9 best practices voor identity & access management (IAM)

• Product en technologie

Met behulp van identity & access management (IAM) regel je tot in detail de toegang tot applicaties, diensten en databronnen in. Een aantal best practices helpen je met het optimaliseren van identiteits- en toegangsbeheer en beschermen van je organisatie. In dit artikel zetten we de belangrijkste best practices rondom IAM voor je op een rij.

1. Bewust omgaan met toegang tot data

Organisaties beschikken doorgaans over waardevolle data, die je veilig wilt houden. Helaas zien we nog vaak dat organisaties medewerkers brede toegang geven tot gegevens. Risicovol, aangezien je zo de controle over de toegang tot je data kwijtraakt. Een best practice is dan ook bewust omgaan met de toegang tot gegevens. Breng daarbij in kaart over welke data je organisatie beschikt en welke gegevens gevoelig zijn. Bepaal vervolgens welke gebruikers toegang moeten hebben tot deze gevoelige data, en beperk deze toegang tot een minimum. Zo verminder je het risico op datalekken en houd je je gegevens veilig.

2. Zero Trust-aanpak hanteren

Zero Trust is een beveiligingsaanpak waarbij je het vertrouwen dat je gebruikers na authenticatie toekent tot een minimum beperkt. Dat betekent in de praktijk dat je de identiteit van gebruikers continu verifieert, en je geen enkele gebruiker, apparaat of applicatie standaard vertrouwt. Je kunt Zero Trust onder meer combineren met Multi-Factor Authenticatie (MFA) en Single Sign-On (SSO), waarmee je het veiligheidsniveau en gebruiksgemak verder kunt verhogen. Nauw gerelateerd aan Zero Trust is least privilege. Hierbij kijk je continu kritisch naar de toegangsrechten die gebruikers nodig hebben. Je beperkt deze toegang tot een minimum, uiteraard zonder gebruikers hiermee in hun dagelijkse activiteiten te hinderen. Je kunt bij least privilege onder meer gebruik maken van rollen die je gebruikers toekent, en op basis hiervan de rechten die zij nodig hebben vaststellen. Krijgt een onbevoegde onverhoopt toegang tot het account van een medewerker? Dan beperk je dankzij least privilege de impact en schade tot een minimum.

3. Verhoog de veiligheid met SSO en MFA

Het gebruik van veilige wachtwoorden is een belangrijk aandachtspunt voor het veilig houden van systemen, applicaties en gegevens. Zo wil je dat gebruikers een uniek wachtwoord gebruiken dat complex genoeg is, en dit wachtwoord veilig bewaren. Met SSO heb je hiernaar geen omkijken en neem je zorgen op dit vlak weg. SSO geeft gebruikers via één set inloggegevens toegang tot alle applicaties, diensten en databronnen die zij nodig hebben. Je kunt ook kiezen voor het toepassen van MFA.Bij MFA authentiseren gebruikers zich niet alleen met hun gebruikersnaam en wachtwoord, maar ook met een tweede middel. Dit kan bijvoorbeeld een code zijn die via sms, e-mail of een authenticator-app als HelloID Authenticator wordt aangeleverd. MFA verhoogt de digitale veiligheid aanzienlijk. Lekken de gebruikersnaam en wachtwoord van een gebruiker uit? Dan kan een onbevoegde hiermee geen toegang verkrijgen, aangezien de tweede factor ontbreekt.

4. Zet Role-Based Access Control en Attribute-Based Access Control in

Menselijke handelingen zijn foutgevoelig. Een best practice is dan ook het geautomatiseerd inregelen van autorisaties en rechten. Role-Based Access Control en Attribute-Based Access Control helpen hierbij. Hierbij maak je de rol en attributen van gebruikers leidend bij het toekennen van autorisaties en rechten. En zorg je bijvoorbeeld dat alle gebruikers van de financiële afdeling of sales over dezelfde rechten beschikken. Zo voorkom je menselijke fouten en vereenvoudig je het inregelen van autorisaties van nieuwe gebruikers.

5. Hanteer logbestanden om je inzicht te vergroten

Logbestanden zijn op het gebied van IAM van onmisbare waarde. Zo kan je met behulp van logbestanden je compliance met wet- en regelgeving tot in detail aantonen en daarnaast audittrajecten vereenvoudigen. Ook kan je precies zien waarom bijvoorbeeld een specifieke gebruiker bepaalde rechten toegekend heeft gekregen. Dit geeft niet alleen verregaand inzicht, maar zorgt ook dat je volledig in controle blijft.

6. Ontwikkel een incident response-plan

Hoewel je uiteraard alle maatregelen neemt om identiteiten en toegangsrechten veilig te houden, kan het onverhoopt toch fout gaan. Bijvoorbeeld doordat een boze medewerker zijn toegang tot systemen en databronnen misbruikt, of doordat kwaadwillende via kwetsbaarheden toegang weten te krijgen tot een gebruikersaccount. Ontwikkel daarom een incident response-plan dat specifiek is toegespitst op IAM. Zo ben je optimaal voorbereid om snel en effectief te handelen bij security-incidenten.

7. Haal de bezem door je processen

Beschik je niet over een IAM-oplossing of werk je met een verouderd systeem? Dan is de kans groot dat niet alle processen rondom in-, door- en uitstroom optimaal zijn ingeregeld. Denk daarbij aan processen die niet meer nodig zijn of door aanpassingen in je IT-landschap niet meer naar behoren functioneren. Een belangrijke beveiligingsmaatregel is dan ook regelmatig de bezem door je processen te halen.

 

8. Focus je op harde en zachte toegangsbeveiliging

Richt je niet alleen op het beveiligen van de toegang tot je bedrijfsapplicaties, databronnen en andere systemen, maar ook op andere vormen van toegangsbeveiliging. Denk daarbij aan de toegang je bedrijfspand en individuele ruimten binnen dit pand. Want ook als je de digitale toegang optimaal hebt ingeregeld kan fysieke toegang tot systemen door onbevoegden de veiligheid van je data in gevaar brengen.

 

9. Omarm certificeringen en normen

Een breed scala aan certificeringen en normen op het gebied van databeveiliging zijn beschikbaar. Denk daarbij aan ISO 27001 voor informatiebeveiliging, Netwerk- en Informatiebeveiligingsrichtlijn 2 (NIS2), Baseline Informatiebeveiliging Overheid (BIO) en NEN 7510 voor informatiebeveiliging in de zorg. Voldoen aan deze certificeringen en normen laat niet alleen aan klanten, gebruikers en partners zien dat je beveiligingsniveau op orde is, maar helpt ook met het naar een hoger niveau tillen van je digitale veiligheid. Kijk daarom goed naar certificeringen en normen die voor jouw organisatie en sector relevant zijn, en haal hier voordeel uit.

Meer weten?

Wil je meer weten over IAM? Lees ook het artikel in onze kennisbank. Wil je aan de slag met IAM? In een reeks artikelen helpen we je hiermee op weg.