Een wachtwoord is niet voldoende om de toegang tot een netwerk te beheren. Daar is cybercriminaliteit veel te gesofisticeerd voor. In 2020 zagen we, onder impuls van de pandemie en de plotse populariteit van telewerk, een exponentiële toename van het aantal cyberaanvallen. Zeker nu veel organisaties versneld naar de cloud migreren, moeten ze nadenken over datasecurity en identity & access management (iam).
Traditionele security-oplossingen, zoals een firewall, houden hackers slechts binnen een beperkte netwerkperimeter tegen. Zodra ze over de juiste gegevens beschikken en binnen geraken, genieten ze het volle vertrouwen en hebben ze vrije toegang om data te stelen. Zeker nu bedrijven steeds meer data genereren en hiervoor op cloud-oplossingen teruggrijpen, verschuift de focus in security vaker naar de identiteit van de gebruiker die toegang vraagt. Identity & access management (iam) biedt een extra securitylaag die bijvoorbeeld een aantal cruciale vragen kan stellen: wie wil er toegang en wat moet die persoon kunnen doen? Maar ook: welk apparaat gebruikt de persoon en wat is de locatie van waar toegang wordt gevraagd? Als er bijvoorbeeld in het midden van de nacht plots iemand vanuit Oekraïne inlogt, dan is dat op z’n minst verdacht.
Jacuzzi
Iam maakt het voor it-beheerders dus mogelijk om op basis van de context te bepalen welke autorisatie iemand krijgt. Welke data mag deze persoon zien en wat mag hij/zij ermee doen? En hoe zit het met de risico’s die verbonden zijn met deze identiteit? Misschien is er een extra certificering nodig?
Een simpele vergelijking: wanneer je een hotelkamer boekt, zal de receptie eerst bepalen op basis van de juiste identificatie en authenticatie, welke autorisatie je krijgt. Is het die luxe kamer met jacuzzi of een eenvoudigere kamer? En is de fitness beschikbaar? Als het een zakelijke reiziger is, zullen wellicht andere faciliteiten gelden voor die identiteit. Ook personen die het onderhoud doen in het hotel zullen weer andere soorten toegangen hebben.
Met behulp van iam krijgt iemand dus al dan niet de toestemming om bepaalde data te gebruiken. Net zoals een patiënt z’n arts kan toelaten om voor een behandeling gegevens te verzamelen. Als er nadien nog andere artsen worden geraadpleegd, dan moet de patiënt telkens apart z’n toestemming geven om de data te delen. We passen het principe dus eigenlijk al in ons dagelijkse leven toe. Voor bedrijven evenwel zit de complexiteit in het beheren van al die autorisaties.
Wie draagt de verantwoordelijkheid?
De meeste bedrijven beginnen security op basis van identiteit te adopteren. Ze zijn zich bewust van de problematiek en van de gevaren die identiteitsfraude met zich meebrengt. In sommige sectoren worden ze bovendien door de overheid verplicht om alles op een veilige manier te organiseren. Denk aan financiële instellingen die met standaarden rekening moeten houden. Ook ziekenhuizen hebben er belang bij om data te beschermen. Ook reputatieschade ten gevolge van een incident valt niet te onderschatten. Bij een ransomware-aanval kan een bedrijf soms wekenlang stilliggen. Het wordt nog ernstiger als de aanval ook partners treft die een vertrouwensrelatie met de organisatie hebben. Dat kan op termijn zelfs grotere financiële gevolgen hebben dan de downtime na een aanval.
Het belang van cybersecurity is intussen ook doorgedrongen tot de directiekamer van bedrijven. Wanneer het fout gaat, zal immers vaak de ceo of manager verantwoordelijk worden gesteld. Behalve een ciso nemen steeds meer bedrijven daarom een data protection officer (dpo) aan. Voor sommige instellingen is het zelfs al verplicht vanuit de overheid om zo iemand aan boord te hebben.
Stap voor stap
Bedrijven beseffen dus wel dat ze toegang moeten autoriseren, maar vaak weten ze niet hoe ze eraan moeten beginnen. Of denken ze dat het wel goed zit, terwijl er gegarandeerd nog ergens een toegangspoortje openstaat.
Het toekennen van een autorisatie aan een identiteit impliceert veel meer. Daarom is het belangrijk om pragmatisch te werken en in kaart te brengen welke facetten een impact hebben op het autoriseren van een identiteit. Denk aan het afnemen van een toegang. Wanneer een identiteit een organisatie verlaat, willen we zeker zijn dat de betrokken autorisatie ook verdwijnt. Het is belangrijk om te weten wie geautoriseerd is om dit te bepalen.
Daarbij zijn processen, governance & compliancy eveneens uitdagingen die van grote invloed zijn op iam en dus is het noodzakelijk dit grondig in kaart te brengen.
Iam vormt de blauwdruk voor het preventief onder controle brengen van de levenscyclus van identiteiten. De complexiteit bij de meeste organisaties is historisch gegroeid. We moeten daarom alle informatie via een soort print inzichtelijk maken. Welke data en welke identiteiten zijn er in de organisatie? Behalve de vaste medewerkers kunnen er bijvoorbeeld ook freelancers zijn die bepaalde toegang nodig hebben.
Daarnaast moet gekeken worden naar het proces om toegang te verlenen en te beheren. Wie mag zo’n autorisatie toekennen en hoe gaat dat in z’n werk? En wat is de procedure bij een medewerker die ontslagen wordt en z’n toegang moet verliezen? Bij de data zelf moeten eveneens een classificatie gebeuren om te bepalen waar het risico het hoogst of laagst is. Afhankelijk van de context kan het risico rond bepaalde data of rond de identiteit van een gebruiker ook regelmatig veranderen.
Wat brengt de toekomst?
Het belang van iam zal de komende jaren alleen maar toenemen en meer vanuit organisaties gedreven worden. Die eindklant wil het natuurlijk zo gemakkelijk mogelijk hebben en moet alles in zowat één klik kunnen doen. Als een procedure te complex wordt, zoekt deze al gauw andere oorden op. Gebruiksvriendelijkheid is dus een belangrijk aspect van consumer-driven iam.
Tot slot blijft de gebruiker de zwakke schakel en moeten we nog meer inzetten op awareness-training. Het beste recept dat we kunnen voorschrijven, is een combinatie van iam en een goede dosis (aangeleerd) gezond verstand.