10 Veelvoorkomende knelpunten van Identity and Access Management (IAM)
Het digitaal samenwerken heeft de afgelopen maanden een vlucht genomen. En daarmee ook het aantal nieuwe applicaties, systemen en accounts. Via Identity and Access Management (IAM) beheer je de gebruikers in je bedrijfsnetwerk en de toegangsrechten die zij hebben. Dit vormt de basis van de digitale veiligheid binnen je organisatie. In de praktijk zijn er echter enkele knelpunten die gedegen IAM in de weg staan.
Grote kans dat je als organisatie al datacentrisch werkt óf bezig bent met een transformatie naar een datacentrische werkwijze. In beide gevallen wil je natuurlijk dat de data binnen jouw organisatie veilig is. De eerste stap is om scherp te hebben wie de eindgebruiker is en op welke manier hij of zij tot welke data toegang heeft. Als de digitale identiteit van een eindgebruiker onverhoopt in de handen van een kwaadwillend persoon terechtkomt, kan deze laatste namelijk probleemloos bij al deze gegevens komen. En dat wil je uiteraard te allen tijde voorkomen.
IAM omvat het beheer van de gebruikers in het netwerk gedurende de volledige levenscyclus, dus van het creëren tot het verwijderen van de digitale identiteiten en alles daartussenin. Het is een manier om overzicht te houden in het gebruikersbestand en te zorgen dat iedereen alleen toegang heeft tot benodigde informatie. Heb je dit op orde, dan ben je goed op weg om waardevolle gegevens te beschermen en compliant te werken.
Niet altijd even gemakkelijk
IAM is binnen veel organisaties een heet hangijzer. Het heeft namelijk betrekking op governance, maar behelst ook een technisch aspect. De complexiteit van het onderwerp zal knelpunten opleveren in het IAM-proces. Wij hebben ondervonden dat vooral de volgende tien issues spelen:
-
- Geen centrale IAM-strategie
Als er geen strategie is rondom IAM en het proces niet centraal wordt aangestuurd, gaan individuele afdelingen in de organisatie een eigen IAM-beleid, -uitvoering en -monitoring hanteren. Dat is niet alleen onoverzichtelijk, maar ook onveilig.
- Geen centrale IAM-strategie
-
- Gebrek aan overzicht in gebruikers en toegangsrechten
Als niet duidelijk is welke eindgebruiker beschikt over welke digitale identiteiten en toegangsrechten, kan het gebeuren dat bepaalde gebruikers toegang hebben tot data die zij voor hun werkzaamheden niet nodig hebben. Ook kunnen er digitale identiteiten actief zijn van gebruikers die allang niet meer werkzaam zijn bij de organisatie. Dit leidt op zijn beurt weer tot onnodige beheer- en licentiekosten.
- Gebrek aan overzicht in gebruikers en toegangsrechten
-
- Ontbreken van een centraal beleid rondom privileged accounts
Als punt twee niet op orde is, volgt daar vrijwel direct uit dat de aanpak rondom privileged accounts ook beter kan. Privileged accounts hebben meer toegangsrechten dan standaardgebruikers. Een werknemer die onnodig gebruikmaakt van een privileged account vergroot de attack surface en verhoogt daarmee de beveiligingsrisico’s.
- Ontbreken van een centraal beleid rondom privileged accounts
-
- Geen Single Source of Truth (SSOT) aanwezig
Een SSOT is een centrale plaats waar alle identiteiten samenkomen. Daarom wordt het ook wel een ‘Identity Vault’ genoemd. Als bij de registratie van gebruikers en service accounts een SSOT ontbreekt, is niet bekend welke digitale identiteiten vereist zijn en welke gegevens bij de desbetreffende identiteit actueel zijn. Zeker grote bedrijven met meerdere applicaties, protocollen en accountstructuren zijn daarom gebaat bij een SSOT.
- Geen Single Source of Truth (SSOT) aanwezig
-
- Handmatig verloop van indiensttreding- en uitdiensttredingsprocessen
Als iemand in dienst treedt moet een nieuwe digitale identiteit worden aangemaakt, maar belangrijker nog: als iemand uit dienst treedt moet deze identiteit ook weer verwijderd worden. Als dit proces handmatig verloopt, is de kans groot dat dit laatste nog wordt vergeten. Met als gevolg dat ex-gebruikers nog steeds toegang hebben tot bedrijfsgegevens. De overbodige identiteiten vormen niet alleen een veiligheidsrisico, maar leveren ook onnodig accountbeheer en licentiekosten op. Het automatiseren van deze processen kan dit soort problemen voorkomen.
- Handmatig verloop van indiensttreding- en uitdiensttredingsprocessen
-
- Ontbreken van een autorisatiematrix
Een autorisatiematrix maakt inzichtelijk wie binnen de organisatie welke rechten heeft. Dus: wie kan vanaf welk device bij welke gegevens en waarom? Als er geen autorisatiematrix is, is het lastig om te controleren of iedereen wel over de juiste toegangsrechten beschikt. Een gedeelte van de autorisatiemanagementprocessen kun je automatiseren, zoals aanvraagprocessen voor autorisaties en het doorzetten van gewenste autorisaties (provisioning).
- Ontbreken van een autorisatiematrix
-
- Ontbreken van monitoring
IAM is een continu proces. Nieuwe digitale identiteiten die erbij komen en oude die weer verwijderd moeten worden, nieuwe autorisatieaanvragen, het updaten van persoonlijke informatie: al deze processen moet je doorlopend monitoren om de dataveiligheid te waarborgen.
- Ontbreken van monitoring
-
- Geen duidelijke richtlijnen over IAM-processen
Het komt maar al te vaak voor dat de documentatie, werkinstructies en procedures rondom IAM niet aanwezig zijn of dat de richtlijnen niet duidelijk zijn. Hierdoor hebben medewerkers geen vaste procedure waar ze zich aan vast kunnen houden en gaan zij naar eigen inzicht handelen. Dat levert uiteindelijk verwarring en een inconsistente handelwijze op – en dus veiligheidsrisico’s.
- Geen duidelijke richtlijnen over IAM-processen
-
- Geen beleid op het gebied van IAM-rapportages
Als je compliant wilt zijn, is het niet alleen belangrijk om IAM goed te regelen, maar om dit ook aantoonbaar te maken. Daarom is het belangrijk de juiste rapportage tools in te zetten die dit inzichtelijk maken.
- Geen beleid op het gebied van IAM-rapportages
- Geen gebruik maken van Single Sign-On (SSO)
Met SSO hoeven eindgebruikers slechts eenmaal in te loggen om toegang te krijgen tot verschillende applicaties en systemen. Zo voorkom je dat eindgebruikers voor allerlei applicaties steeds hetzelfde (vaak gemakkelijk te raden) wachtwoord gebruiken en verminder je de kans dat login-gegevens uitlekken. Toch wordt SSO voor minder dan 75 procent van de applicaties ingezet. Voor netwerkapparatuur is SSO vaak helemaal niet gerealiseerd. Een gevolg is dat medewerkers meerdere digitale identiteiten hebben wat de controleerbaarheid van de juiste autorisaties lastiger maakt.
Hulp nodig?
Het heeft nogal wat voeten in de aarde om een goed functionerend IAM-proces te krijgen. Bij Bauhaus kunnen we je hier wellicht bij helpen. Wij kunnen zowel als regisseur een IAM-traject opzetten of als adviseur een dergelijk traject begeleiden. Benieuwd wat wij precies voor je kunnen betekenen? Ga dan in gesprek met onze experts in een gratis één-op-één consult van vijftien minuten of een business consult van anderhalf uur.
Download hier ook alvast onze leaflet en lees alles over de Bauhaus IAM-aanpak.
