Basisprincipe 4: Beheer toegang tot data en diensten

Toegang tot informatie, systemen en locaties is nodig om je werk te kunnen doen. Om de kans op ongelukken en misbruik zo klein mogelijk te maken is het van belang dat medewerkers binnen en partners buiten je organisatie alleen de toegang hebben die passen bij de werkzaamheden en de periode waarvoor de toegang nodig is (least privilege). Geef je mensen dus alleen toegang tot informatie, systemen en locaties die nodig zijn voor de uitvoering van hun taken.

Toegang moet bovendien goed beheerd worden (Identity and access management). Dit geldt voor zowel logische als fysieke toegang. Dit beperkt de gevolgen van gebruikersfouten. Daarnaast beperkt het de bewegingsruimte van een kwaadwillenden, mochten zij binnen komen. Zij zijn dan immers gebonden aan de toegang die past bij de rol waarop zij zijn binnengekomen. Ook de toegang van service-accounts, machine-accounts en functionele accounts dient te worden beperkt tot het noodzakelijke.

Basisprincipe 4 voor zzp'er of mkb'ers.

Ben je een zzp'er of mkb'er? Bekijk dan welke tips en adviezen onze fusiepartner Digital Trust Center (DTC) voor jou heeft klaargezet.

Waarom dit basisprincipe?

Door toegangsrechten per persoon te beperken en te bepalen, voorkom je dat mensen binnen en buiten je bedrijf toegang krijgen tot systemen en data die ze voor het uitvoeren van hun werk niet nodig hebben. Daarnaast beschermd het tegen aanvallers die eenmaal binnen zijn gekomen. Zij kunnen dan immers alleen zien wat past bij de rechten die zijn toegekend. Welke maatregelen kun je treffen?

Voer toegangsbeheer en beleid op toegang

Op rollen gebaseerde toegangscontrole kan het beheer van rechten makkelijker maken. Deel minimale rechten volgens het “least privilege principe”. Dat wil zeggen dat gebruikers standaard de minste rechten krijgen tenzij ze die nodig hebben voor het uitvoeren van werkzaamheden.

- Benoem voor alle data een eigenaar. Veelal is dit een lijnmanager.
- Hanteer altijd het principe dat de business verantwoordelijk is voor het bepalen welke data wordt opgeslagen en hoe de rechten hierop worden bepaald. Een ICT-organisatie kan dit hooguit namens de data-eigenaar uitvoeren, maar niet voor de data-eigenaar bepalen.
- Zorg dat de processen helder zijn voor de indiensttreding, uitdiensttreding en interne doorstroming van medewerkers.
- Geef nieuwe medewerkers alleen toegang tot de middelen die ze nodig hebben. Dat geldt ook voor fysieke ruimtes zoals serverruimtes, of ruimtes waar gevoelige informatie ligt opgeslagen.
- Ontneem accounts van vertrekkende medewerkers direct toegang tot data en systemen.
- Verwijder ongebruikte accounts.
- Deactiveer serviceaccounts, en activeer deze alleen wanneer onderhoud plaatsvindt.

Het organiseren en uitvoeren van toegangsbeheer wordt ook wel aangeduid met de term Identity and Access Management (IAM).

Gebruik persoonsgebonden accounts

Zorg dat toegang tot data en diensten persoonsgebonden is waarbij elke medewerker een eigen gebruikersaccount heeft. Vermijd generieke accounts, die gedeeld worden tussen bijvoorbeeld meerdere medewerkers, of meerdere medewerkers van een leverancier. Dit geldt ook voor service-accounts, dat zijn accounts die worden gebruikt door systemen om onderling te verbinden. Vermijd deze accounts waar mogelijk, gebruik liever een moderne API, maar pas in ieder geval een wachtwoordbeleid toe als de systemen een service-account vereisen. Verander standaard wachtwoorden van apparatuur en systemen bij installatie of ingebruikname.

Pas sterke authenticatie toe

Authenticatie is de techniek waarmee een systeem kan vaststellen wie een gebruiker is. Hiermee krijgt een gebruiker toegang tot gegevens of systemen. Het is van belang dat de authenticatie voldoende sterk is, zodat kan worden vastgesteld dat de identiteit van de gebruiker ook klopt.

Een factor is een middel waarmee een gebruiker zich aanmeldt. Factoren worden ingedeeld in drie categorieën:
iets dat je weet (bijvoorbeeld een wachtwoord), iets dat je hebt (bijvoorbeeld een token) of iets dat je bent (bijvoorbeeld een vingerafdruk). Log je in met factoren uit minimaal twee van deze categorieën, dan is er sprake van multi-factor authenticatie. Het gebruik van exact twee factoren wordt ook wel twee-factor authenticatie genoemd. Voorbeelden van multi-factor authenticatie zijn een wachtwoord in combinatie met een token of gebruik van een vingerafdruk in combinatie met een eenmalige code.

Pas multi-factor authenticatie toe bij accounts die vanaf het internet bereikbaar zijn, accounts die beheerrechten hebben en accounts op essentiële systemen. Het gebruik van multi-factor authenticatie voorkomt dat een aanvaller toegang tot een account verkrijgt door het wachtwoord te raden of te achterhalen. Deze wachtwoorden kan een aanvaller bijvoorbeeld verkrijgen door een phishingaanval uit te voeren.

Kies, als dat mogelijk is, zo veel mogelijk voor oplossingen waarbij geen wachtwoorden meer worden gebruikt. Wachtwoorden zijn kwetsbaar en als beveiligingsmechanisme sterk achterhaald.
Is dit niet mogelijk? Gebruik dan sterke wachtwoorden (of wachtzinnen) en ondersteun je gebruikers met wachtwoordmanagers. Een sterk wachtwoord is niet eenvoudig te raden en moeilijk te kraken door een computer. Een belangrijke voorwaarde is hierbij dat de kracht van een sterk wachtwoord ook is dat deze uniek is.

Veilig inloggen

Naast het bepalen van een manier waarop gebruikers veilig kunnen inloggen, moet ook worden nagedacht over welke apparaten vanaf welke locatie mogen inloggen op systemen. Naar aanleiding daarvan kan een specifiek bereik worden ingesteld, zodat de toegang tot systemen vanaf onbekende locaties en door middel van onbekende apparaten wordt afgeschermd. Opereert jouw organisatie hoofdzakelijk in Nederland, met in Nederland woonachtige medewerkers en alleen met specifieke apparaten? Overweeg dan om dit ook systeemtechnisch af te dwingen.

Tot slot is het ook nog mogelijk, wanneer afschermen niet haalbaar is, inlogpogingen van onbekende plekken te signaleren en de gebruiker hierop te attenderen bijvoorbeeld via de mail zodat de gebruiker hier zelf actie op kan ondernemen.

Verdieping over basisprincipe 4

Hieronder vind je een overzicht van onze andere publicaties die zijn gerelateerd aan het beheer van toegang data en diensten. Daarin lees je meer over praktische hulpmiddelen om mee aan de slag te gaan of meer achtergrondinformatie over specifieke onderwerpen.

- NIS2:
Verplicht entiteiten passende en evenredige technische, operationele en organisatorische maatregelen te nemen, afgestemd op de risico’s die zich voordoen. De basisprincipes helpen je om de eerste stappen te zetten om deze risico’s in kaart te brengen.

Artikel 21g van de NIS2-richtlijn sluit aan bij dit basisprincipe.

Ben je op zoek naar een overzicht van NIS2 gerelateerde publicaties? Bekijk hier het overzicht.

Link naar NIS2-richtlijn (NL vertaling): L_2022333NL.01008001.xml (europa.eu)

- ISO/IEC 27002: Hoofdstuk 5 (5.15-18): organisatorische beheersmaatregelen

- BIO: Hoofdstuk 9; toegangsbeveiliging

Terug naar < Bescherm systemen, applicaties en apparaten

Verder naar > Bereid je voor op incidenten

Meer lezen over het beheer van toegang tot data en diensten

Omgaan met insider threats

Insiders kunnen een aanzienlijk cybersecurityrisico vormen voor uw organisatie. De impact van een insider threat kan verwoestend ...

Publicatie | 29-02-2024

Basisprincipe 4: Beheer toegang tot data en diensten

Waarom dit basisprincipe?

Voer toegangsbeheer en beleid op toegang

Gebruik persoonsgebonden accounts

Pas sterke authenticatie toe

Gebruik multi-factor authenticatie

Vermijd wachtwoorden of pas sterke wachtwoorden toe

Veilig inloggen

Verdieping over basisprincipe 4

Meer lezen over het beheer van toegang tot data en diensten

Omgaan met insider threats

Deel deze pagina