Alle toegang beheren met HelloID? - Identity Management | Tools4ever
Alle toegang beheren met HelloID?

Alle toegang beheren met HelloID?

Door: Arnout van der Vorst

Het is inmiddels al zo’n 15 jaar geleden dat de Stuxnet-worm werd verspreid binnen het nucleaire complex Natanz in Iran via een gemanipuleerd usb-apparaat. De daders gebruikten die truc omdat het complex uit beveiligingsoogpunt volledig was losgekoppeld van andere digitale netwerken. Een online hack was simpelweg niet mogelijk.

Het is ongetwijfeld de beroemdste maar zeker niet de laatste hybride aanval met zowel fysieke als digitale kenmerken. Niet zo gek want vaak is het veel lastiger om online een goed beveiligd bedrijfsnetwerk binnen te dringen dan proberen het bedrijfspand binnen te komen en ergens een gemanipuleerd device in het netwerk te pluggen. Zoals onbewaakte papiercontainers vaak een ideaal startpunt vormen voor social engineering hacks; en een fysieke inbraak vaak begint met het platgooien van het cameranetwerk. Kortom, de grenzen tussen fysieke en digitale aanvallen vervagen.

Security convergence

Security convergence

Beveiligingsspecialisten herkennen dit risico en daarom is er tegenwoordig veel meer aandacht voor de samenhang tussen fysieke en digitale beveiligingsmaatregelen. Dit noemen we wel security convergence en het uitgangspunt ervan is dat je de beveiliging tegenwoordig als één geheel moet organiseren. Dat klinkt vanzelfsprekend maar de realiteit is dat dit tot nu toe altijd sterk gescheiden werelden waren; vaak vallen de fysieke beveiliging en de IT-beveiliging ook nog onder verschillende afdelingen.

Nu zijn er allerlei gebieden waar we de samenwerking tussen digitale systemen en fysieke beveiligingsmaatregelen kunnen verbeteren. Maar als Tools4ever zijn we natuurlijk vooral geïnteresseerd in wat je ‘access security convergence’ zou kunnen noemen. Want ook al worden zowel digitale als fysieke toegangssystemen steeds geavanceerder, ze worden meestal nog volledig apart beheerd. Met ons HelloID platform willen we die kloof graag helpen overbruggen.

fysieke toegangsbeveiliging

Vandaag de dag: gescheiden toegangsbeheer

Veel organisaties hebben vandaag de dag een moderne toegangsbeveiliging voor zowel hun IT-applicaties als voor hun fysieke locaties. Binnen IT-omgevingen beschik je naast wachtwoorden tegenwoordig vaak over Multi-Factor Authenticatie en biometrische methodes om de toegang te beveiligen. In het fysieke domein is tegenwoordig een gepersonaliseerde toegangsbadge wel het minste wat organisaties bieden; steeds vaker kun je toegang krijgen met een irisscan of via je smartphone.

Maar de échte uitdaging zit in het beheer van de individuele toegangsrechten. Hoe beheer je de toegang tot je eigendommen als jouw organisatie duizenden medewerkers telt, tientallen applicaties gebruikt en beschikt over meerdere locaties:

  • Gebruikersaccounts en toegangsrechten tot IT-systemen organiseren we dan meestal met een IAM-platform dat veelal aan de hand van iemands functie en afdeling accounts en toegangsrechten verstrekt. Zo borg je dat iedere medewerker altijd alleen toegang krijgt tot applicaties en gegevens die hij of zij nodig heeft voor de werkzaamheden. Een financieel medewerker krijgt dus vanuit zijn rol toegang tot de financiële systemen maar een IT-beheerder normaliter niet.
  • De fysieke toegangsbeveiliging wordt meestal beheerd vanuit een centraal systeem dat bijvoorbeeld toegangspasjes toekent aan gebruikers en ook de juiste toegangsrechten activeert op zo’n pasje. Zo bepaal je wie toegang krijgt tot welke gebouwen en ruimtes; en op welke dagen en tijdstippen. En of verschillende afdelingen eigen fysieke ruimtes hebben die niet toegankelijk zijn voor mensen uit anderen afdelingen.

Beiden gebruiken een centraal beheerplatform maar die zijn meestal niet gekoppeld. Wat gebeurt er dan als een medewerker een andere functie krijgt en van de finance afdeling overstapt naar het IT-team? Een IAM platform als HelloID zorgt dan automatisch dat de digitale rechten direct worden aangepast. Maar hoe werkt dat met je fysieke toegang? Daar is vaak nog een proces waarbij je via het ticketsysteem de beheerder van het pasjessysteem moet verzoeken de rechten aan te passen. Het risico is dus dat er zo mismatches ontstaan en dat mensen ongemerkt steeds meer fysieke rechten verzamelen.

Iam fysieke toegangsbeveiliging

HelloID om je security convergence te verbeteren?

Kunnen we dit niet verder professionaliseren door beide systemen te synchroniseren? Kunnen we met een centraal IAM platform niet zowel het beheer van digitale als fysieke toegangsrechten organiseren? Met HelloID kunnen we dat al en bieden we dit op twee niveaus:

  • Basis: Hierbij beheert het fysieke beveiligingssysteem nog zelf de gedetailleerde toegangsrechten per persoon. Wel zorgt ons IAM platform ervoor dat automatisch nieuwe medewerker accounts worden toegevoegd en geactiveerd in het systeem. En we zorgen ook dat bij beëindiging van het dienstverband de gebruiker weer wordt gedeactiveerd en uit het systeem verwijderd. Zo houden we het gebruikersbestand in het fysieke beveiligingssysteem altijd in sync met het actuele medewerkersbestand.
  • Geavanceerd: Hierbij worden ook de uitgifte van de fysieke toegangsrechten centraal geregisseerd vanuit het IAM platform. Zoveel mogelijk gebaseerd op iemands rol en andere attributen die het IAM platform ontvangt vanuit het HR-systeem. Iemand die werkt op de IT-afdeling krijgt dus automatisch toegang tot de IT-applicaties én de IT-afdelingsruimtes. Terwijl een financieel medewerkers juist automatisch toegang krijgt tot de financiële software en de verdere faciliteiten van de betreffende afdeling.

voorbeeld IAM en fysieke toegangsbeveiliging

Op deze manier kunnen we met één IAM omgeving alle toegangsrechten – fysiek én logisch – in samenhang beheren. We voorkomen niet alleen onnodige rechtenstapeling maar ook mismatches tussen fysieke en digitale toegangsrechten. Het maakt je als organisatie efficiënter, veiliger en aantoonbaar compliant.

Hoe werkt dit in HelloID?

Laten we dit iets concreter uitwerken. HelloID beschikt over een uitgebreide set aan connectoren om systemen te koppelen. Zo kunnen we HR-systemen koppelen als bronsysteem. Een HR-systeem registreert per medewerker bijvoorbeeld iemands functie en afdeling. Aan de hand daarvan kan HelloID vervolgens in verschillende doelsystemen – variërend van de Active Directory tot het CRM-systeem – de benodigde accounts aanmaken en autorisaties toekennen.

Onze connector catalogus is georganiseerd in verschillende categorieën en als je filtert op ‘IT-beheer en beveiliging’ vind je daar applicaties als Nedap AEOS, Dormakaba, iLOQ, iProtect en Salto Space. Voorbeelden van bedrijfstoepassingen die zich richten op gebouwenbeheer en fysieke beveiliging. Zo is Salto Space een geïntegreerd, intelligent toegangscontroleplatform voor de verschillende ruimtes binnen een gebouw. Het Salto systeem beheert de autorisaties van de gebruikers en organisaties kunnen naar wens kiezen voor de smartphone, een pincode of een keycard als toegangsmethode.

Met de Salto Space connector kan HelloID ervoor zorgen dat we de toegangsinstellingen in Salto Space synchroniseren met de informatie in het bronsysteem. Zo zorgen we ervoor dat medewerkers toegang krijgen tot die bedrijfspanden en ruimtes die passen bij hun rol en werkzaamheden. Voor verschillende groepen werknemers kun je ook toegangsgroepen configureren met een vastgestelde set rechten. Het beheer is zo vergelijkbaar met het rechtenbeheer van je bedrijfsapplicaties. Voor een nieuwe medewerker maakt HelloID automatisch een account aan in het systeem zodat hij of zij direct aan de slag kan. En wordt in het HR-systeem iemands functie aangepast dan zorgt HelloID automatisch dat ook de benodigde fysieke toegangsrechten worden aangepast. Zo zorgen we daadwerkelijk voor een volledig geïntegreerd fysiek en digitaal toegangsbeheer.

Meer weten over HelloID voor je fysieke toegangsbeveiliging?

Uiteraard vraagt het een goede voorbereiding om je fysieke en digitale toegangsbeheer optimaal te integreren. Onderdeel hiervan is het opstellen van een sleutelbeleid dat is gebaseerd op de verschillende rollen en hun werkzaamheden. Dat sleutelbeleid moet je vervolgens opnemen in de business rules van het HelloID platform. Wil je meer weten over de integratiemogelijkheden van je digitale én je fysieke toegangsbeveiliging met behulp van HelloID? We vertellen je er graag alles over.

Arnout van der Vorst

Geschreven door:
Arnout van der Vorst

Maak kennis met Arnout van der Vorst, de inspirerende Identity Management Architect bij Tools4ever sinds het jaar 2000. Na zijn studie Hogere Informatica aan de Hogeschool van Utrecht is hij begonnen als Supportmedewerker bij Tools4ever. Daarna heeft Arnout zich opgewerkt tot een sleutelfiguur in het bedrijf.  Zijn bijdragen strekken zich uit van klantondersteuning tot strategische pre-sales activiteiten, en hij deelt zijn kennis via webinars en artikelen.