Cyber risk

Identity & Access Management: 4 quick wins

People silhouette
Door:
insight featured image
Identity & Access Management (IAM) lijkt misschien alleen bedoeld voor grote organisaties. Ook voor kleinere organisaties is het juist belangrijk processen en tools in kaart te brengen voor het beheren van toegang tot applicaties en systemen. Hoe kan u, ook als ondernemer van een kleine organisatie, eenvoudig inzicht en controle krijgen op wie toegang heeft tot welke applicaties en data?
Onderwerpen

Voor veel organisaties is informatie het belangrijkste en waardevolste bezit. Wat zou het met de bedrijfsvoering zou doen als alle computersystemen uitvallen of als gegevens in verkeerde handen vallen. Bij de meeste organisaties valt bij een storing of cyberaanval de bedrijfsvoering grotendeels stil. Hoelang kan uw organisatie in zo’n geval overleven? Zorg dat u dit voorblijft door onderstaande quick wins binnen uw organisatie toe te passen:

1. Wat zijn uw kroonjuwelen?

Breng in kaart welke applicaties, data en systemen kritiek zijn voor uw bedrijfsvoering. Er zijn verschillende methoden om deze te classificeren. Zo krijgt u inzicht in welke de belangrijkste zijn om goed te beschermen.

2. Wie is waarvoor verantwoordelijk?

Leg vast wie verantwoordelijk is voor het correct uitvoeren van de processen, het naleven van beleid, de controles op de uitvoering en wie verantwoordelijk is voor het goedkeuren en intrekken van toegang tot applicaties, data en systemen. Doet u dat niet, dan is het risico groot dat processen niet goed worden gevolgd en beleid niet altijd wordt nageleefd.

3. Wie heeft waar toegang?

Nu u weet welke middelen u extra goed moet beschermen, moet u zorgen voor een eenvoudige basis om dit mogelijk te maken. Er zijn verschillende manieren om meer inzicht te krijgen in wie waar toegang toe heeft en om vast te stellen of dit ook echt nodig is:

Beperk autorisatie

Ga bewust om met het uitdelen van autorisaties tot applicaties, data en systemen. Bepaal of een werknemer de toegang echt nodig heeft om zijn/haar werkzaamheden uit te voeren. Het inzien van een lijst met namen van klanten kan misschien wel voor al uw werknemers toegankelijk zijn. Echter, zijn alle details van uw klanten alleen relevant voor die werknemers die hier uit hoofde van hun functie mee moeten werken. Een receptioniste die een notitie bij de klant wil maken, hoeft bijvoorbeeld niet in te zien hoeveel omzet deze klant verzorgt of dat deze een betaalachterstand heeft.

Dubbele authenticatie

Zorg voor een goede methode van authenticatie. Het is belangrijk om vast te stellen dat iemand ook daadwerkelijk de persoon is die hij of zij zegt te zijn. Een voorbeeld hiervan is het gebruik van een gebruikersnaam en wachtwoord om in te loggen in een systeem. Het is veiliger om voor authenticatie minimaal 2 van onderstaande methoden te gebruiken:

  • Iets dat je weet: bijvoorbeeld een wachtwoord of pincode.
  • Iets dat je hebt: bijvoorbeeld een token, een sms-code naar je telefoon of een sleutel.
  • Iets dat je bent: bijvoorbeeld een vingerafdruk of gezichtsherkenning op je telefoon.

Identiteitenbeheer

Uw werknemers hebben een digitale identiteit. Zorg ervoor dat u alle accounts kan herleiden naar een specifieke werknemer. Zo stelt u bij elke actie of transactie vaststellen wie daadwerkelijk een mutatie uitvoerde. Dat inzicht heeft u niet als u generieke accounts gebruikt die niet naar een specifieke werknemer te herleiden zijn.

Proces instroom, doorstroom en uitstroom

Zorg voor een goed gestandaardiseerd proces voor in-, door- en uitstroom van uw werknemers. Hierin heeft de personeelsadministratie een belangrijke rol. Het is belangrijk om de accounts en toegangen van uw werknemers op deze momenten te herzien. Bij vertrek van een medewerker is het uiteraard belangrijk om zijn of haar accounts en toegangen zo snel mogelijk te blokkeren of verwijderen.

4. Voer controles uit

Voer periodiek controles uit op toegang die uw werknemers hebben. Controleer bijvoorbeeld per account of de betreffende werknemer nog bij uw organisatie in dienst is en of deze inmiddels wellicht een andere functie heeft gekregen. Daarnaast kan u per applicatie of systeem periodiek controleren of alle werknemers met toegang dat nog nodig hebben voor hun functie.

Hulp nodig?

Het belang van een goed beleid en een goede uitvoering van toegangsbeheer is hiermee wel duidelijk. Denk hier zelf goed over na en kom met oplossingen die passen bij uw organisatie. Komt u hier zelf niet uit of heeft u behoefte aan een onafhankelijke specialist die met u meekijkt en advies kan geven? Onze specialisten hebben brede ervaring op dit gebied en beoordelen samen met u de huidige situatie om zo de belangrijkste aandachtspunten in de beveiliging van uw bedrijfsmiddelen inzichtelijk te maken.