3 manieren om Identity & Access Management software in te zetten voor audits

HIPAA, Basel II, SOx, NEN 7510, HKZ etcetera. Er zijn diverse normen, wet- en regelgevingen op basis waarvan organisaties worden getoetst. We spreken in dat geval van een audit en waarschijnlijk krijgt uw organisatie hier vroeg of laat mee te maken.

Ten tijde van zo’n audit moet u als IT-manager kunnen aantonen dat u uw IT volledig onder controle heeft. Dat betekent onder meer dat u:

  1. direct en altijd moet kunnen aantonen welke persoon wat in het netwerk mag en heeft gedaan (autorisaties en rapportage). Bijvoorbeeld welke medewerker(s) mag facturen goedkeuren en uitbetalen en wie heeft wanneer het wachtwoord van medewerker X gereset.
  2. een sterk wachtwoordbeleid moet invoeren.

De Identity & Access Management (IAM) oplossingen van Tools4ever bieden extra ondersteuning bij het naleven van wet- en regelgeving, te weten:

1.    Wie mag wat?
Role Based Access Control (RBAC) is een methode om het autorisatiebeheer binnen een organisatie in te richten en duidelijk te krijgen ‘wie wat in het netwerk mag’ en vooral ook ‘wie wat niet mag’. Volgens de RBAC-methode worden autorisaties niet op individuele basis toegekend, maar op basis van RBAC-rollen en die rollen zijn weer opgebouwd uit afdeling, functie, locatie en kostenplaats van een medewerker in een organisatie. De kans op fouten wordt verkleind doordat met RBAC acties en wijzigingen in het netwerk alleen gedaan mogen worden door mensen die hiervoor op basis van hun rol/functie geautoriseerd zijn.

Veel organisaties zijn bezig met RBAC in meer of mindere vorm: verkenning, project, implementatie, vulling of beheer. Tools4ever steunt tientallen organisaties bij het opstellen van een RBAC autorisatiematrix. Dit is een enorm arbeidsintensief, complex en kostbaar proces. Met behulp van slimme software van Tools4ever is het mogelijk om de vulling van de RBAC autorisatiematrix grotendeels geautomatiseerd te vullen.

Middels UMRA worden de zogenaamde organisatierollen (hoe staat een medewerker in het HR-systeem, met name functie, afdeling en kostenplaats) gematched met de technische rollen (applicaties en mappen) die momenteel binnen de organisatie bestaan. Tools4ever kan bij organisaties het HRM-systeem en netwerk naast elkaar leggen en analyseren welke gemiddelde autorisaties er per organisatierol in de huidige situatie zijn. De organisatie kan zelf bepalen welke HR-attributen worden gebruikt voor de organisatierol.

Het resultaat van een dergelijk matching kan zijn dat 90% van een bepaalde organisatierol (bv verpleger op de afdeling Cardiologie) bepaalde autorisaties heeft. Op basis van dat gegeven is het logisch om alle (nieuwe) medewerkers in deze rol automatisch deze autorisaties te geven. Door de dekkingsgraad leidend te maken voor het toekennen van autorisaties kan eenvoudig een eerste stap worden gemaakt met het vullen van de RBAC-matrix. Middels deze aanpak kunt u veel tijd en geld besparen.

Wilt u een eerste stap maken met RBAC? Heeft u hulp nodig bij het vullen van uw autorisatiematrix? Neem dan contact met ons op.

2.    Sterk wachtwoordbeleid
Het invoeren van een sterk wachtwoordbeleid (strong authorization) wordt door veel wet- en regelgevingen afgedwongen. Om een complexer wachtwoordbeleid te implementeren is het mogelijk om de complexiteitsregels binnen Windows Active Directory aan te zetten. Maar u moet zich afvragen of dit de complexiteit is die u daadwerkelijk wenst. En u moet zich realiseren dat dit grote consequenties heeft voor eindgebruikers.

De standaard Windows Active Directory password complexiteitregels zijn vaak niet afdoende. Systeembeheerders willen een flexibelere oplossing waarbij het bijvoorbeeld mogelijk is om zelf te bepalen wanneer welke regels worden toegepast. Voor deze organisaties biedt Tools4ever Password Complexity Manager (PCM). PCM biedt de mogelijkheid om meerdere beveiligingsniveaus voor verschillende type eindgebruikers te hanteren, gebaseerd op de functies en rollen binnen de organisatie.

Zoals gezegd heeft het invoeren van een strikter wachtwoordbeleid grote consequenties voor eindgebruikers en de organisatie zelf. Eindgebruikers dienen moeilijkere wachtwoorden te onthouden. Daar hebben zij moeite mee en dat leidt tot meer wachtwoord reset calls bij de helpdesk.

Om het aantal wachtwoord reset calls naar de helpdesk terug te dringen, biedt Tools4ever SSRPM (Self Service Reset Password Management) waarmee eindgebruikers zelf hun eigen wachtwoord kunnen resetten op basis van een aantal simpele, vooraf gedefinieerde vragen.

Een strikter wachtwoordbeleid heeft ook consequenties voor de productiviteit van medewerkers. Zij dienen immers veel meer complexe wachtwoorden voor al hun applicaties te onthouden en zijn daar niet content mee. Veel organisaties zetten daarom een SSO-oplossing in om de eindgebruiker tegemoet te komen.

Onze SSO-oplossing E-SSOM (Enterprise Single Sign On Manager) stelt eindgebruikers in staat om eenmalig in te loggen, waarna automatisch toegang wordt verschaft tot alle applicaties en resources in het netwerk zonder nogmaals in te hoeven loggen. E-SSOM werkt als een extra softwarelaag wat alle loginprocessen afvangt en de gegevens automatisch invult (automatic login). E-SSOM zorgt er tevens voor dat naast de Active Directory ook in alle achterliggende applicaties automatisch een sterk wachtwoord wordt gehanteerd.

Wanneer SSO niet wordt toegepast maar organisaties er toch voor willen zorgen dat eindgebruikers minder hinder ondervinden van een strikter wachtwoordbeleid, is Password Synchronization Manager (PSM) een geschikte oplossing. Password Synchronization Manager (PSM) zorgt ervoor dat eindgebruikers voor ieder systeem of applicatie hetzelfde wachtwoord hebben (Single Password) en houden. Wanneer het Active Directory wachtwoord van een eindgebruiker wordt gereset, zorgt PSM ervoor dat alle gekoppelde systemen en applicaties dit nieuwe wachtwoord ook ontvangen en instellen als nieuw wachtwoord.

Two-factor authenticatie
Wanneer het invoeren van enkel een sterk wachtwoordbeleid niet afdoende is (bijvoorbeeld omdat eindgebruikers wachtwoorden op papier zetten) dan is het mogelijk om sterkte (two-factor) authenticatie toe te passen. In plaats van de username/wachtwoord logt een gebruiker dan in door een pasje tegen een lezer te houden en een pincode in te voeren. Dit garandeert een sterk authenticatiemiddel. De ‘two factor authenticatie’ is immers gebaseerd op iets van de gebruiker heeft (de pas) en wat hij/zij weet (de pincode). De ID van het pasje wordt hierbij gekoppeld aan de credentials (username/wachtwoord) van de gebruiker in de Active Directory.

Het is ook mogelijk om sterke authenticatie uit te voeren zonder dat er extra hardware aangeschaft hoeft te worden. Het gebruik van smartphones wordt hierbij belangrijk. De smartphone biedt namelijk meerdere mogelijkheden voor authenticatie. Denk bijvoorbeeld aan gezichtsherkenning (via camera), stemherkenning (via geluidsopname) en plaatsbepaling (via GPS). Dit noemen wij Low Cost Authentication en is een volgende stap in ‘authenticatiewereld’.

Wilt u een sterk wachtwoordbeleid invoeren en uw medewerkers tegemoet komen door het bieden van Single Sign On of Self Service Reset Password? Neem dan contact met ons op.

3.    Automatische logging
De oplossingen van Tools4ever zorgen ervoor dat alle processen een audit trail achterlaten. Van iedere handeling wordt automatisch gelogd wie welke beheeractiviteit op welk moment heeft uitgevoerd. Dat betekent op ieder moment inzicht over de gelopen processen en de mogelijkheid om dit achteraf te beoordelen en te controleren. Goede registratie is een absolute voorwaarde voor een audit.

Geschreven door:

Tjeerd Seinen

Tjeerd Seinen is Identity Management Expert & co-founder van Tools4ever. Hij beschikt over zowel een technische als commerciële achtergrond en is daardoor in staat om kansen in de markt om te zetten in functionaliteiten voor producten en consultancy diensten.
Terug