Identiteitsbeveiliging: wat is het en waarom is het nuttig?

Een goede accountbeveiliging vermindert niet alleen het aantal cyberaanvallen op bedrijven, het levert ook financiële voordelen op. Wat moet er worden gedaan wil ik hier de vruchten van plukken?

Een goede accountbeveiliging vermindert niet alleen het aantal cyberaanvallen op bedrijven, het levert ook financiële voordelen op. Wat moet er worden gedaan wil ik hier de vruchten van plukken?

De voordelen van digitale bedrijfstransformatie zijn goed gedocumenteerd: processen worden gestroomlijnd, schaalvergroting van bedrijven is eenvoudiger en het proces van het creëren van producten en diensten wordt enorm versneld. Beveiligingsrisico’s worden echter steeds een grotere belemmering voor een dergelijke transformatie, aangezien het aantal cyberaanvallen en de schade die ze aanrichten jaar na jaar toenemen. Uit de statistieken blijkt dat meer dan 60% van de aanvallen op bedrijven begint met de diefstal van accounts of toegangstokens. Bovendien is de aanpak van accountbeheer en -beveiliging van de meeste bedrijven verschrikkelijk verouderd, want ze vertrouwen nog steeds op 30 jaar oude technologieën. Ondertussen is de infrastructuur met grote sprongen vooruit gegaan – we hebben nu openbare clouds, werkstations op afstand en andere handige, maar vaak onveilige technologieën.

Het moderniseren van de accountbeveiliging is een van de belangrijkste en strategisch meest waardevolle stappen die je kunt nemen om groeipotentieel op lange termijn te zaaien in de IT-systemen van jouw bedrijf. Als basismaatregelen voor digitale hygiëne — zoals eindpunt- en serverbescherming en geïntegreerd IT- en IS-beleid — al aanwezig zijn, is de volgende logische volgende stap het implementeren van identiteitsbeveiliging.

De basisprincipes van identiteitsbeveiliging

Beheer van alle soorten accounts en identiteiten. Het is belangrijk om te begrijpen dat het concept identiteit niet alleen van toepassing is op werknemersaccounts, maar ook op servers en applicaties. In moderne bedrijven weegt het aantal niet-live accounts vaak veel zwaarder dan het personeelsbestand. Een uitgebreide benadering van identiteitsbeveiliging betekent het beheer van toegangstokens, geheime sleutels die zijn opgeslagen in applicaties, enzovoort.

Betrouwbare verificatie. Dit is de hoeksteen van accountbescherming. Het bedrijf moet up-to-date meervoudige-factorenauthenticatiestandaarden implementeren die rekening houden met het toegangsniveau en -risico voor elke werknemer, dienst of server.

Proportionele, gestructureerde autorisatie. Een geverifieerd account moet de toegang en rechten krijgen die nodig en voldoende zijn voor de uit te voeren taak, en niet meer dan dat. Toegang en rechten worden gedefinieerd volgens een gecentraliseerd beleid en zijn identiek voor werknemers of diensten die dezelfde taak uitvoeren. In het ideale scenario moet je, naast het principe van de minste privileges, ook het principe van tijdigheid implementeren; dat wil zeggen dat rechten moeten worden verleend voor de exacte periode dat ze nodig zijn. Beheerders krijgen bijvoorbeeld alleen op hoog niveau toegang tot een server wanneer ze noodzakelijk onderhoud aan de server uitvoeren, waarna hun rechten automatisch worden teruggezet naar basis.

Centralisatie en controleerbaarheid. Het doel moet zijn om de accountdatabase te centraliseren en het verificatieproces eenduidig te maken met behulp van SSO (eenmalige aanmelding). Alle fasen van zowel verificatie als autorisatie moeten zorgvuldig worden bijgehouden en het toevoegen, wijzigen of verwijderen van accounts moet zorgvuldig worden gereguleerd en gedocumenteerd. Dit verkleint het risico op het schenden van andere identiteitsbeveiligingsprincipes aanzienlijk. Bovendien kan het bedrijf met een gecontroleerd en gecentraliseerd verificatieportaal cyberaanvallen eerder en effectiever detecteren door afwijkingen te identificeren die kenmerkend zijn voor hackeractiviteiten.

Het implementeren van accountbeveiliging en beheer van bevoorrechte toegang is een belangrijke stap in het bouwen van een ‘zero trust’-architectuur voor informatiebeveiliging.

Accountbeveiliging vanuit het standpunt van de werknemers

Goed ontwikkelde accountbescherming maakt de zaken niet ingewikkeld; integendeel, deze vereenvoudigt het leven van werknemers. Ten eerste gebruiken ze dezelfde inlogmechanismen voor de meeste zakelijke diensten, of het nu gaat om interne bestandsportalen, cloudgebaseerde rapportagesoftware voor zakenreizen of andere IT-systemen. Het is niet nodig om meerdere wachtwoorden te onthouden of de ochtend te beginnen door in te loggen op tig verschillende accounts. Bovendien wordt het vergeten van referenties veel minder een probleem. Dit verhoogt de productiviteit van het hele team.

Ten tweede kan een verificatiesysteem op basis van risicoprofielen de gebruiker niet meer storen dan nodig is. Dit betekent in feite dat werknemers, nadat ze vanaf hun gebruikelijke werkstation zijn ingelogd op het bedrijfssysteem, aan het begin van de werkdag eenmalig een token kunnen gebruiken om de computer te ontgrendelen en daarna helemaal geen tijd meer aan beveiliging hoeven te besteden. Tegelijkertijd kunnen pogingen om ongebruikelijke acties uit te voeren of verzoeken om toegang tot belangrijke informatie resulteren in meerdere aanvullende controles.

Ten derde vereenvoudigt identiteitsbeveiliging het werken op afstand en de samenwerking met externe contractanten. Wanneer ze niet op kantoor zijn, hebben werknemers, misschien met behulp van een persoonlijk apparaat, nog steeds toegang tot bedrijfsdiensten in overeenstemming met het bedrijfsbeleid. Het klopt dat de lijst met controles en het toegangsniveau kan variëren.

Voordelen van identiteitsbeveiliging

Veilige omzetting naar de cloud. Heel wat zakelijke IT-diensten worden geleverd via openbare clouddiensten (Microsoft 365, Salesforce) of hybride clouds, terwijl de toegang daartoe vaak minder gereguleerd en veilig is dan traditionele middelen op de servers van het bedrijf. Een geïntegreerde benadering van accountbescherming voor alle IT-diensten vermindert het risico op hacken en versnelt de invoering van digitale diensten die het bedrijf ten goede komen.

Verhoogde productiviteit van werknemers. Werknemers hoeven niet in alle systemen accounts aan te maken en elke dag tijd te besteden aan het inloggen en het wijzigen van wachtwoorden elk kwartaal. Op bedrijfsniveau betekent dit tastbare tijdsbesparing — tijd die in plaats daarvan kan worden besteed aan productief werk.

Minder werkdruk en bijbehorende kosten. Een aparte opmerking is de aanzienlijke vermindering van de werkdruk op IT- en cyberbeveiligingsafdelingen, die alle accounts centraal kunnen beheren en zich geen zorgen meer hoeven te maken over tienduizenden wachtwoorden. In sommige bedrijven vormen wachtwoordgerelateerde verzoeken aan de helpdesk tot wel 40% van alle verzoeken aan IT-specialisten. Overschakelen naar gecentraliseerde accountbescherming verlaagt dit cijfer aanzienlijk. Bovendien maakt het hebben van een gestandaardiseerde levenscyclus van accounts het veel gemakkelijker om werknemers aan te nemen, te ontslaan of over te plaatsen — de vereiste machtigingen worden automatisch toegewezen en ingetrokken.

Minder regelgevingsrisico’s. In veel landen beginnen regelgevers op het gebied van informatiebeveiliging strenge eisen te stellen aan bedrijfsbeveiligingssystemen — deels uit bezorgdheid over de persoonlijke gegevens van werknemers en klanten. Een gecentraliseerd identiteitsbeveiligingssysteem vermindert niet alleen het risico op een succesvolle cyberaanval, maar zorgt er ook voor dat iedereen in het bedrijf zich houdt aan goedgekeurde veilige praktijken met betrekking tot wachtwoorden, werken op afstand en andere gebieden. Zo weet je zeker dat een plotselinge controle door de toezichthouder niet leidt tot een fikse boete.

Tips