Door: Tjeerd Seinen, Identity Management Expert & co-founder Tools4ever
Beheer en autorisatie van IT-omgevingen betekent risico op menselijke fouten, onnodige werklast en veel onderhoud. In een tijd waar de hoeveelheid data blijft toenemen en we regelmatig lezen dat een (grote) organisatie gehackt is, is het belangrijk dat u veilig omgaat met (toegang tot) uw data en applicaties. Verdeel uw aandacht over hardware, software en het trainen van uw collega’s.
Software
Het is belangrijk voor een organisatie dat alleen de medewerkers toegang hebben tot datgene wat voor hen relevant is, dit noemen we ook wel het least privilage principe. Niet iedereen heeft bijvoorbeeld toegang tot uw CRM-applicatie nodig. Zo beveiligt u als organisatie uw klantgegevens en zorgt u ervoor dat er alleen mensen bij kunnen die hier ook echt iets mee te maken hebben. Identity Access Management-software (IAM) zorgt bijvoorbeeld voor gestandaardiseerd en eenvoudig beheer van user accounts en toegangsrechten in uw netwerk. IAM helpt zo bedrijfsdata en -applicaties te beschermen.
De drie belangrijkste voordelen van een IAM-systeem
Daarnaast is het belangrijk te controleren of iemand daadwerkelijk de persoon is die hij/zij claimt te zijn. Op een smartphone heeft u bijvoorbeeld, naast een wachtwoord, ook vaak een biometrische lock zoals gezichtsherkenning of een vingerafdruklezer. Deze toevoeging maakt het veel lastiger om in iemands telefoon te komen, omdat u dan ook iemands gezicht of vingerafdruk nodig hebt. Er zijn ook mogelijkheden uw IT-systeem op een dergelijke manier te beveiligen: Two-Factor Authenticatie.
Er kan ook gebruik worden gemaakt van IP whitelisting. Hierbij geeft u bijvoorbeeld aan dat iemand alleen gebruik kan maken van data/applicaties als hij/zij op kantoor is.
Tot slot kan er gekeken worden naar hoe iemand zich normaal gesproken tijdens zijn werk gedraagt. Daardoor kan afwijkend gedrag worden herkend en kan er waar nodig actie worden ondernomen. Stel iemand werkt normaal gesproken op maandag, donderdag en vrijdag. Als er opeens activiteit wordt geregistreerd op woensdag dan is dat gek en wijkt dat af van het normale gedragspatroon, want dan werkt diegene nooit. De toegang zou dan geweigerd kunnen worden.
Er zijn dus verschillende softwaretechnieken die u kunt gebruiken om toegang te krijgen tot data en apps. Door de juiste restricties in te bouwen verhoogt u de veiligheid van uw IT-omgeving.
Hardware
Ook de juiste inzet van hardware helpt om de beveiliging van data en applicaties te verhogen, middels Two-Factor Authenticatie (2FA). De naam zegt het al: 2FA is een authenticatiemethode waarbij twee stappen succesvol doorlopen moeten worden om ergens toegang toe te krijgen. Er zijn verschillende manieren om deze dubbelcheck te doen.
Vaak wordt een smartphone gebruikt voor 2FA. Maar bijvoorbeeld in de zorg (of medewerkers van een gemeente) krijgen niet altijd een telefoon van hun werkgever. Dan is het handig als er andere opties voor 2FA zijn. Uiteraard is beveiliging ook hier belangrijk, want het gaat om gevoelige persoonsgegevens.
Training
Naast software en hardware is training een belangrijke factor om data en applicaties te beschermen. Cybercriminelen richten zich op gebruikers door bijvoorbeeld een phishing e-mail te versturen die vaak niet van echt te onderscheiden is. Datalekken worden zo vaak veroorzaakt door het eigen personeel.
Omdat dit grote gevolgen kan hebben voor data en privacy is het belangrijk om medewerkers hierin te trainen. Dat kan een korte sessie zijn met tips als ‘Laat uw wachtwoord niet slingeren’, ‘Log uit als u bij uw pc weggaat’ en ‘Gebruik niet zomaar elke USB-stick’. Laat ook niet uw laptop in uw auto liggen en al helemaal niet als deze nog aan- of op slaapstand staat. Dit signaal kan getraceerd worden, waardoor dieven deze laptop weten te vinden en uiteindelijk bij belangrijke data en apps kunnen. Een dergelijke training hoeft u als organisatie niet zelf te ontwikkelen. Zo bestaan er certificeringsprogramma’s en security-awarenesstrainingen voor uw medewerkers zodat ze weten waar ze op moeten letten.