DICT Helpdesk

  1. Home
  2. Beveiliging
  3. Veilig-werken-medewerkers

Veilig werken met IT aan de UGent

De adviezen op deze pagina helpen medewerkers van de UGent om IT-veilig professionele activiteiten te verrichten voor de UGent, zowel bij telewerk als binnen de gebouwen en op het netwerk van de UGent.

Noot: IT-beveiliging aan de UGent is continue in evolutie, deze adviezen worden dus nog bijgewerkt.

Veilig werken met IT-middelen en data van de UGent is belangrijk voor elke medewerker van de UGent, niet alleen om eigen werk correct en veilig te kunnen doen, maar ook omdat lokale IT-veiligheidsproblemen ernstige negatieve gevolgen kunnen hebben voor collega's en de rest van de IT-infrastructuur van de UGent


We maken onderscheid tussen:

  • Werken op een toestel dat door DICT beheerd wordt (typisch met Microsoft Intune): verdient absoluut de voorkeur voor professionele activiteiten voor de UGent.
  • Werken op een toestel dat je zelf beheert, het "Bring Your Own Device" (BYOD) concept: goed voor occasioneel gebruik voor professionele activiteiten tenminste indien je het toestel zelf voldoende beveiligd hebt.
  • Werken op een ander toestel: om veiligheidsredenen af te raden tenzij je voldoende garanties hebt dat het toestel correct en professioneel beheerd wordt en betrouwbaar beveiligd is.

Risicobeheersing

Je draagt altijd zelf een belangrijke medeverantwoordelijkheid om veilig met de professionele informatie van de UGent om te gaan. Denk daarom zelf na over het risicogehalte van de data waar je mee werkt, in het bijzonder als je werkt met persoonsgegevens of andere vertrouwelijke informatie. Zelfs als je werkt met de toestellen en software die beheerd worden door DICT is het noodzakelijk om met gezond verstand mogelijke risico's in te schatten. Afhankelijk van het risicogehalte van de data kunnen toch nog bijkomende technische maatregelen zoals versleuteling (encryptie) van de data aangewezen zijn.

Vraag in geval van twijfel om advies, bijvoorbeeld bij een lokale IT-beheerder in je omgeving of (in geval van onderzoeksprojecten) bij de data stewards van DOZA, ofwel centraal bij de IT-specialisten van DICT, via de helpdesk van DICT.


Incidenten

Breng de helpdesk van DICT zo snel mogelijk op de hoogte als je vermoedt dat je account of je toestel gehackt is of bij gelijk welk ander IT-security-incident, en volg de instructies op die je krijgt. Meld dus ook diefstal of verlies van professionele IT-apparatuur zoals laptop of smartphone.

Ook wanneer het vermoeden bestaat van een datalek, waarbij persoonsgegevens of andere vertrouwelijke informatie of andere belangrijke data in verkeerde handen kan gekomen zijn, moet je de helpdesk van DICT zo snel mogelijk op de hoogte brengen.


Draag zorg voor je UGent account

Draag zorg voor je UGent account en de daaraan gekoppelde inloggegevens en multifactor authenticatie (MFA).

  • Gebruik een sterk wachtwoord, overeenkomstig de wachtwoord policy van UGent.
  • Houd je UGent wachtwoord strikt geheim, en gebruik je UGent-wachtwoord nooit voor andere, externe diensten.
  • Wijzig je wachtwoord van zodra er een vermoeden bestaat dat je wachtwoord gelekt of gecompromitteerd is.
  • Laat niemand onder je persoonlijke account werken.
  • Geef nooit aanmeldingsgegevens van je UGent-account door aan anderen, ook niet aan wie je vertrouwt.
  • Vermijd dat wachtwoorden in leesbare vorm op je toestel of elders opgeslagen worden.
  • Vermijd het gebruik van de 'onthoud wachtwoorden' functie van browsers, gebruik beter een betrouwbare wachtwoordmanager.
  • Verstuur geen wachtwoorden per e-mail
  • Laat je toestellen niet zomaar onbeheerd achter. Blokkeer het toestel of log uit, zelfs al ben je maar kort weg van het toestel.
  • Vergeet niet uit te loggen nadat je een publiek of gedeeld toestel hebt gebruikt.

DICT spoort actief verdachte login activiteiten op en neemt maatregelen om hacking van UGent accounts en toestellen te verhinderen of tegen te houden. Er kan je gevraagd worden om je UGent wachtwoord te wijzigen. Bij voldoende ernstige aanwijzingen mag DICT je UGent account of toestel ook tijdelijk blokkeren. Je zal in de mate van het mogelijke op de hoogte gebracht worden.

DICT raadt aan om een alternatief, privé e-mailadres in je UGent personeelsgegevens te registreren. Zo kan DICT je contacteren als er veiligheidsproblemen zouden zijn met je account of toestel. Zorg ervoor dat je die persoonlijke mailbox ook kan lezen (bv. op je smartphone) indien je professionele laptop onbruikbaar is en dat het account van je privé e-mailadres ook voldoende beveiligd is (bijvoorbeeld met MFA).


Werk op een goed beveiligd toestel

Werk bij voorkeur met een door DICT met Intune beheerd professioneel toestel, dat is automatisch goed beveiligd en daarmee kan je vlot en veilig aanmelden met je UGent-account. Goed beveiligd betekent echter niet dat je niet meer moet opletten wat je doet, je blijft zelf verantwoordelijk voor correct en veilig gebruik.

Op een beheerd toestel waar je zelf de primaire gebruiker ("primary user") bent, krijg je automatisch uitgebreide rechten, bijvoorbeeld om zelf software te installeren.

Het is om veiligheidsredenen verboden om gezinsleden of anderen met je professionele toestel te laten werken onder je UGent- account. Op een beheerd toestel waarvan een UGent collega de primaire gebruiker is, of op een gedeeld toestel (dwz. een toestel zonder primaire gebruiker), kan je ook aanmelden en werken met je UGent account, maar enkel met gewone gebruikersrechten. Gebruik voor persoonlijke doeleinden van professionele toestellen (inclusief recreatief en zakelijk gebruik buiten de context van de UGent) is toegestaan, met dien verstand dat je dan zelf de nodige zorg moet dragen voor correct en veilig gebruik. DICT monitort de veiligheidstoestand van met Intune beheerde toestellen en mag passende maatregelen nemen waar de veiligheid dit vereist.


Bring Your Own Device (BYOD)

Met BYOD toestellen van medewerkers bedoelen we naast smartphones of tablets zeker ook de privé desktops of laptops die vooral voor privaat gebruik dienen (dus voor persoonlijke of recreatieve doeleinden), maar die af en toe ook voor professioneel werk of telewerk gebruikt worden. Aangezien die toestellen niet beheerd worden door DICT ben je zelf verantwoordelijk voor de goede beveiliging van zo'n toestel.

Wees je goed bewust van de risico's die BYOD toestellen kunnen vormen: een hacker kan op een onvoldoende beveiligd toestel dat besmet is met malware alle activiteiten volgen en gevoelige informatie capteren, zonder dat je er ook maar iets van merkt. Ook je UGent account komt in zo'n situatie in gevaar en kan misbruikt worden op andere UGent toestellen en IT-services van de UGent. De hacker kan mogelijks je toestel zelfs verder misbruiken om de hele IT-infrastructuur van de UGent aan te vallen.


Minimale veiligheidsmaatregelen vooraleer je professioneel werk mag verrichten met een BYOD toestel:

  • Zorg ervoor dat het besturingssysteem van je toestel volledig up-to-date is en blijft.
  • Zorg dat alle geïnstalleerde toepassingen up-to-date zijn en blijven.
  • Installeer geen toepassingen die zonder veiligheidsgaranties gedownload worden van het internet of via email toegestuurd worden. Zo vermijd je infecties met virussen of malware.
  • Gebruik professionele anti-malware (antivirus) software die voorzien is van de meest recente updates.
  • Beveilig het aanmelden op je BYOD systeem met een wachtwoord, pincode of ander veilig alternatief.
  • Stel op tablets en smartphones minstens een veiligheidspincode in.
  • Zorg ervoor dat lokaal opgeslagen gegevens versleuteld worden (bv. met Bitlocker op Windows en FileVault op macOS)
  • Indien gezinsleden of derden hetzelfde BYOD toestel gebruiken, dan mag dit niet gebeuren onder hetzelfde account als dat waarmee je werk verricht voor de UGent, maak voor hen een extra lokaal account zonder extra rechten.

Werk via een betrouwbaar netwerk

Binnen de gebouwen van de UGent werk je op UGentNet, het IT-netwerk dat beheerd wordt door DICT, via een bekabelde netwerkverbinding, ofwel via een WiFi verbinding met Eduroam.

Bij telewerk gebruik je een netwerk dat niet door DICT beheerd wordt (een thuisnetwerk, een 3G, 4G of 5G mobiele Internetverbinding, …) Let op wanneer je op verplaatsing via een publieke WiFi hotspot of via een ander onbekend netwerk werkt. Hackers kunnen het gegevensverkeer over een onvoldoende beveiligd netwerk vrij gemakkelijk onderscheppen en er misbruik van maken. Zet in geval van twijfel een UGent VPN-verbinding op.

Met een UGent VPN ("Virtual Private Network")-verbinding, bevindt je toestel zich (virtueel) in het UGentNet via een beveiligd (versleuteld) kanaal.


Blijf alert en wees je voldoende bewust van courante IT-veiligheidsrisico’s

  • Laat je niet vangen door phishing: ga niet in op verdachte uitnodigingen om vertrouwelijke gegevens prijs te geven. Phishing e-mails zijn de belangrijkste primaire oorzaak van IT-veiligheidsincidenten.
  • Vul je UGent-login en -wachtwoord enkel in bij gekende, vertrouwde toepassingen en enkel via de gekende, vertrouwde centrale Microsoft-gebaseerde aanmeldservice van de UGent.
  • Je UGent-account is beveiligd met multifactor authenticatie (MFA). Gebruik de MFA met discipline, geef je tweede goedkeuring enkel als je echt gaat aanmelden op een vertrouwde toepassing.
  • Open geen e-mailbijlages die je niet helemaal vertrouwt en al zeker geen uitvoerbare bestanden. Je zou je toestel zo kunnen besmetten met malware (virus, spyware, ransomware, …)

Gebruik de door DICT aangeboden dienstverlening voor dataopslag

DICT raadt de eigen dienstverlening voor dataopslag (storage) aan voor alle professionele data van de UGent. De beveiliging en de beschikbaarheid van data op de centrale infrastructuur wordt gegarandeerd door de specialisten van DICT. Naast beveiliging tegen ongewenste toegang wordt de data daar door middel van verschillende back-up scenario’s ook beschermd tegen ongewenste verandering of verlies.

Hou je datamanagement goed op orde en maak voor jouw welbepaalde use-case correct gebruik van de verschillende mogelijkheden die DICT ondersteunt: OneDrive-for-Business, centrale storage (met persoonlijke schijfruimte en shares), HPC storage, … Vermijd het werken met lokale kopieën van data die enkel lokaal op een toestel (desktop of laptop) opgeslagen zijn.

Als je bij uitzondering toch telewerk verricht met een toestel dat niet onder beheer van DICT of van jezelf staat, zorg er dan voor dat er geen lokale kopieën van professionele data op een dergelijke toestel terecht komen en al zeker geen persoonsgegevens of andere vertrouwelijke informatie.

Laat je voor dataopslag in onderzoeksprojecten eventueel adviseren door de data stewards van DOZA.


Gebruik de door DICT aangeboden en ondersteunde software

DICT draagt zorg voor de beveiliging en de naleving van regelgeving (bv. licentievoorwaarden, bescherming van persoonsgegevens in het kader van AVG/GDPR, etc.) van alle software die het aanbiedt.

DICT adviseert om te werken met de software aangeboden en ondersteund door DICT, zowel de cloud toepassingen zoals Microsoft 365, Sharepoint online, Teams, UFora, Successfactors, … als de applicaties die binnen de datacenters van de UGent gehost worden (bv. OASIS, Gismo, Athena, …).

Gebruik bij voorkeur lokaal geïnstalleerde software op een door DICT met Intune beheerd professioneel toestel (zie het software-aanbod op Bedrijfsportal / Company Portal).

Let op: je bent altijd zelf verantwoordelijk voor correct en veilig gebruik van software toepassingen. Open bijvoorbeeld geen twijfelachtige links of files die je in je mailclient toegestuurd krijgt. Dit geldt niet alleen op je eigen toestellen maar bv. ook op Athena. Zo verklein je de kans op infecties met malware op eigen en centrale IT-infrastructuur.


Zelf andere software installeren

  • Installeer op je laptop of desktop enkel software die je nodig hebt.
  • Verwijder software en apps die je nooit gebruikt.
  • Wees je bewust van de risico's die onbekende of gekraakte software in zich kunnen meedragen. Installeer dus liever geen software die je zonder veiligheidsgaranties hebt gedownload van het internet.
  • Respecteer altijd de licentievoorwaarden en gebruik zeker geen gefabriceerde of gestolen licentiecodes.

Persoonsgegevens en vertrouwelijke info op clouddiensten

Bewaar geen vertrouwelijke informatie op clouddiensten met dataopslag buiten de EER (d.i. de EU, Liechtenstein, Noorwegen en IJsland).

Ook persoonsgegevens mogen niet opgeslagen worden op clouddiensten met dataopslag buiten de EER, tenzij ze minstens op een veilige en betrouwbare manier gepseudonimiseerd werden. Indien pseudonimiseren niet mogelijk is, moet de data vooraf veilig versleuteld worden. Indien de data voorafgaand gepseudonimiseerd wordt, mag het sleutelbestand niet bewaard worden op een clouddienst met dataopslag buiten de EER, tenzij dat sleutelbestand vooraf veilig versleuteld werd.

Laat je voor pseudonimiseren in onderzoeksprojecten eventueel adviseren door de data stewards van DOZA en bekijk volgende onderzoektip.

Voor Microsoft 365 (en dus ook voor OneDrive-for-Business) heeft de UGent de garantie dat de data binnen de EU opgeslagen wordt. Mede om die reden raadt DICT Microsoft 365 aan voor de verwerking van persoonsgegevens en vertrouwelijke informatie aan de UGent.



top