Uw laptop is zojuist gestolen. Wat nu? Waarom slimme bedrijven Windows Autopilot gebruiken

De laptop van uw werknemer wordt uit de auto gestolen. Het gebeurt. De vraag is niet of uw bedrijf ooit met deze situatie te maken krijgt, maar wat er daarna gebeurt. Voor bedrijven zonder de juiste configuratie is het antwoord beangstigend: elk bestand, elk wachtwoord en alle klantgegevens op dat apparaat zijn potentieel toegankelijk voor degene die het heeft meegenomen. Voor bedrijven die Windows Autopilot gebruiken met versleutelde schijven en cloud-gesynchroniseerde profielen, is het antwoord compleet anders: het apparaat wordt op afstand vergrendeld, de gegevens zijn onleesbaar en de werknemer is binnen een uur weer aan het werk op een nieuwe laptop.

Het verschil tussen deze twee scenario’s komt neer op een handvol slimme IT-beslissingen die zelfs voor de kleinste bedrijven binnen handbereik liggen. Hier leest u wat deze inhouden en waarom de investering zichzelf bijna altijd terugverdient.

Wat er gebeurt als een laptop zonder bescherming wordt gestolen

De meeste mensen gaan ervan uit dat een wachtwoord op een laptop voldoende is om gegevens veilig te houden. Dat is niet zo. Iedereen met een basis aan technische kennis kan een Windows-inlogscherm binnen enkele minuten omzeilen met een opstartbare USB-stick. Zodra ze dat scherm voorbij zijn, is elk bestand op het apparaat volledig toegankelijk.

Voor een bedrijf betekent dit dat klantgegevens, financiële documenten, e-mailarchieven, opgeslagen browserwachtwoorden en toegangstokens voor clouddiensten allemaal potentieel gevaar lopen. Volgens het Verizon Data Breach Investigations Report blijven fysieke diefstal en verlies van apparaten een constante bron van datalekken bij bedrijven van elke omvang. En onder de AVG is een gestolen laptop met persoonsgegevens een meldingsplichtig datalek, met mogelijke boetes en de verplichting om de betrokken personen te informeren.

De schade is niet alleen financieel. De reputatieschade door klanten te moeten vertellen dat hun gegevens mogelijk in gevaar zijn gekomen, kan veel kostbaarder zijn dan welke boete dan ook.

Windows Autopilot: Wat het is en waarom het alles verandert

Windows Autopilot is het cloudgebaseerde systeem van Microsoft voor het inrichten en beheren van apparaten. Het stelt IT-beheerders in staat om Windows-apparaten volledig via de cloud te configureren, te implementeren en te beheren, zonder de machine ooit fysiek aan te hoeven raken.

Wanneer een nieuwe laptop wordt besteld, kan deze rechtstreeks naar de werknemer worden verzonden. Op het moment dat zij het apparaat aanzetten en verbinding maken met internet, neemt Autopilot het over. Het past automatisch het beveiligingsbeleid van het bedrijf toe, installeert de vereiste applicaties, configureert instellingen en verbindt het apparaat met de Microsoft 365-omgeving van de organisatie, dit alles zonder enige tussenkomst van IT.

Maar Windows Autopilot gaat niet alleen over eenvoudige installatie. Het is de basis van een aanpak voor apparaatbeheer die van gestolen of verloren laptops een beheersbaar ongemak maakt in plaats van een beveiligingscatastrofe.

Versleutelde schijven: Gestolen gegevens onleesbaar maken

De eerste verdedigingslinie tegen een gestolen laptop is volledige schijfversleuteling. Wanneer BitLocker, de ingebouwde versleutelingstool van Microsoft, op een apparaat is ingeschakeld, wordt de volledige inhoud van de schijf versleuteld. Zonder de juiste inloggegevens of herstelsleutel zijn de gegevens op die schijf volledig onleesbaar, zelfs als iemand de schijf verwijdert en op een andere machine aansluit.

Via Microsoft Intune en Windows Autopilot kan BitLocker automatisch worden afgedwongen op elk beheerd apparaat in uw organisatie. U hoeft niet te vertrouwen op werknemers om het zelf in te schakelen, er is geen handmatige configuratie nodig en er is geen kans dat een apparaat onversleuteld blijft. Het UK National Cyber Security Centre adviseert volledige schijfversleuteling als basisbeveiligingseis voor alle zakelijke apparaten, juist omdat het fysieke diefstal vanuit een gegevensperspectief grotendeels onschadelijk maakt.

Wissen op afstand: Een verloren apparaat direct vergrendelen

Versleuteling beschermt de gegevens in rust, maar hoe zit het met actieve sessies en accounts die met de cloud zijn verbonden? Dit is waar ‘remote wipe’ (wissen op afstand) om de hoek komt kijken. Wanneer een apparaat als verloren of gestolen wordt gemeld, kunnen IT-beheerders via Microsoft Intune een opdracht geven om het apparaat op afstand te wissen, waardoor het apparaat volledig wordt leeggemaakt en de toegang tot alle bedrijfssystemen binnen enkele minuten wordt ingetrokken.

De werknemer verliest een laptop, maar zij verliezen niet hun gegevens, hun toegang of hun vermogen om te werken. Bedrijfsinformatie wordt van het gestolen apparaat verwijderd voordat iemand het kan gebruiken. En omdat alles centraal wordt beheerd, kan dit door uw IT-partner met een paar klikken worden gedaan, zelfs buiten kantooruren.

Cloud-synchronisatie: Binnen een uur weer aan het werk

Dit is het deel dat de meeste ondernemers verrast. Met een correct geconfigureerde Microsoft 365-omgeving kan een werknemer wiens laptop zojuist is gestolen, een gloednieuw apparaat pakken, inloggen met hun Microsoft-account en binnen een uur weer volledig operationeel zijn.

Hun bestanden staan in OneDrive. Hun e-mail staat in Outlook. Hun bureaubladinstellingen, browserfavorieten en applicatievoorkeuren worden via de cloud gesynchroniseerd. Windows Autopilot configureert het nieuwe apparaat automatisch. In de tijd die nodig is om een vervangende laptop te bestellen en een kop koffie te drinken, is die werknemer weer aan het werk alsof er niets is gebeurd.

Dit is geen functie die alleen is voorbehouden aan grote ondernemingen. Het is beschikbaar voor elk bedrijf dat Microsoft 365 gebruikt met een correct geconfigureerde Intune en Autopilot, inclusief bedrijven met slechts vijf of tien werknemers.

Waarom deze investering bijna altijd de moeite waard is voor het mkb

Het meest gehoorde bezwaar van kleinere bedrijven is dat dit soort configuraties duur of complex klinken. In werkelijkheid is geen van beide waar.

Microsoft Intune is inbegrepen bij Microsoft 365 Business Premium, wat ongeveer 22 euro per gebruiker per maand kost. Voor een bedrijf met tien personen is dat ongeveer 220 euro per maand voor het volledige pakket, inclusief geavanceerde beveiliging, apparaatbeheer, Windows Autopilot-inrichting en alle standaard Microsoft 365-applicaties.

Denk nu eens aan het alternatief. Een enkel datalek met een gestolen laptop kan leiden tot AVG-boetes, juridische kosten, kosten voor het informeren van klanten en reputatieschade die de jaarlijkse kosten van Microsoft 365 Business Premium ver overstijgen. En dat is nog zonder rekening te houden met het productiviteitsverlies van een werknemer die niet kan werken terwijl hij wacht tot IT handmatig een vervangend apparaat heeft geconfigureerd.

Volgens IBM’s Cost of a Data Breach Report lopen de gemiddelde kosten van een datalek voor een klein bedrijf in de tienduizenden euro’s. De investering in goed apparaatbeheer en versleuteling is slechts een fractie van dat bedrag.

Voor meer informatie over het opbouwen van een veilige en productieve IT-omgeving, zie ons bericht over hoe u een veilige IT-werkplek creëert voor hybride teams. En als u daarnaast apparaatupdates en patches beheert, legt onze gids over patchbeheer voor het mkb uit hoe u elk apparaat automatisch veilig en up-to-date houdt.

Hoe een goed beschermde configuratie eruitziet

Voor de meeste mkb-bedrijven bestaat een goed beschermde configuratie voor apparaatbeheer uit vier componenten die samenwerken:

• Microsoft 365 Business Premium: Biedt Intune, Autopilot, BitLocker-beheer en geavanceerde bescherming tegen dreigingen in één licentie
• BitLocker-versleuteling: Automatisch afgedwongen op alle beheerde apparaten, waardoor gestolen hardware nutteloos is voor aanvallers
• OneDrive-synchronisatie: Alle bestanden worden in de cloud opgeslagen, zodat er geen gegevens uitsluitend op een lokaal apparaat staan
• Windows Autopilot: Nieuwe apparaten configureren zichzelf automatisch, waardoor werknemers binnen enkele minuten in plaats van dagen weer aan het werk kunnen

Deze combinatie betekent dat een gestolen laptop een ongemak en een verzekeringsclaim is, en geen beveiligingsincident of bedrijfscrisis.

Aan de slag

Als uw bedrijf nog niet over een dergelijke configuratie beschikt, is het goede nieuws dat dit met de juiste IT-partner eenvoudig te realiseren is. Bij EvolvingDesk richten en beheren wij dagelijks Microsoft 365 Business Premium-omgevingen in, inclusief Intune, Autopilot en BitLocker voor mkb-bedrijven in heel Nederland. Wij regelen de configuratie, de migratie en het doorlopende beheer, zodat u er niet over na hoeft te denken.

Neem contact op met EvolvingDesk en wij zorgen ervoor dat de volgende keer dat er een laptop zoekraakt, dit uw minste zorg is.

Veelgestelde vragen

Wat is Windows Autopilot?

Windows Autopilot is het cloudgebaseerde systeem van Microsoft voor het inrichten van apparaten. Het zorgt ervoor dat nieuwe laptops zichzelf automatisch configureren wanneer ze worden aangezet, waarbij het beveiligingsbeleid van het bedrijf wordt toegepast, applicaties worden geïnstalleerd en verbinding wordt gemaakt met Microsoft 365 zonder handmatige tussenkomst van IT.

Beschermt BitLocker echt de gegevens op een gestolen laptop?

Ja. BitLocker versleutelt de volledige inhoud van een schijf, waardoor deze volledig onleesbaar wordt zonder de juiste inloggegevens of herstelsleutel. Zelfs als iemand de schijf verwijdert en op een andere machine aansluit, zijn de gegevens niet toegankelijk.

Hoe snel kan een werknemer weer aan het werk nadat een laptop is gestolen?

Met OneDrive-synchronisatie, Microsoft 365 en Windows Autopilot correct geconfigureerd, kan een werknemer binnen een uur volledig operationeel zijn op een nieuw apparaat. Hun bestanden, e-mail en instellingen zijn allemaal opgeslagen in de cloud en worden automatisch hersteld.

Is deze configuratie betaalbaar voor kleine bedrijven?

Ja. Microsoft 365 Business Premium, inclusief Intune, Autopilot en BitLocker-beheer, kost ongeveer 22 euro per gebruiker per maand. Voor de meeste mkb-bedrijven is dit een fractie van de potentiële kosten van een enkel datalek of het productiviteitsverlies door een slecht beheerde vervanging van apparatuur.

Wat gebeurt er wanneer een gestolen laptop wordt gemeld bij IT?

IT-beheerders kunnen via Microsoft Intune een opdracht geven om het apparaat op afstand te wissen, waardoor het apparaat volledig wordt leeggemaakt en de toegang tot alle bedrijfssystemen binnen enkele minuten wordt ingetrokken. Dit kan op elk moment op afstand worden gedaan door uw IT-partner, zelfs buiten kantooruren.