Anti-phishing maatregelen voor het kantoor

Een phishingmail die DMARC passeert, kan stranden op MFA. Een MFA-bypass kan stranden op een vier-ogen-procedure. Een procedure die een aanvaller omzeilt, kan stranden op een medewerker die heeft geleerd het callback-nummer te checken. Geen enkele laag is waterdicht, drie lagen op elkaar wel.

Technische laag

De basis: SPF, DKIM en DMARC op p=reject. Microsoft Defender for Office 365 met Safe Links, Safe Attachments en impersonation protection op uw eigen domein en op VIP-postbussen. Phishing-resistant MFA via FIDO2 of Passkeys voor admins en finance, Authenticator-push als minimum voor de rest. Conditional Access in Microsoft Entra die login vanaf onbekende locaties of risicovolle apparaten blokkeert.

Proceslaag

Drie procedures vangen wat de techniek mist. Een vier-ogen-principe in uw ERP voor elke betaalopdracht boven een drempel, geen uitzondering voor spoed. Een callback-protocol voor mondelinge of mailmatige instructies van directieleden of leveranciers, met terugbelnummers uit een centrale lijst en niet uit de mail zelf. Een wijzigingsprocedure voor leveranciersbankrekeningen die altijd via twee onafhankelijke kanalen verloopt.

Gedragslaag

Training werkt alleen als hij maandelijks gebeurt en een echt scenario nabootst. PhishWise of Microsoft Attack Simulator stuurt elke vier weken een nieuwe campagne uit. Meet klikratio, report-ratio en time-to-report. Een organisatie die naar tien procent klik en zestig procent report gaat, heeft de gedragslaag op orde.

Wat u van elk onderdeel verwacht

Techniek vangt het bulkwerk: domain-spoofing, bekende phishingdomeinen, malware-bijlagen. Goed ingericht houdt techniek 95 procent buiten de deur. Proces vangt de gerichte aanval die door techniek heen komt: CEO-fraude, factuurfraude, leveranciersfraude. Gedrag vangt de rest, plus alles wat techniek en proces missen vanwege nieuwe aanvalsvormen zoals quishing of deepfakes.

Meet wat werkt

Stel per laag KPI's vast. Voor techniek: percentage aligned mail in DMARC-reports, aantal geblokkeerde phish in Defender, dekkingsgraad MFA. Voor proces: aantal betaalopdrachten dat de vier-ogen-controle passeert versus wordt afgekeurd. Voor gedrag: klik- en report-ratio per simulatie. Bespreek de cijfers maandelijks in het IT- of risico-overleg, niet alleen na een incident.

Verwant: Freelance cybersecurity consultant, Freelance business consultant.