Skip naar inhoud

Kennis over data en risico komt vóór toegangsbeheer

Wilt u deze bijdrage aanbevelen? Dat kan via:

Een wachtwoord is niet voldoende om de toegang tot een netwerk te beheren. Daar is cybercriminaliteit veel te gesofisticeerd voor. In 2020 zagen we, onder impuls van de pandemie en de plotse populariteit van telewerk, een exponentiële toename van het aantal cyberaanvallen. Zeker nu veel organisaties versneld naar de cloud migreren, moeten ze nadenken over datasecurity en identity & access management (iam).
Traditionele security-oplossingen, zoals een firewall, houden hackers slechts binnen een beperkte netwerkperimeter tegen. Zodra ze over de juiste gegevens beschikken en binnen geraken, genieten ze het volle vertrouwen en hebben ze vrije toegang om data te stelen. Zeker nu bedrijven steeds meer data genereren en hiervoor op cloud-oplossingen teruggrijpen, verschuift de focus in security vaker naar de identiteit van de gebruiker die toegang vraagt. Identity & access management (iam) biedt een extra securitylaag die bijvoorbeeld een aantal cruciale vragen kan stellen: wie wil er toegang en wat moet die persoon kunnen doen? Maar ook: welk apparaat gebruikt de persoon en wat is de locatie van waar toegang wordt gevraagd? Als er bijvoorbeeld in het midden van de nacht plots iemand vanuit Oekraïne inlogt, dan is dat op z’n minst verdacht.

Jacuzzi

“Met behulp van iam krijgt iemand dus al dan niet de toestemming om bepaalde data te gebruiken”

Iam maakt het voor it-beheerders dus mogelijk om op basis van de context te bepalen welke autorisatie iemand krijgt. Welke data mag deze persoon zien en wat mag hij/zij ermee doen? En hoe zit het met de risico’s die verbonden zijn met deze identiteit? Misschien is er een extra certificering nodig?

Een simpele vergelijking: wanneer je een hotelkamer boekt, zal de receptie eerst bepalen op basis van de juiste identificatie en authenticatie, welke autorisatie je krijgt. Is het die luxe kamer met jacuzzi of een eenvoudigere kamer? En is de fitness beschikbaar? Als het een zakelijke reiziger is, zullen wellicht andere faciliteiten gelden voor die identiteit. Ook personen die het onderhoud doen in het hotel zullen weer andere soorten toegangen hebben.

Met behulp van iam krijgt iemand dus al dan niet de toestemming om bepaalde data te gebruiken. Net zoals een patiënt z’n arts kan toelaten om voor een behandeling gegevens te verzamelen. Als er nadien nog andere artsen worden geraadpleegd, dan moet de patiënt telkens apart z’n toestemming geven om de data te delen. We passen het principe dus eigenlijk al in ons dagelijkse leven toe. Voor bedrijven evenwel zit de complexiteit in het beheren van al die autorisaties.

Wie draagt de verantwoordelijkheid?

De meeste bedrijven beginnen security op basis van identiteit te adopteren. Ze zijn zich bewust van de problematiek en van de gevaren die identiteitsfraude met zich meebrengt. In sommige sectoren worden ze bovendien door de overheid verplicht om alles op een veilige manier te organiseren. Denk aan financiële instellingen die met standaarden rekening moeten houden. Ook ziekenhuizen hebben er belang bij om data te beschermen. Ook reputatieschade ten gevolge van een incident valt niet te onderschatten. Bij een ransomware-aanval kan een bedrijf soms wekenlang stilliggen. Het wordt nog ernstiger als de aanval ook partners treft die een vertrouwensrelatie met de organisatie hebben. Dat kan op termijn zelfs grotere financiële gevolgen hebben dan de downtime na een aanval.

Het belang van cybersecurity is intussen ook doorgedrongen tot de directiekamer van bedrijven. Wanneer het fout gaat, zal immers vaak de ceo of manager verantwoordelijk worden gesteld. Behalve een ciso nemen steeds meer bedrijven daarom een data protection officer (dpo) aan. Voor sommige instellingen is het zelfs al verplicht vanuit de overheid om zo iemand aan boord te hebben.

Stap voor stap

“Bedrijven denken dat het wel goed zit, terwijl er gegarandeerd nog ergens een toegangspoortje openstaat”

Bedrijven beseffen dus wel dat ze toegang moeten autoriseren, maar vaak weten ze niet hoe ze eraan moeten beginnen. Of denken ze dat het wel goed zit, terwijl er gegarandeerd nog ergens een toegangspoortje openstaat.

Het toekennen van een autorisatie aan een identiteit impliceert veel meer. Daarom is het belangrijk om pragmatisch te werken en in kaart te brengen welke facetten een impact hebben op het autoriseren van een identiteit. Denk aan het afnemen van een toegang. Wanneer een identiteit een organisatie verlaat, willen we zeker zijn dat de betrokken autorisatie ook verdwijnt. Het is belangrijk om te weten wie geautoriseerd is om dit te bepalen.

Daarbij zijn processen, governance & compliancy eveneens uitdagingen die van grote invloed zijn op iam en dus is het noodzakelijk dit grondig in kaart te brengen.

Iam vormt de blauwdruk voor het preventief onder controle brengen van de levenscyclus van identiteiten. De complexiteit bij de meeste organisaties is historisch gegroeid. We moeten daarom alle informatie via een soort print inzichtelijk maken. Welke data en welke identiteiten zijn er in de organisatie? Behalve de vaste medewerkers kunnen er bijvoorbeeld ook freelancers zijn die bepaalde toegang nodig hebben.

Daarnaast moet gekeken worden naar het proces om toegang te verlenen en te beheren. Wie mag zo’n autorisatie toekennen en hoe gaat dat in z’n werk? En wat is de procedure bij een medewerker die ontslagen wordt en z’n toegang moet verliezen? Bij de data zelf moeten eveneens een classificatie gebeuren om te bepalen waar het risico het hoogst of laagst is. Afhankelijk van de context kan het risico rond bepaalde data of rond de identiteit van een gebruiker ook regelmatig veranderen.

Wat brengt de toekomst?

Het belang van iam zal de komende jaren alleen maar toenemen en meer vanuit organisaties gedreven worden. Die eindklant wil het natuurlijk zo gemakkelijk mogelijk hebben en moet alles in zowat één klik kunnen doen. Als een procedure te complex wordt, zoekt deze al gauw andere oorden op. Gebruiksvriendelijkheid is dus een belangrijk aspect van consumer-driven iam.

Tot slot blijft de gebruiker de zwakke schakel en moeten we nog meer inzetten op awareness-training. Het beste recept dat we kunnen voorschrijven, is een combinatie van iam en een goede dosis (aangeleerd) gezond verstand.

Lees ook:

Wat wil en wenst de ontwikkelaar?

In een krappe ict-arbeidsmarkt is het voor werkgevers interessant te weten wat er onder ontwikkelaars leeft. Bedrijven die de juiste tools bieden, hebben een streepje voor. Een internationaal onderzoek onder ruim zeventigduizend ontwikkelaars uit de Stack Overflow-community geeft inzicht in de trends. Dit rapport is bij recruiters dan ook niet onopgemerkt gebleven. Ze krijgen zo een beeld van hoe developers leren en meer kennis vergaren, welke tools ze gebruiken en waaraan ze behoefte hebben.

TNO: Europa kan tech-overmacht VS en China doorbreken

Zet vol in op de ontwikkeling van 6G, maak Gaia-X volwassen, loop voorop met edge computing en omarm open technologie. Dit zijn enkele aanbevelingen van TNO om in Europa de overheersing van Big Tech en Chinese (5G-)bedrijven te doorbreken.

Subpostmaster campaigning forces government to set up compensation scheme and make interim payments

Subpostmaster campaign group is a step closer to achieving what it was originally set up to do as government launches compensation scheme for its members who did not receive fair payouts

Advies: wacht met 3,5 GHz tot Inmarsat weg is

Het duurt waarschijnlijk tot eind 2023 voordat de 3,5-GHz-frequentieband beschikbaar komt voor openbare mobiele-communicatiediensten. Er is weliswaar veel vraag naar extra frequentieruimte, maar op de daarvoor afgesproken 3,5-GHz-band kan dat storen met noodoproepen van de lucht- en zeevaart. Het ministerie krijgt het advies te wachten totdat satellietbedrijf Inmarsat is verhuisd van het Friese Burum naar Griekenland.

Na sase komt sse (security service edge)

Security service edge (sse) is de evolutie van het sase-framework van Gartner. Door de letter ‘A’ (voor ’access) te verwijderen, wordt duidelijk dat het netwerk niet langer wordt beschouwd als onderdeel van een beveiligingsoplossing. Het is slechts het mechanisme dat de datastromen naar het security- en controleplatform transporteert.

UK tech has 2.8% gender ‘wage gap’, says Hired

The wage offered to women for tech jobs in the UK is 2.8% less than offered to male counterparts – a larger gap than in the US and Canada, says Hired

Wilt u deze bijdrage aanbevelen? Dat kan via:

Klaar voor de beste oplossing voor uw IT & ICT-situatie?

Ik heb mijn wachtwoord gewijzigd in “onjuist.” Dus wanneer ik vergeet wat het is, zal de computer zeggen: “Uw wachtwoord is onjuist.”