Implementatietips voor identity & access management
Tegen de achtergrond van groeiende digitalisering is het belang van identity & access management (IAM) de laatste jaren almaar toegenomen. Ondanks de groeiende aandacht worstelen veel organisaties echter nog volop met de implementatie van IAM. Acht aandachtspunten om rekening mee te houden voor een succesvolle IAM-implementatie.
De dienstverlening van organisaties wordt in hoog tempo gedigitaliseerd. Medewerkers kunnen werken op andere locaties en buiten werktijd. Dag en nacht zijn cybercriminelen – zowel individueel als georganiseerd – op zoek naar gaten in de digitale beveiliging van organisaties. Om deze 24/7-bedreigingen het hoofd te bieden nemen organisaties tal van maatregelen, waaronder het opschroeven van hun IT-investeringen in beveiligingssoftware.
Identity & access management
Processen voor identity & access management (IAM) vormen de kern van de informatiebeveiliging van organisaties. IAM kan worden gezien als een raamwerk van bedrijfsprocessen, beleid en technologieën dat het beheer van digitale identiteiten en toegangsrechten faciliteert. Wanneer een IAM-oplossing is geïmplementeerd kunnen IT-managers en security officers controleren welke personen binnen de organisatie toegang hebben tot welke specifieke systemen en informatie.
De uitvoering van IAM-activiteiten wordt ondersteund door speciale software die zaken als gebruikersbeheer, autorisatie, authenticatie, monitoring en auditing mogelijk maakt. Bekende IAM-oplossingen zijn One Identity, Okta, OneLogin, SAP Cloud Identity & Access Governance, Ping Identity, Centrify, Microsoft Azure Active Directory, Oracle Identity Governance suite en IBM Security Identity Governance & Intelligence Suite. Steeds meer IAM-oplossingen komen als cloud services beschikbaar.
Door de toenemende vraag naar betere informatiebeveiliging heeft de markt voor IAM-diensten en -oplossingen een sterke vlucht genomen. Volgens een vooraanstaand Amerikaans onderzoeksbureau groeit de markt de komende vijf jaar met een samengesteld groeipercentage (CAGR) van 13% – van $11 miljard vorig jaar naar $25 miljard in 2025.
Veel van deze uitgaven leveren echter (nog) niet de gewenste resultaten op, ook niet in Nederland. De vraag die rijst is ‘waarom niet?’ Douwe van der Meer van Voogt Pijl & Partners is adviseur op het gebied van IAM. Hij is als manager en als adviseur betrokken geweest bij diverse IAM-implementatietrajecten. Hij stelt dat er verschillende organisatorische en technische factoren zijn die maken dat dergelijke trajecten complex zijn. Van der Meer deelt enkele implementatietips voor een beter identity & access management, gebaseerd op zijn ervaring, en stipt enkele belangrijke IAM-aandachtspunten aan voor organisaties, privacy officers, CIO’s en andere verantwoordelijken.
1: Identity
Van der Meer noemt drie uitdagingen op het gebied van identity management. Hierbij draait het om de persoonlijke legitimatie van een gebruiker. Tegenwoordig vindt deze legitimatie in toenemende mate plaats door het aanwenden van moderne methoden als vingerafdrukscans, gezichtsherkenning en andere technologie-gedreven controles.
Gemakzucht in de dagelijkse operatie
Een belangrijke uitdaging bij identity management is het gemakzuchtig handelen in de omgang met gevoelige informatie. Interne audits wijzen nog vaak genoeg uit dat een lakse houding kan leiden tot risicovolle situaties, zoals fraude of misbruik van systemen en/of data. Dit kan gebeuren doordat de identiteitsgegevens van een medewerker – al dan niet bewust – in handen zijn gekomen van iemand anders, bijvoorbeeld doordat wachtwoorden of pasjes zijn uitgewisseld of openlijk rondslingeren, of doordat gebruikers van een systeem ten onrechte de toegangsrechten aan een andere gebruiker overdragen.
Volgens Van der Meer ligt de oorzaak voor gemakzuchtig gedrag veelal in “irritatie over slecht ingerichte administratieve processen”. De meest effectieve manier om deze gemakzucht te verminderen is dan ook het verbeteren van deze processen, aldus de VP&P adviseur. “Maar”, zo voegt hij toe, “ook gerichte voorlichting is periodiek nodig, met concrete voorbeelden van de risico’s.” Dergelijke voorlichting komt tegenwoordig steeds vaker in de vorm van e-learnings.
Slechte koppelingen met HR-systemen
In de dagelijkse IAM-operatie gaat het vaak mis bij personele mutaties, vertelt Van der Meer. “Bij vertrek van een medewerker moeten de toegangsrechten direct worden verwijderd om te voorkomen dat die medewerker na zijn vertrek nog bij (vertrouwelijke) informatie kan.” Maar ook bij een verandering van een interne rol binnen de organisatie is het van belang dat deze mutatie goed in de IAM-omgeving wordt verwerkt. De praktijk leert echter dat het aanpassen van gebruikersrechten nogal eens wordt vergeten of te laat wordt uitgevoerd, waardoor bepaalde mensen meer toegangsrechten hebben dan de bedoeling is.
Een goede, geautomatiseerde koppeling tussen de HR-administratie en de IAM-omgeving is dan ook cruciaal, “zodat alle personele mutaties één-op-één leiden tot aangepaste toegangsrechten”. En daar ligt volgens de adviseur het probleem – zo’n koppeling ontbreekt veelal, waardoor veel handmatige acties nodig zijn. Dat kan zorgen dat wijzigingen te laat of onvolledig worden doorgevoerd, met als gevolg een groter risico op misbruik. Ook maakt dit het IAM-complianceproces uitdagender, aangezien er bij handmatige handelingen – in tegenstelling tot een automatische koppeling – ook inhoudelijk gecontroleerd moet worden of toegangsrechten wel juist toegekend zijn.
Voor effectief identity management moeten volgens Van der Meer drie HR-aspecten op orde zijn: “Een goede screening van nieuwe medewerkers, een personeelsadministratie die real-time op orde is en één unieke digitale identiteit per medewerker.”
Gemak versus veiligheid
Een laatste factor die van belang is als het gaat om goed identity management ligt op het gebied van authenticatie, oftewel het controleren van de identiteit van een gebruiker. Van der Meer stelt dat het gebruik van wachtwoorden in combinatie met gebruikersnamen, “geen adequate bescherming biedt bij de toegang tot vertrouwelijke data en systemen”. Deze zijn, zo legt hij uit, relatief eenvoudig te kraken. Gebruikers dwingen om hun wachtwoord regelmatig aan te passen leidt echter vaak tot irritatie en in veel gevallen wordt het nieuwe wachtwoord onzorgvuldig gekozen.
Een betere manier van authenticatie is volgens de adviseur ‘multi-factor identificatie’, waarbij gebruik wordt gemaakt van een ‘token’ om toegang te krijgen, bijvoorbeeld een smartcard of scanner. Het gebruik van dergelijke twee-traps authenticatie kan bij gebruikers echter ook tot ergernis leiden, aangezien een gebruiker deze fysieke tokens altijd bij zich dient te dragen. Aan een dergelijke oplossing kan bovendien een duur prijskaartje hangen, wanneer bijvoorbeeld laptops of toetsenborden smartcard-ready gemaakt dienen te worden.
Volgens Van Meer dienen managers verantwoordelijk voor identity management de juiste balans vinden tussen gebruikersgemak en veiligheid. Een mogelijke oplossing die hij in dit kader noemt is de zogeheten ‘single sign-on’-methode (SSO), waarbij een gebruiker zich in één keer registreert voor alle te gebruiken systemen. De operationele beschikbaarheid van SSO-tooling vergt wel extra aandacht, stelt Van der Meer: “Zonder deze ‘sleutel van de voordeur’ kunnen gebruikers immers geen enkel systeem gebruiken.”
2: Access
Naast deze drie aandachtspunten op het gebied van identity management, identificeert Van der Meer vijf uitdagingen op het gebied van access management. Hierbij draait het om de toegangsrechten van een gebruiker tot de systemen en data van een organisatie.
Bestuurlijke en operationele aandacht
Organisaties geven volgens Van der Meer vaak te weinig prioriteit aan een IAM-inrichting en stellen onvoldoende budget beschikbaar. Hij geeft aan dat het belangrijk is dat IAM ook in de bestuurskamer wordt belegd, want “zonder bestuurlijk eigenaarschap en voldoende risicobewustzijn in de dagelijkse operatie, is IAM gedoemd te mislukken”. Dan bestaat het risico dat medewerkers elkaar soms onderhands toegangsrechten toewijzen. Of managers keuren personele wijzigingen ‘blind’ goed, zonder na te denken over mogelijke incorrecte toegangsrechten.
De juiste balans
Het is daarnaast essentieel om in het toekennen van access management-rechten de juiste balans te vinden. Te veel rechten leiden tot een fors risico: “Als bedrijf wil je voorkomen dat medewerkers ongemerkt geld overmaken naar een eigen rekening. Of dat zij onterecht inzage hebben in de persoonlijke informatie van klanten”, aldus Van der Meer. Maar te weinig toegangsrechten kunnen net zo goed problemen opleveren: “Het schrikbeeld is een arts op de eerste hulp die in levensbedreigende situatie geen directe inzage heeft in het dossier van een hartpatiënt”, legt de VP&P-adviseur uit.
“Het is essentieel om in het toekennen van access management-rechten de juiste balans te vinden.”
Complex systemenlandschap
Hij vertelt hoe vooral in de financiële sector, de gezondheidszorg en overheidssector veel organisaties te maken hebben met een “complex systemenlandschap”, waarin oude en moderne systemen veelal naast elkaar draaien. Dit leidt vaak tot handmatige activiteiten in de verschillende HR-systemen, operationele systemen en IAM-tools, wat misbruik in de hand kan werken en moeilijk te checken is. Binnen dit systemenlandschap is het dan ook belangrijk dat slechts een beperkt aantal mensen vergaande rechten (‘privileged accounts’) heeft voor de verschillende risicovolle systemen en databases. Als oplossing noemt Van der Meer het “strak managen van het gebruik van die rechten”, via digitale kluizen en uitgebreide monitoring.
Aantoonbaarheid compliance
Accountants en toezichthouders hebben de taak om te controleren of een bedrijf een integere bedrijfsvoering heeft en dat de jaarrekening klopt. Misbruik van data en fraude in systemen zijn daarin bekende risico’s. Goed functionerende IAM-oplossingen moeten die risico’s minimaliseren. Het is voor bedrijven, zo stelt Van der Meer, echter “niet altijd gemakkelijk om het goed functioneren van hun IAM processen aan te tonen”. Dat komt onder meer door de grote hoeveelheid handmatig werk en bijvoorbeeld doordat IAM-compliance niet is verankerd binnen de operationele processen. Dit kan leiden tot “een onnodig groot risico” op serieuze tekortkomingen, aldus Van der Meer.
Bedrijven dienen daarom een antwoord te hebben op tal van vragen: Kan worden aangetoond dat er niets buiten het voorgeschreven IAM-proces plaatsvindt? Worden checks uitgevoerd op ongewenste combinaties van toegangsrechten? Weten managers welke toegangsrechten hun medewerkers hebben? In welke mate worden IAM-risico’s met preventieve checks afgedekt?
Organisatorische veranderingen
Tot slot legt Van der Meer uit hoe trends als de toenemende digitalisering en opkomende concurrentie bij bedrijven hebben geleid tot organisatorische aanpassingen, zoals “centralisatie van bedrijfsprocessen of een integratie van bedrijfsonderdelen, of meer samenwerking met derden”.
Hierdoor groeit ook de benodigde aandacht voor IAM en het in de nieuwe situatie op de juiste wijze inrichten van toegangsrechten voor alle medewerkers. De transitie van IT-oplossingen naar de cloud of het uitbesteden van andere bedrijfsprocessen naar derden, zijn enkele voorbeelden hiervan. IAM-managers dienen zich dan bijvoorbeeld af te vragen: Wie mag welke activiteiten uitvoeren en welke toegangsrechten zijn daarvoor nodig? Hebben de outsourcingpartner en eventuele onderaannemers toegang tot klant- of financiële data?
Bovendien, aangezien er vandaag de dag steeds vaker met agile teams wordt gewerkt, zijn activiteiten van medewerkers veelal niet langer gescheiden, zoals in oude organisatievormen. “Deze functiescheiding was één van de pijlers voor het inrichten van IAM”, legt Van der Meer uit. “In de agile teams vormen business, IT en risk één team. Dit team heeft de verantwoordelijkheid voor zowel de dagelijkse operatie als het implementeren van veranderingen.” Aangezien medewerkers van agile teams veelal meer rechten krijgen toegewezen neemt de kans op misbruik en fraude toe, waarschuwt Van der Meer: “Dit vraagt om extra aandacht voor IAM tijdens het implementeren van agile werkwijzes.”
