Hoe organiseer ik identiteit en toegang?

Identiteits- en toegangsbeheer (Engels: identity and access management; IAM) is het bepalen wie en wat toegang heeft tot de systemen en gegevens van jouw organisatie. Identiteits- en toegangsbeheer verwijst naar de verzameling van beleid, processen en systemen die ondersteuning bieden voor het kunnen koppelen van een persoon (of in sommige gevallen een systeem) aan een gebruikersaccount en een adequate set machtigingen voor toegang binnen je netwerk- en informatiesysteem.

Met deze machtigingen kan de persoon bijvoorbeeld het volgende doen:

• Uitvoeren van functies
• Gegevens raadplegen en aanpassen
• Systemen beheren

Een organisatie moet de juiste methoden kiezen om de identiteit van gebruikers, apparaten of systemen vast te stellen. Met deze identiteit kan de organisatie bewijzen, met voldoende vertrouwen, aan wie toegang verleend kan worden.

Identiteitsbeleid bestaat uit de onderdelen identificatie en authenticatie.

Identificatie:

• Beleid om te borgen dat een nieuwe gebruiker is wie hij/zij zegt dat hij/zij is.
• Registreren van de functies, rollen en eventuele screeningniveaus die horen bij deze persoon.

Authenticatie:

• Beleid betreffende het koppelen van een geïdentificeerde gebruiker aan een identiteit/profiel binnen de systemen met een passende authenticatiemethode
• Ervoor zorgen dat de authenticatiemethode jou voldoende vertrouwen geeft dat wanneer een identiteit wordt gebruikt, deze wordt gebruikt door de persoon van wie de identiteit eerder is gevalideerd.

Autorisatie

• Beleid dat de functie/rol van de medewerker koppelt aan een bepaalde mate van toegang tot  het netwerk- en informatiesysteem.
• Toepassen van de juiste toegangsmaatregelen op basis van het toegangsbeleid.

Bij de indiensttreding van een nieuwe medewerker wordt er op basis van de fysieke identiteit van de persoon een digitale identiteit/gebruikersaccount aangemaakt. Hierbij gebruik je bijvoorbeeld een identiteitsbewijs als basis.

Vervolgens kan de gebruiker toegang worden verleend tot de bij deze account behorende gegevens en systemen. Dit gebeurt door middel van het koppelen van de juiste toegangsrechten aan het account.

Vervolgens dient de gebruiker zichzelf bij het inloggen op het gebruiksaccount te authenticeren om aan te tonen wie hij is.

Risico’s bij het authenticeren ontstaan wanneer anderen (kwaadwillenden) toegang kunnen hebben tot authenticatiegegevens.
Wanneer enkel gebruik gemaakt wordt van iets dat je weet, zoals een wachtwoord, kan een kwaadwillende deze informatie eenvoudiger misbruiken. Aanvallers kunnen wachtwoorden buit maken bij datalekken van andere systemen indien de gelekte wachtwoorden elders worden herbruikt.

Door de toepassing van MFA (multifactorauthenticatie) wordt de kans kleiner dat een kwaadwillende toegang heeft tot de volledige set aan authenticatiegegevens. Door toepassing van least privilege en need-to-know wordt de toegang van gebruikers beperkt tot de hoogst noodzakelijke. Hiermee kan de impact van compromitatie van een gebruikersaccount worden beperkt. 

Identificatie gaat over het vaststellen van de identiteit van een mogelijke gebruiker. 

Beleid dat hierbij van belang is:

• De identiteit vaststellen door middel van een identiteitsbewijs.
• Het screenen van de medewerker, dit is afhankelijk van het  risicoprofiel. Het nagaan van referenties kan hier ook een onderdeel van zijn.
• Het bepalen van het need to know niveau, afhankelijk van de rol en functie.

Authenticatie gaat over het verifiëren van de juistheid van de opgegeven identiteit met het gebruikersaccount. Belangrijk is in beleid vast te leggen wannneer welke wijze van authenticatie moet worden toegepast. Deze authenticatie kan op verschillende wijzen plaatsvinden, voorheen was dat vaak door middel van invoeren van een pincode of wachtwoord, maar tegenwoordig is multi-factor authenication (MFA) een  standaardmaatregel. Deze bestaat uit een combinatie van meerdere authenticatie-elementen. Hiermee bewijst een gebruiker de authentieke persoon te zijn die toegangsrechten heeft. 

• Dit kan door middel van:
  • Iets wat je weet; bijvoorbeeld een wachtwoord of pincode.
  • Iets wat je hebt: een cryptografisch identificatie-apparaat, telefoon (met authenticatie-app) of token
  • Iets wat je bent: biometrische. gegevens (vinger/hand/irisscan).
     
• Kies voor MFA waar dat kan. 
• Gebruik eventueel een risicoanalyse om te bepalen waar dit noodzakelijk en mogelijk is.
• Indien gebruik wordt gemaakt van wachtwoorden, implementeer dan een sterk wachtwoordenbeleid.
• Leg vast in het beleid hoe authenticatiegegevens bewaard worden.

Beschrijf wat het autorisatiebeleid is. 

Denk eraan de volgende onderwerpen te behandelen:

• Gebruikersbeheer: het proces voor het aanvragen, wijzigen en verwijderen van gebruikers.
• Toegangsbeheer: het proces voor het aanvragen, goedkeuren, wijzigen en verwijderen van autorisaties. De proces- en/of data-eigenaar zijn hier verantwoordelijk voor. Toegangsbeheer kan op basis van verschillende methodieken, waaronder de vaak gebruikte Role-Based Access control, gebaseerd op de functie en rol van de medewerker. Daarbij kun je ook kiezen om uitsluitend via verstrekte endpoints (werklaptop) of uitsluitend vanuit een bepaalde geografische zone en tussen bepaalde tijdstippen toegang te verlenen.
• Functiescheiding: functiescheiding moet je inrichten zodat afzonderlijke functionarissen zijn aangewezen die autorisaties aanvragen/toekennen, wijzigen, intrekken en/of verwijderen en controleren.

Houd in het beleid rekening met de in-, door- en uitstroom van medewerkers. Dit beleid ziet toe op het toevoegen van accounts voor nieuwe medewerkers, het verwijderen van accounts en het voorkomen van stapeling van autorisaties door wisselende functies.

Leg in het beleid vast hoe logging helpt om autorisatie-aanpassingen te monitoren. Dit om ongeautoriseerde wijzigingen, zoals privilege escalation te kunnen waarnemen. Met name voor geprivilegieerde toegang, zoals beheerder-accounts dienen toegangsaanpassingen goed gemonitord te worden.

Zero Trust
Zero trust gaat uit van de basisgedachte ”never trust, always verify”. Zero trust kan toegepast worden op externe gebruikers, bring-your-own-device (BYOD) en cloudgebaseerde activa die zich niet binnen een bedrijfseigen netwerkgrens bevinden. Zero Trust vereenvoudigt gedetailleerde conditionele gebruikerstoegangscontrole.