in de Microsoft Authenticator app aan als je die gebruikt. Dat bespaart je een hoop tijd ten opzichte van alle authenticators opnieuw instellen. Lastpass slaat de sleutels sowieso op in de cloud maar Google authenticator is nog niet zo ver.

Covid-19 verandert kantoren … voorgoed

Covid-19 verandert kantoren ... voorgoed

Gisteren haalde ik mijn zoon op van school en keek ik op de brandstofmeter van de auto. Die was nog meer dan 90% vol. De laatste keer dat ik getankt heb, was echter 9 weken geleden op de dag af. Sinds de uitbraak en al voor de ‘intelligente lockdown’ ben ik tot de conclusie gekomen dat in ieder geval voorlopig voorzichtigheid op zijn plaats is en werk ik vanuit huis en doe zoveel mogelijk op de fiets.

Nu het aantal besmettingen afneemt en bepaalde bedrijfstakken weer open mogen, begint ook het gevoel van onoverwinnelijkheid terug te keren bij veel mensen en wordt het ook op kantoren steeds drukker. Gaat alles weer terug naar het oude?

Thuiswerken gaat enorm toenemen

Uit mijn eigen online onderzoekje blijkt dat het thuiswerken waaraan iedereen steeds meer gewend geraakt lijkt, populairder wordt. Het percentage thuiswerken viel mij eerlijk gezegd tegen. Meer dan de helft gaf aan weinig of niet thuis te werken.

60% werkte niet of onregelmatig thuis

Dit is wel radicaal veranderd. Meer dan de helft geeft aan meer thuis te gaan werken uit praktische overweging. Van degenen die terug gaan naar hun oude manier van werken was de helft gewend thuis te werken. Per saldo gaat maar 20% van de respondenten structureel terug naar kantoor, hetzij omdat thuis werken niet bevalt, of omdat ze dat gewend zijn.

53% wil uit praktische overweging meer thuis werken

Op de vraag hoe men het kantoor ziet veranderen kwam ook een weinig verrassend antwoord. Slechts 13 % denkt dat alles bij het oude blijft. 68% denkt dat de verandering in de manier van werken ook gevolgen zal hebben voor de inrichting van kantoren.

Twee-derde van de ondervraagden denkt dat de kantoorinrichting gaat veranderen door Covid-19

Om goed thuis te kunnen werken moeten sommige voorzieningen waarschijnlijk nog wel worden veranderd…

Thuiswerkplek en coworking

Niet iedereen heeft een goede werkplek. Daarbij gaf een aanzienlijk deel van de respondenten (13%) aan naar kantoor te willen vanwege de beperkte mogelijkheden thuis te werken. De fiscale voorzieningen voor thuis werken zijn behoorlijk ingeperkt met de Werkkostenregeling. Dit is iets om met een belastingadviseur te bespreken.

Een andere mogelijkheid die in de praktijk nog heel weinig wordt gebruikt, is een coworkinglocatie of kantoorhub. Coworkinglocaties zijn vaak heel goed gesitueerd in de buurt van openbaar vervoer, met voldoende parkeergelegenheid en een inspirerende inrichting. Waarom zou iemand 30 kilometer of meer naar kantoor rijden, wanneer een geschikte locatie om de hoek is?

Digitalisering

Hoewel het aantal medewerkers op kantoor aanzienlijk is afgenomen door de maatregelen die bedrijven hebben genomen, is het printverkeer relatief hoog. Waar nog veel postaal wordt verwerkt, is het ook nodig om fysiek op kantoor met de multifunctional en de stapel briefpapier te zijn.

Om thuis te kunnen werken moet de communicatie worden gedigitaliseerd. En dan bedoel ik niet e-mail maar veilige, digitale communicatie. Facturatie via Simpler Invoicing, veilig en efficiënt. Brieven en andere informatie ondertekend met een certificaat in plaats van een vulpen. Zelfs het certificaat kan tegenwoordig al vanuit de cloud worden gekoppeld. En in andere gevallen is een portaal een oplossing om veilig informatie uit te wisselen.

Cloud software

Veel bedrijven werken nog met terminal servers. Vaak is dat noodgedwongen omdat de software die gebruikt wordt op ouderwetse client-server technologie gebaseerd is. Een terminal server werkt op zich prima, maar met de enorme toename van het gebruik van de cloud (Azure West-Europa +40%!) is een terminal server wel een enorm resource-intensieve en verspillende manier van application delivery.

Hierbij kun je uiteraard niet over één nacht ijs gaan. Behalve de selectie van goede software betekent het ook iets voor je endpoiunts. Afscheid van terminal servers betekent ook afscheid van thin clients. Dat is sowieso met thuiswerken een aandachtspunt. Thin clients en terminal server in het algemeen zijn niet erg geschikt voor videoconferencing. Daarbij kan een thin client niet zomaar thuis worden gebruikt. Alle medewerkers hebben een laptop nodig.

Telefonie

Telefonie zal nog een tijd blijven bestaan ook al neemt videoconferencing nu een enorme vlucht. Organisaties met een traditionele telefooncentrale hebben hierbij een uitdaging. Soms is het mogelijk een soort remote-office functie in te stellen. Zo kan iedereen thuis via de telefooncentrale bellen. Maar tegenwoordig zijn er ook hosted telefooncentrale diensten en kan ook Microsoft Teams als telefooncentrale worden gebruikt.

Hotdesking

Met al die thuiswerkers zou je de kantoortijgers bijna vergeten. Wanneer medewerkers thuis, in coworking locaties en op andere plekken werken is het lastig het overzicht te houden. Daarbij wil je medewerkers die nog steeds op kantoor komen ook goed faciliteren en een goede werkplek aanbieden met genoeg persoonlijke ruimte.

Om dit mogelijk te maken is een hotdesking systeem heel geschikt. Hiermee registreert iedereen waar gewerkt wordt. Het is mogelijk een werkplek of overlegruimte op een vestiging of coworkinglocatie te reserveren zodat locaties niet overbelast worden. Mocht in de coronatijd een contactonderzoek nodig zijn dan laat het log zien wie mogelijk besmet is. Daarbij wordt direct inzichtelijk hoe efficiënt een kantoor gebruikt wordt en wat de kosten van een werkplek per medewerker zijn.

Strategische visie noodzakelijk

Hierboven staan zomaar enkele overwegingen die voor de meeste bedrijven gelden. Maar ook de inrichting van het kantoor, wellicht het verminderen van het aantal werkplekken, uitbreiden van videoconferencing en – sorry voor sommige respondenten – verder flexibiliseren van de inrichting van het kantoor vraagt om een strategische visie. Daarbij vindt er ook een verschuiving in kosten plaats. Huisvestingskosten, porti, autokosten en kantoorkosten kunnen wellicht worden bespaard. Videoconferencing systemen, kleine verbouwingen, nieuwe software en uitbreiding van het aantal laptops brengen natuurlijk wel een investering met zich mee.

Uit de opmerkingen in mijn onderzoek blijkt dat bij sommige (niet met name genoemde) organisaties nog niet wordt nagedacht of gecommuniceerd over het beleid wanneer het nieuwe normaal zijn intrede doet of het virus (hopelijk) bedwongen is.

Nog een laatste punt wat ik wil delen, is dit. Zolang het virus actief is en er geen vaccin beschikbaar is, zullen we onszelf zaken moeten ontzeggen om een nieuwe verspreidingsgolf te voorkomen. Bij de beantwoording van de vraag over bewust omgaan met risico op verspreiding merkte ik dat het vertrouwen in elkaar in de afgelopen week behoorlijk gedaald is van meer dan 90% naar 72%.

28% van de respondenten

De tendens van nieuwsberichten is dat mensen nonchalanter worden ten aanzien van de crisismaatregelen. Laten we daarom rekening met elkaar blijven houden en bewijzen allemaal het virus te willen verslaan!

Blijf gezond!

Dit blog is op persoonlijke titel. De resultaten die hierboven zijn gepresenteerd zijn gebaseerd op meer dan 100 volledige antwoordlijsten die anoniem zijn ingevuld. Het formulier is niet gesloten. Mochten de inzichten nog veranderen – wat ik niet verwacht – dan zal ik dit meenemen in een vervolgblog of in de comments bij dit blog.

Published with StoryChief

Liefs uit Londen

Liefs uit Londen

Recent was ik op een Microsoft Envision conferentie in Londen over digitale transformatie en cultuurverandering. Hierbij kort wat hoogtepunten.

Citizen data scientists

Iedereen is data scientist in de ogen van Microsoft. Dat wil zeggen, iedere ‘burger’ kan met wat online training en gratis proefversies van Microsoft leren werken met Power Apps, Power BI en Power Automate (voorheen Flow) om zo met data aan de slag te gaan. Er werden diverse voorbeelden gegeven, bijvoorbeeld van een jonge vrouw uit Brazilië die begon aan de lopende band van een Dove zeep fabriek in Brazilië. Ze schreef een simpele applicatie om de kwaliteitscontrole van de productie te doen en de uitkomsten vast te leggen in een tabel. Inmiddels wordt deze technologie breed binnen Unilever ingezet en bespaart miljoenen aan grondstoffen en productiefouten. Er waren ook voorbeelden van Carglass en verschillende andere kleine en grote organisaties.

Robotic Process Automation (RPA)

Daarna was het tijd voor Robotic Process Automation. Een robot is heel simpel gezegd een programma wat input kan opnemen (muiskliks, kopiëren – plakken, tekst input en dergelijke) en repetitief uitvoeren. Op die manier kunnen handmatige acties (bijvoorbeeld het overnemen van een klant van het ene systeem in het andere) worden geautomatiseerd. Microsoft heeft in Power Automate ook RPA-achtige functies ingebouwd die kunnen helpen bij het eenvoudige databewerkingstaken.

Machine learning

Een volgende stap na het eenvoudig registreren, bewerken, transformeren en rapporteren van informatie is het doen van voorspellingen op die data. Data science is een vak apart maar met ‘Auto-ML’ in Power BI kan eenvoudig een regressie van een tabel met events worden gemaakt en op basis daarvan een voorspelling worden gedaan. De spreker had geen real-live voorbeeld maar toonde met mock data over een openbaar vervoer dienst een voorspelling van het uitvallen van lijnen op basis van de levensduur van de accu's van de bussen. Misschien ver van je bed, maar wat als je als accountant met dezelfde middelen gaan kijken naar debiteurenlijsten? We kunnen misschien toekomstige wanbetalers voorspellen. Of we kijken op basis van verzuim naar verhoogd risico op een burn-out.

Cultuurverandering

Deze technologie vraagt natuurlijk wel om een andere manier van samenwerken. Hoe houd je met al die ‘Citizen data scientists’ je data veilig en deel je de successen van je ontwikkelwerk. Eigenlijk werd tijdens de conferentie daar veel te weinig op in gegaan. Er zijn wel tools om je apps te catalogiseren maar behalve techniek is er meer nodig.

Cultuurverandering is wel een belangrijk thema omdat de ‘empowerment’ die nieuwe technologie biedt ook een lerende cultuur vraagt. Microsoft heeft de afgelopen jaren een grote cultuuromslag doorgemaakt. Medewerkers moeten van een ‘fixed mindset’ naar een ‘growth mindset’.

Al met al was het een goed georganiseerd, interessant evenement en ik was in goed gezelschap. De praktijk roept wel vragen bij me op. Wie zijn mijn 'Citizen data scientists'? Hoe structureer je de ontwikkeling in je organisatie? Wat is er nodig om de medewerkers hierin te faciliteren? En hoe houd je de data veilig?

Allemaal vragen waarop ik nog geen antwoord heb. In april is de tour in Berlijn als je er zelf heen wilt. Dan is het wel Bratwurst in plaats van Fish and Chips…

Published with StoryChief

Microsoft Teams, Haarlemmerolie voor het accountantskantoor?

Microsoft Teams, Haarlemmerolie voor het accountantskantoor?

Het afgelopen jaar hoorde ik steeds meer accountantskantoren gebruik maken van Microsoft Teams. En dat is niet zo vreemd als je ziet hoeveel Microsoft investeert in het platform en dat het grotendeels gratis is, tenminste, een onderdeel van de meeste Office 365 abonnementen. Teams wordt soms voorgesteld als de oplossing voor problemen waarvan je niet wist dat je ze had. Het is een portaal, een documentbeheersysteem en meer. Is Teams de Haarlemmerolie, de oplossing, voor alles?

Er komen ook steeds nieuwe functionaliteiten bij zoals het blurren van je achtergrond, captions met ondertiteling of zelfs vertaling, privé-kanalen en nog veel meer. Het is bijna niet bij te houden hoe snel Teams wordt uitgebreid.

Ik ben zelf ook erg onder de indruk van de mogelijkheden van Teams, of breder nog Office 365. Bij Focudis maken we gebruik van Teams, Sharepoint, Onedrive, Planner, Forms, Whiteboard en nog veel meer. En dat werkt heel fijn samen.

Maar toch wil ik in dit blog waarschuwen de keuze voor Teams niet licht op te vatten. Als uitgangspunt neem ik een kantoor wat al beschikt over een Office 365 E3 licentie voor alle medewerkers.

Teams als portaal

Een van de use cases van Teams is een portaal. Portalen brengen behoorlijke kosten met zich. Teams kost niets extra dus hier is een kostenbesparing mogelijk. Of als een kantoor geen portaal heeft, is het een mogelijkheid meer online samen te werken met klanten.

Dit klinkt allemaal goed, maar denk ook na over de risico's. Wie onderhoudt de teams? Is dat een specifieke medewerker in het kantoor? En hoe bepaal je wie toegang heeft tot een bepaald team? Iedereen binnen een team heeft dezelfde rechten, zowel de klantverantwoordelijke als de jongste assistent, als de klant. En wat doe je met het secretariaat. Krijgen die medewerkers toegang tot alle teams om documenten te kunnen versturen? Als je een salarisadministratie voort voor een klant, maak je dan een apart team daarvoor aan zodat alleen de bevoegde HR medewerker toegang heeft? En voor de IB aangifte van de DGA? Voor je het weet heb je vijf of zes teams per klant!

Sinds kort is het mogelijk 'private channels' aan te maken waarin niet alle teamleden kunnen. Andersom kan helaas niet, het is niet mogelijk iemand alleen tot een specifiek kanaal toegang te geven. Maar ook private channels zijn niet echt een oplossing. Er wordt namelijk 'onder water' een aparte teamsite voor het kanaal aangemaakt.

Kortom, voordat je Teams inzet als klantportaal, denk goed na over de inrichting en de consequenties. Daarbij is een goed portaal meer dan alleen chatten en uitwisselen van documenten.

Teams als documentbeheersysteem

Wellicht ben je op basis van het bovenstaande wat voorzichtiger met het gebruik van Teams als samenwerkplatform met klanten, maar onderling dan? Het is immers gratis en dat is goedkoper dan serveropslag. Overigens worden bestanden in een Team automatisch opgeslagen in een teamsite in Sharepoint met dezelfde rechten als op het teamkanaal.

Zoals ik al schreef gebruiken we bij Focudis Teams en Sharepoint ook als documentopslag. Ik noem het bewust even geen DMS omdat Sharepoint naar mijn mening geen documentbeheersysteem is. Documenten in Sharepoint worden opgeslagen in Sites. Ieder team heeft zijn eigen site. Ieder team en iedere site kan zijn eigen rechtentoewijzing hebben/ Wanneer je in Teams verwijst naar een document uit een ander team, moet een kopie worden gemaakt om te garanderen dat de rechtentoewijzing goed is zodat de teamleden toegang hebben tot het document.

Dus stel dat je in het fiscale team van de klant verwijst naar een specificatie uit het jaarrekeningdossier in een ander team, dan wordt het document gedupliceerd. En eventuele wijzigingen worden niet tussen de 2 exemplaren gesynchroniseerd.

In Sharepoint worden documenten in een mappenstructuur opgeslagen. Hierdoor kun je net als in een Windows folderstructuur gemakkelijk het overzicht kwijt raken. Het risico bestaat dat documenten dubbel opgeslagen worden.

Sharepoint werkt vooral goed in kleine teams met heel goede werkafspraken.

Teams als accountantsdossier

Veel software voor accountants is ouderwets, ondersteunt geen samenwerking met de klant en beschikt niet over goed documentbeheer met bijvoorbeeld versiebeheer en rechtenstructuur. En Sharepoint is gratis. De gedachte Sharepoint en Teams in te zetten voor een controledossier is daarom niet onlogisch.

Maar zoals ik hierboven al uitlegde zijn er diverse bezwaren tegen het gebruik van Teams als portaal of DMS. Diezelfde bezwaren zijn natuurlijk ook van toepassing op een dossier. Maar daar komt nog iets anders bij. Hoe ga je de integriteit van je dossier waarborgen als iedereen toegang heeft tot de documenten vanuit een andere toepassing dan je auditsysteem? Om Sharepoint te kunnen gebruiken als doelsysteem voor dossierinformatie moet de toewijzing van rechten beheerd worden vanuit de auditapplicatie.

Advies

Denk goed na over de implementatie van Office 365 en Teams. Laat het niet over aan enthousiaste medewerkers die hun eigen teams opzetten. Maak een implementatieplan. Neem medewerkers mee in de verandering. Anders kan iets wat gratis is toch heel duur blijken te zijn.

Dit blog is op persoonlijke titel.

Published with StoryChief

Forever Today is opgericht!

Welkom op de website van Forever Today. Forever Today is een vennootschap die diensten levert en investeert op het grensvlak van Accountancy en ICT. Op dit moment is op deze website nog weinig te vinden. Alle aandacht gaat uit naar het project Focudis van Braindumplabs.