Hoe organiseer ik identiteit en toegang?
Doelgroep:
Dit artikel is voor de CISO, CIO of risicomanager van organisaties die voor hun identiteit- en toegangsbeheer bewuste en risicogebaseerde keuzes willen maken.
Achtergrond
In een steeds digitalere wereld vertrouwen organisaties op talloze systemen, applicaties en clouddiensten waarin bedrijfskritische gegevens worden verwerkt. Toegangsbeveiliging vormt daarbij een van de belangrijkste verdedigingslinies. Identiteit- en toegangsbeheer (Identity & Access Management, IAM) zorgt ervoor dat de juiste personen toegang krijgen tot de juiste middelen op het juiste moment. IAM is een fundamentele bouwsteen voor digitale weerbaarheid: zonder een goed ingerichte identiteit- en toegangsstructuur ontstaan er gaten die kwaadwillenden eenvoudig kunnen misbruiken.
Wanneer identiteits- en toegangsbeheer niet zorgvuldig is ingericht, kan dat leiden tot ernstige veiligheidsrisico’s. Onvoldoende controle op gebruikersrechten resulteert dan in te ruime toegang, structurele privilege-accumulatie en onbeheerde accounts, wat direct misbruikkansen creëert. Veel beveiligingsincidenten beginnen met gecompromitteerde inloggegevens; zonder goede authenticatie en controlemechanismen doen aanvallers zich gemakkelijk als legitieme gebruikers voor. Daarnaast kan slecht beheer leiden tot inefficiëntie binnen de organisatie, bijvoorbeeld doordat medewerkers afhankelijk zijn van handmatige accountaanvragen of doordat er onduidelijkheid ontstaat over wie verantwoordelijk is voor welke toegang. Uiteindelijk ondermijnt dit zowel de beveiliging als de continuïteit van bedrijfsprocessen.
Het NCSC adviseert organisaties om identiteits- en toegangsbeheer strategisch en procesmatig te organiseren. Dat begint met het scherp definiëren van digitale identiteiten en het opzetten van processen voor uitgeven, beheren en intrekken van toegangsrechten. Risicogestuurde authenticatie, phishingbestendige authenticatie, rolgebaseerde toegang (RBAC) en periodieke herbeoordeling van rechten zijn belangrijke bouwstenen. Daarnaast vraagt identiteits- en toegangsbeheer om heldere governance: organisaties moeten vastleggen wie welke verantwoordelijkheden heeft, welke regels gelden en hoe wijzigingen worden beheerd.
Wat is identiteits- en toegangsbeheer?
Identiteits- en toegangsbeheer (Engels: identity and access management; IAM) is bepalen wie en wat toegang heeft tot de systemen en gegevens van jouw organisatie. Identiteits- en toegangsbeheer verwijst naar de verzameling van beleid, processen en systemen die ondersteuning bieden voor het kunnen koppelen van een persoon (of in sommige gevallen een systeem) aan een gebruikersaccount en een adequate set machtigingen voor toegang binnen je netwerk- en informatiesysteem.
Met deze machtigingen doet de medewerker bijvoorbeeld het volgende:
- uitvoeren van functies
- gegevens raadplegen en aanpassen
- systemen beheren.
Een organisatie moet de juiste methoden kiezen om de identiteit van gebruikers, apparaten of systemen vast te stellen. Met deze identiteit kan de organisatie bewijzen, met voldoende vertrouwen, aan wie toegang verleend kan worden.
Wat is identiteitsbeheer?
Identiteitsbeheer bestaat uit de onderdelen identificatie en authenticatie.
Identificatie:
- beleid om te borgen dat een nieuwe gebruiker is wie hij/zij zegt dat hij/zij is
- registreren van de functies, rollen en eventuele screeningniveaus die horen bij deze persoon.
Authenticatie:
- beleid voor het koppelen van een geïdentificeerde gebruiker aan een identiteit/profiel binnen de systemen met een passende authenticatiemethode
- ervoor zorgen dat de authenticatiemethode jou voldoende vertrouwen geeft dat wanneer een identiteit wordt gebruikt, deze wordt gebruikt door de persoon van wie de identiteit eerder is gevalideerd.
Wat is toegangsbeheer?
Autorisatie:
- beleid dat de functie/rol van de medewerker koppelt aan een bepaalde mate van toegang tot het netwerk- en informatiesysteem
- toepassen van de juiste toegangsmaatregelen op basis van het toegangsbeleid.
Bij indienst treden van een nieuwe medewerker maakt een organisatie op basis van de fysieke identiteit van de persoon een digitale identiteit/gebruikersaccount aan. Hierbij gebruik je bijvoorbeeld een identiteitsbewijs als basis.
Vervolgens verleent de organisatie toegang aan de gebruiker tot de bij deze account behorende gegevens en systemen. Dit doe je door middel van het koppelen van de juiste toegangsrechten aan het account.
Vervolgens dient de gebruiker zichzelf bij inloggen op het gebruiksaccount te authenticeren om aan te tonen wie hij is.
Risico’s bij het authenticeren ontstaan wanneer kwaadwillenden toegang hebben tot authenticatiegegevens. Wanneer voor authenticatie alleen een wachtwoord nodig is, ligt misbruik door een kwaadwillende op de loer. Aanvallers stelen wachtwoorden via phishing of maken deze buit bij datalekken van andere systemen als de gelekte wachtwoorden elders worden hergebruikt.
Door toepassing van passkeys (phishingbestendige authenticatie) maak je misbruik van gestolen authenticatiegegevens onmogelijk. Als je daarnaast least privilege en need-to-know toepast, beperk je de toegang van gebruikers tot de hoogstnoodzakelijke. De impact van compromittatie van gebruikersaccounts, heb je hiermee sterk verkleind.
Stappenplan identiteits- & toegangsbeheer
Met behulp van onderstaand stappenplan maak je een start met het inrichten of verbeteren van identiteits- en toegangsbeheer. Maak daarbij een keuze om het identiteits- en toegangsbeheer in eigen beheer in te richten, het gehele proces uit te besteden of een combinatie hiervan.
Stap 1: Inventariseren
Inventariseer het landschap waar je identiteits- en toegangsbeheer voor wilt inrichten, zoals de architectuur, netwerkinfrastructuur en applicaties in de organisatie. Dit zijn niet alleen applicaties die werknemers gebruiken maar ook applicaties die door systeemgebruikers benaderd kunnen worden. Denk dus ook aan interfaces tussen systemen.
Deze holistische kijk is belangrijk voor het begrijpen van de beveiligingsbehoeften van elke applicatie en netwerkonderdelen.
Stap 2: Ontwikkel identiteits- en toegangsbeleid
Om identiteits- en toegangsbeheer goed toe te passen is de eerdergenoemde beleidsontwikkelingessentieel. In vele normen en standaarden wordt dit als randvoorwaarde genoemd. Dit beleid bevat de uitgangspunten en regels voor toegang tot systemen, apparatuur, faciliteiten en informatie. Raadpleeg hiervoor de BIO of de ISO-standaard. Zie ook het kennisproduct van de Informatiebeveiligingsdienst ‘Beleid logische toegangsbeveiliging’.
Bepaal welk beleid je wilt toepassen voor identificatie, authenticatie en autorisatie.
Identificatie gaat over het vaststellen van de identiteit van een mogelijke gebruiker. Beleid dat hierbij van belang is:
- De identiteit vaststellen door middel van een identiteitsbewijs.
- Het screenen van de medewerker, dit is afhankelijk van het risicoprofiel van de functie. Het nagaan van referenties kan hier ook een onderdeel van zijn.
- Het bepalen van het need to know niveau, afhankelijk van de rol en functie.
Authenticatie gaat over het verifiëren van de juistheid van de opgegeven identiteit met het gebruikersaccount. Belangrijk is in beleid vast te leggen wanneer welke wijze van authenticatie moet worden toegepast.
Deze authenticatie kan op verschillende wijzen plaatsvinden, voorheen was dat vaak door middel van invoeren van een pincode of wachtwoord, maar tegenwoordig is phishingbestendige authenticatie zoals passkeys een standaardmaatregel.
Kies voor passkeys waar dat kan. Gebruik eventueel een risicoanalyse om te bepalen waar dit noodzakelijk en mogelijk is. Gebruik op plaatsen waar passkeys nog niet ondersteund worden multifactorauthenticatie (MFA). Dit bestaat uit een combinatie van meerdere authenticatie-elementen. Dit kan door middel van:
- iets wat je weet; bijvoorbeeld een wachtwoord of pincode.
- iets wat je hebt: een cryptografisch identificatie-apparaat, telefoon (met authenticatie-app) of token
- iets wat je bent: biometrische gegevens (vinger/hand/irisscan).
Als de organisatie gebruik maakt van wachtwoorden, implementeer dan een sterk wachtwoordbeleid. Omschrijf hierin wat de minimale lengte van wachtwoorden moet zijn en hoe authenticatiegegevens bewaard worden. Stel geen andere complexiteitseisen dan de lengte van het wachtwoord. Leg verder vast op basis van welke risicobeoordeling je gebruikers hun wachtwoorden laat wijzigen. Dit hoeft niet altijd een vaste levensduur te zijn.
Autorisatie gaat over het toekennen van rechten. Denk eraan de volgende onderwerpen vast te leggen in beleid en beheer:
- gebruikersbeheer: het proces voor het aanvragen, wijzigen en verwijderen van gebruikers
- toegangsbeheer: het proces voor het aanvragen, goedkeuren, wijzigen en verwijderen van autorisaties. De proces- en/of data-eigenaar zijn hier verantwoordelijk voor
- Toegangsbeheer kan op basis van verschillende methodieken, waaronder de vaak gebruikte Role-Based Access control, gebaseerd op de functie en rol van de medewerker. Daarbij kun je ook kiezen om uitsluitend via verstrekte endpoints (werklaptop) of uitsluitend vanuit een bepaalde geografische zone en tussen bepaalde tijdstippen toegang te verlenen.
- functiescheiding: functiescheiding moet je inrichten zodat afzonderlijke functionarissen zijn aangewezen die autorisaties aanvragen/toekennen, wijzigen, intrekken en/of verwijderen en controleren.
Houd in het beleid rekening met de in-, door- en uitstroom van medewerkers. Dit beleid ziet toe op toevoegen van accounts voor nieuwe medewerkers, het verwijderen van accounts en voorkomen van stapeling van autorisaties door wisselende functies.
Leg in het beleid vast hoe logging helpt om autorisatie-aanpassingen te monitoren. Dit doe je om ongeautoriseerde wijzigingen, zoals privilege escalation te kunnen waarnemen. Met name voor geprivilegieerde toegang, zoals beheerder-accounts dienen toegangsaanpassingen goed gemonitord te worden.
Zero trust
Zero trust gaat uit van de basisgedachte ”never trust, always verify”. Zero trust kun je toepassen op externe gebruikers, bring-your-own-device (BYOD) en cloudgebaseerde activa die zich niet binnen een bedrijfseigen netwerkgrens bevinden. Zero Trust vereenvoudigt gedetailleerde conditionele gebruikerstoegangscontrole.
Stap 3: Identificeren
Identificeer welke gegevens of systemen het meest kritiek zijn voor de organisatie. De meest kritieke gegevens of systemen worden ook wel je te beschermen belangen (TBB) of kroonjuwelen genoemd. In het artikel ‘Hoe breng ik mijn te beschermen belangen in kaart?’ bieden we een stappenplan voor deze inventarisatie.
Breid de hierin genoemde referentietabel uit met een extra kolom waarin je opneemt in welke applicaties en netwerkonderdelen de TBB’s voorkomen.
Stap 4: Methode bepalen
Bepaal welke methode je gaat gebruiken bij het inrichten van identiteits- en toegangsbeheer. Vervolgens is het belangrijk te starten met ontwerpen van toegangsbeheer voor de applicaties en systemen die al eerder in je risicomanagementproces zijn geïdentificeerd als kroonjuwelen.
Maak hierbij gebruik van een autorisatiematrix voor iedere applicatie of netwerkonderdeel. Hiermee bepaal je welke rollen/gebruikers of groepen toegang zouden moeten krijgen tot welke bronnen, wanneer die gebruikers toegang nodig hebben en welke mate van toegang ze krijgen. Een gebruiker wijs je toe aan een of meerdere rollen of groepen om dit proces efficiënt beheersbaar te maken.
Veelgebruikte principes voor het bepalen van de mate van toegang zijn:
- Least privilege
Uitsluitend bevoegde personen hebben toegang tot en kunnen gebruik maken van informatiesystemen en/of gegevens. Toegangsrechten worden voor iedere gebruiker tot een minimum beperkt. Deze worden uitsluitend verleend in de mate dat deze nodig zijn voor het uitvoeren van iemands taken.
- Need-to-know
De toegang van een gebruiker tot informatie wordt beperkt of uitgebreid op basis van de informatiebehoefte die volgt uit de actuele werkzaamheden van de gebruiker.
Stap 5: Implementeer, beheer en borg identiteits- en toegangsbeheer
Het doel van identiteits- en toegangsbeheer is voorkomen van toegang door ongeautoriseerden. Bij het nemen van de maatregelen is het doel om uitsluitend de juiste bevoegde personen volgens de autorisatiematrix of ander ontwerp uit Stap 4 toegang te verlenen tot infrastructuur, applicaties en gegevens van de organisatie op basis van het vastgestelde beleid. Zorg dat dit beleid correct wordt geïmplementeerd, beheerd en regelmatig geëvalueerd.