|
Tip |
Deze aanbevelingen maken deel uit van een correcte beveiligingsstrategie. |
Het basisprincipe van de beveiliging is POLP (Principle Of Least Privilege): de gebruikersrechten moeten beperkt zijn tot de minimale rechten die ze nodig hebben voor hun activiteit.
Dit principe wordt toegepast op gebruikers, applicaties en diensten.
De beveiliging van Sage BOB toepassingen maakt gebruik de Windows beveiliging. Het is dus belangrijk dat:
• Elke Sage BOB gebruiker zijn eigen windows account heeft voor een makkelijke identificatie;
• Elke gebruiker de toepassingen gebruikt in een Windows sessie geopend met zijn eigen login.
De rechten op elementen buiten de toepassingen (folders en bestanden) kunnen dus toegepast worden op en Windows account van de Sage BOB gebruiker.
De beveiliging in de Sage BOB toepassingen steunt op een beheer van gebruikers en gebruiksrechten per onderneming voor deze gebruikers.
Zo kan een gebruiker toegang hebben tot de gegevens van een onderneming met de Sage BOB toepassingen maar ook via tools als BOB-link.
De administrator moet elke gebruiker de nodige rechten geven op de functionaliteiten voor zijn activiteiten.
|
OPGELET |
De rechten in de toepassing zijn enkel van toepassing voor functionaliteiten binnen de toepassing. De toepassing beheert geen systeemrechten (toegang tot folders en bestanden), deze moeten apart beheerd worden door de administrator. |
De standaard beveiligingsstrategie verplicht elke gebruiker om een sterk wachtwoord te kiezen. Deze strategie wordt standaard gebruikt bij het aanmaken van een onderneming; het is sterk aangeraden deze niet te deactiveren. Wanneer een bestaande versie bijgewerkt wordt, kan het echter nodig zijn om de strategie te activeren.
Bij de installatie van het product, maakt Sage BOB de Systeemgebruiker aan. Deze administrator heeft een naam en wachtwoord.
De administrator moet vervolgens de verschillende gebruikers aanmaken en hen de nodige rechten voor de dossiers toekennen. Elke gebruiker wordt aangemaakt met een gebruikersnaam die een individuele identificatie toelaat.
Voor een correct functioneren van de Sage BOB toepassingen, is het nodig om de gebruiker van het programma toegang te verlenen tot de verschillende folders van de installatie.
Alle folders van een installatie, uitgezonderd de folder METADATA, hebben de rechten "total control" nodig. Dit is het geval voor onder andere de folders:
• COMMON: locatie die de gemeenschappelijke bestanden voor de installatie bevat (gebruikerslijst, toegangsrechten en beperkingen, lijst van Sage BOB dossiers,...);
• Dossiers: locatie waar de alle gegevens voor de ondernemingen/dossiers in Sage BOB bewaard worden. Deze folders bevatten, per dossier, de lijst met klanten en leveranciers, de algemene boekhoudkundige en analytische informatie, het commercieel beheer,...
Zoals eerder aangehaald, is het belangrijk om de toegang tot deze folders enkel te verlenen aan personen die gebruik maken van de Sage BOB toepassingen. In een omgeving met meerdere gebruikers, is het mogelijk om Windows gebruikersgroepen aan te wenden om de configuratie en het onderhoud van deze rechten te vereenvoudigen.
Om de toegang tot gegevensbanken met een externe tool die rechtstreeks gebruik maakt van ADS, te limiteren, is het aangeraden om (inbound) regels voor de firewall van de gegevensserver in te stellen. Dit zal als effect hebben dat de toegang gelimiteerd wordt tot bepaalde IP-adressen of bepaalde specifieke machines.
|
Tip |
Standaard gebruikt ADS de poort 6262 UDP. Deze parameters kunnen echter aangepast zijn door de administrator van de ADS server. |
Op werkposten is het ook mogelijk om (outbound) regels in te stellen om zo alle communicatie via de poort 6262 te verhinderen. Deze regel kan dan uitgeschakeld worden voor machines van gebruikers van Sage BOB producten.
De eerder vernoemde regels voor de poort 6262 kunnen toegepast worden op de poort 8084 TCP bij het gebruik van SAge Approval.
|
OPGELET |
Het is belangrijk om de service Sage Approval niet toegankelijk te maken via internet. De service beantwoordt niet aan alle beveiliginsnoden voor een Internet server. |
De batchbestanden van BOB-link kunnen wachtwoorden bevatten. Het is dus belangrijk om deze batchbestanden lokaal op de werkposten van BOB-link gebruikers te bewaren of in een gedeelde folder met beperkte rechten.
De aanpassingen in het pakket volstaan niet om de persoonlijke gegevens in het pakket te beschermen. Een reeks van algemene veiligheidsinstellingen zijn ook noodzakelijk. Elke onderneming is verantwoordelijk voor de maximale beveiliging van de persoonlijke gegevens. Dit betekent onder andere dat het risico op data inbreuken zo klein mogelijk gehouden dient te worden.
Wij willen graag enkele punten delen die de basisveiligheid versterken, om zo optimaal mogelijk de vertrouwelijkheid van de gegevens te garanderen:
• Gebruik encryptiesoftware: de laptops van uw ambulante en commerciële medewerkers bevatten vaak een grote hoeveelheid aan persoonlijke gegevens van uw klanten. Bij verlies of diefstal kan encryptiesoftware ervoor zorgen dat deze informatie niet in verkeerde handen valt.
• Gebruik sterke wachtwoorden en verander deze regelmatig: een wachtwoord dat makkelijk te raden is, is een zeer groot veiligheidsrisico. Gebruik eventueel software voor het beheer van uw wachtwoorden.
• Denk aan uw backups: niet enkel de pc’s en servers in uw onderneming bevatten persoonlijke gegevens, deze informatie is eveneens beschikbaar via uw backups. Gebruik altijd een aangepaste backup-strategie en bewaar de fysieke media op een veilige plaats.
• Beveilig uw netwerk tegen inbreuken: zorg dat de kans op inbreuken van buitenaf geminimaliseerd worden. Goed antivirus- en firewallsoftware zijn een must.
• Train uw medewerkers: niet enkel uw hardware bevat de persoonlijke gegevens, ook uw medewerkers zijn hiervan op de hoogte. Breng uw medewerkers op de hoogte van de GDPR-verordening en zorg ervoor dat zij persoonlijke informatie niet door onzorgvuldig handelen kunnen verspreiden.
• Hou uw besturingssystemen en software up-to-date: updates en patches zorgen er vaak voor dat beveiligingslekken gedicht worden, gebruik een goede updatestrategie om zodat belangrijke updates zeker niet overgeslagen worden.
• Toegangsrechten tot folders: hoewel Sage-pakket voorzien in het beheer van toegangsrechten tot bepaalde functies, zal het beperken van de toegangsrechten tot enkel die mappen die een medewerker echt gebruikt, de veiligheid ten goede komen.
• Blokkeren van computers: een strikte politiek voor het gebruik van computers is belangrijk. Het automatisch blokkeren van computer na een bepaalde tijd is een goede strategie om ongeoorloofd gebruik van een computer te vermijden.