Cybersecurity softwarePremium

De herontdekking van informatiebeveiliging

identiteit en toegang scheiden

De wereld is veranderd, bedrijfsprocessen veranderen en de informatievoorziening is veranderd. Daardoor moet ook de beveiliging hiervan veranderen, meent André Koot
De wereld is veranderd, bedrijfsprocessen veranderen en de informatievoorziening is veranderd. Daardoor moet ook de beveiliging hiervan veranderen, meent André Koot

Het is opvallend hoe vaak we horen over security-incidenten en datalekken, vooral vanuit oude(rwetse) informatiesystemen. Wat mij betreft, is het probleem niet zozeer dat die systemen niet deugen, maar eerder dat de beslissingsbevoegdheid voor toegang heel vaak verkeerd is belegd. Dat is natuurlijk van oudsher ontstaan, toen ICT-afdelingen de systemen ontwikkelden. Maar dat wil niet zeggen dat dit zo moet blijven. Integendeel, de bedrijfsvoering (de 'business') moet weer de zeggenschap krijgen. En daarbij moeten er misschien wel alternatieve wegen worden bewandeld.

niet schaalbaar

Vroeger werd een systeem gebouwd om gegevens te beheren, waarbij iemand voor het gebruik van dat systeem een account kreeg en waar een beheerder aan die gebruiker de rechten toekende. Dat leidde tot enorme fragmentatie van accounts in verschillende systemen om processen te kunnen uitvoeren. Tegenwoordig doen we het anders. We kopen nieuwe, cloud-gebaseerde diensten en verlenen mensen met één enkele Azure-account via single sign-on toegang tot al die diensten en gegevens.

'Wie' is niet schaalbaar

En dan nog gaat het fout. We zijn weliswaar af van dat accountmanagement en wachtwoordenbeheer, maar de toegang is nog steeds niet opgelost. De reden is dat we nog steeds in mensen, systemen en diensten denken. We kopen een systeem of een dienst om onze medewerkers te helpen met onze processen. Maar dat is niet meer schaalbaar. Probeer maar eens om aan businesspartners, klanten en leveranciers toegang te verlenen. De verleiding is groot om dat op traditionele manieren te doen; om op een traditionele manier onze informatie te beveiligen. Toegangsbeheer vanuit de optiek van accounts en systemen is niet schaalbaar.

BEVEILIGEN VAN INFORMATIE

Dat moet anders. We moeten niet meer denken vanuit de traditionele kaders, maar vanuit de processen en gegevens die worden verwerkt. Niet aan wie toegang mag hebben tot processen en gegevens ('wie' is niet schaalbaar), maar waarom of onder welke voorwaarden iemand toegang zou mogen hebben om de beveiligde informatie te kunnen gebruiken. Dan komen we bij de kern van informatiebeveiliging: de informatie moeten we beveiligen, niet de gebruikers. Op grond waarvan mag iemand een proces of een informatie-element gebruiken?

Dat kan van alles zijn. Denk maar aan competenties van de gebruikers (junior versus senior), het betrouwbaarheidsniveau van de persoon (bijvoorbeeld afkomstig van een betrouwbare partner, met multifactorauthenticatie), bedrijfsregels rondom belangenverstrengeling (iemand mag niet zijn eigen objectgegevens afhandelen, bijvoorbeeld een eigen declaratie) of een 'key control' als functiescheiding (als iemand taak 3 heeft uitgevoerd, mag die persoon niet ook taak 4 afhandelen).

Maar het gaat hierbij dus niet over: wie ben je, wat is je rol, wat is je profiel, wat mag je? Het gaat over: waarom zou je dit mogen? Het is een omgekeerde vraagstelling. Natuurlijk moeten we wel nog steeds weten wie iets gedaan heeft, maar dat is gewoon standaard logging en monitoring. Dat kennen we al.

TOEGANGSBELEID

De meeste traditionele systemen zijn daar echter niet echt voor gemaakt. Er zijn meer knelpunten dan datalekken die het resultaat zijn van onhandige toegangsfaciliteiten. Op termijn moeten we terug naar beveiliging van informatie, juist omdat we die gebruiker zelf misschien niet eens meer kennen. En dat moment is er sneller dan we misschien wel denken: denk maar eens aan het ontsluiten van API's en machine-to-machinecommunicatie. Denk maar eens aan een Zero Trust Architectuur. In die omgevingen bestaan er geen accounts meer, er is alleen toegang.

Toegang verlenen op basis van andere kenmerken dan gebruikersnamen en rollen

Dat betekent dat we op grond van die ontwikkeling identiteit en toegang moeten scheiden. En dat betekent dat we op basis van toegangsbeleid, op basis van 'access policies', toegang verlenen. Gebruikmakend van allerhande andere kenmerken dan gebruikersnamen en rollen. Attribute-Based Access Control, Policy-Based Access Control in plaats van Role-Based Access Control.

Nieuwe uitgangspunten

Dit zal dan ook geen eenvoudige transitie zijn. Dit vergt een nieuwe visie en strategie; niet alleen voor het gebruik van systemen, maar ook voor de ontwikkeling en aanschaf van nieuwe systemen. Er moeten nieuwe uitgangspunten worden gehanteerd. De belangrijkste nieuwe eis is daarbij wel dat in de toekomst toegang tot informatie zal worden geborgd door Access Policies en dus niet meer door traditionele accounts en rollen.

Over de auteur
André KootAndré Koot is principal IAM-consultant en mede-oprichter van SonicBee.

Hij heeft 25 jaar ervaring in het Cyber Security-domein, waarbij hij zich de laatste 20 jaar specifiek richtte op Identity and Access Management (IAM). Hij is een internationaal erkende topexpert in dit gebied.

Koot levert een actieve bijdrage aan het IAM-domein, onder meer in zijn rollen als bestuurslid van Cloud Security Alliantie NL Chapter, als lid van commissie IDpro en als lid van adviesraad Identity.Next.

Proef ons gratis!Word één maand gratis premium partner en ontdek alle unieke voordelen die wij u te bieden hebben.
  • checkwekelijkse newsletter met nieuws uit uw vakbranche
  • checkdigitale toegang tot 35 vakbladen en financiële sectoroverzichten
  • checkuw bedrijfsnieuws op een selectie van vakwebsites
  • checkmaximale zichtbaarheid voor uw bedrijf
Heeft u al een abonnement? Klik hier om aan te melden
Registreer je gratis

Al geregistreerd of abonnee?Klik hier om aan te melden

Registreer voor onze nieuwsbrief en behoud de mogelijkheid om op elk moment af te melden. Wij garanderen privacy en gebruiken uw gegevens uitsluitend voor nieuwsbriefdoeleinden.
Geschreven door André Koot

Meer weten over

cybersecurity software
ALUMINIUM 2024Save the date en koop een ticket voor ALUMINIUM – het platform voor de industrie!Meer infochevron_right

Gerelateerde artikels

Interview met despina spanou

Cybersecurity is een hot topic. meerdere incidenten wijzen ons voortdurend op de ingrijpende gevolgen die een aanval kan hebben. we hadden een gesprek met specialiste despina spanou, die bij de europese commissie vooropgaat in de strijd.

Cybersecurity in 6 stappen

Cybercriminaliteit is al lang voorbij het stadium waarin ze grote bedrijven en banken als doelwit uitkozen. iedereen kan het slachtoffer worden. dankzij dit stappenplan voor cybersecurity kan u uw bedrijf beter beschermen.

Cybersecurity op de helling door internet of things

Cybersecurity is meer dan ooit een belangrijk issue, nu onze toestellen steeds vaker met elkaar verbonden worden. maar daar loopt het vaak verkeerd. de grootste fout? denken dat het u niet kan overkomen. hackers zitten overal, hun beweegredenen zijn zeer divers en de schade die ze kunnen aanrichten, is enorm. beschermen is dus de boodschap, maar dat moet veel verder gaan dan een virusscanner en een firewall.

Bescherm uw bedrijf tegen cyberaanvallen en doe het nu!

In een eerdere editie van ons magazine wezen we in deze rubriek al op de dringende nood aan meer bewustwording en -making rond cybercrime. enkele recente voorvallen bewijzen dat het geen holle woorden waren. miljoenenverliezen dreigen voor degenen die zich laten vangen!

Print Magazine

Recente Editie

Nu lezen

Ontdek de nieuwste editie van ons magazine, boordevol inspirerende artikelen, diepgaande inzichten en prachtige visuals. Laat je meenemen op een reis door de meest actuele onderwerpen en verhalen die je niet wilt missen.

In dit magazine