Wat zijn identity-risico's en hoe kunnen die worden verminderd?
IT-security wordt er niet makkelijker op.
Door de coronapandemie kregen IT-organisaties doorlopend te maken met snelle veranderingen, van het treffen van voorzieningen voor een hybride personeelsbestand tot de massale ingebruikname van SaaS-tools en -services in de cloud.
Als gevolg van deze veranderingen vielen werknemers en devices niet langer binnen de traditionele security-perimeter, wat het ingewikkelder maar ook essentiëler dan ooit tevoren maakte om te weten wie uw gebruikers precies zijn en tot welke resources ze toegang hebben.
Het is van cruciaal belang dat organisaties weer precies weten wat de kritieke risicofactoren voor identity zijn en dat ze op veilige wijze met hun identiteiten weten om te gaan. Organisaties moeten weten wat de risico's op account takeovers en identiteitsdiefstal zijn en hoe ze zich daartegen kunnen beschermen, met een snelle reactie op alle verdachte activiteiten.
Wat is de definitie van identity-risico?
Een identity-risico is elke zwakke plek in de IAM-processen (Identity and Access Management) van een organisatie. Naarmate een organisatie opschaalt, neemt de kans op identity-risico's toe omdat dataverificatie en -controle erg moeilijk zijn uit te voeren zonder een centraal management-systeem.
Waarom zou u iets moeten doen aan digitale identity-risico's?
Er zijn aanzienlijke consequenties verbonden aan slecht beheer van identity-risico's. Uw organisatie en werknemers lopen het risico op identiteitsfraude, financiële verliezen, diefstal van persoonsgegevens, account takeovers, lagere productiviteit, reputatieschade en niet-naleving van wet- en regelgeving.
Organisaties kunnen het zich niet veroorloven om onnodige risico's te lopen met hun digitale security. Met de juiste strategieën voor bescherming tegen digitale risico's kunnen ze zorgen voor een strakkere controle van gebruikerstoegang, waardoor cruciale resources minder vatbaar zijn voor datalekken.
Typen factoren van identity-risico's
De meestvoorkomende oorzaak van identity-risico's is wanneer werknemers te veel toegangsrechten krijgen voor data, applicaties of netwerken binnen de organisatie en er nauwelijks of geen sprake is van identity management om de toegang te regelen.
Wie neemt er binnen een organisatie de beslissingen over toegangsregels: de IT-afdeling, het team voor informatiebeveiliging of de bedrijfstop?
Aanvankelijk was IAM vooral de verantwoordelijkheid van de IT-afdeling, die aan de CIO rapporteerde. Maar naarmate de technologie zich verder ontwikkelde en het strategisch belang ervan toenam, valt IAM steeds vaker onder de CISO.
Of IAM nu bij IT of security ligt, het vereist samenwerking met de rest van de organisatie. De IT-afdeling heeft een algemeen idee van wat er nodig is voor toegang door de diverse gebruikers, groepen en afdelingen, maar heeft daarvoor een duidelijke inbreng nodig van de afdelingshoofden of het management om te weten wie toegang tot wat nodig heeft. Anders bestaat er het gevaar van over-provisioned toegang, waarbij gebruikers tot veel meer toegang krijgen dan wat voor hun functie nodig is.
Identiteitsdiefstal kan ook plaatsvinden als er te veel gebruikers in één groep zijn ondergebracht, waardoor er lossere regels zijn voor gebruikerstoegang of erger, compliance-incidenten met het toegangsbeheer.
‘Orphan accounts’ (accounts zonder een daaraan gekoppelde actieve gebruiker) vormen een andere bedreiging, met name als een account niet werd verwijderd nadat iemand de organisatie heeft verlaten of een andere functie heeft gekregen.
Er kunnen nog meer risico's op identiteitsdiefstal aan het licht komen als er ook toegang is verleend buiten het overeengekomen proces voor goedgekeurde toegang (toegangsuitzonderingen) of als een gebruiker toegang is verleend om conflicterende taken uit te voeren, zoals enerzijds het verstrekken van inkooporders en anderzijds gemachtigd zijn om te betalen voor dergelijke items (toxische combinaties van functies).
Hoe kunt u identity-risico's beperken?
Zodra u weet met wat voor kritieke risicofactoren voor identity u te maken heeft, zijn er een aantal dingen die u kunt doen om die risico's te beheersen.
Krachtige identity-governance vanaf nul
Succesvol beheer van identity-risico's begint met krachtige processen voor identity-governance en -beheer. Door transparantie tussen alle applicaties en gebruikers worden organisaties zich bewust van de informatie en details die nodig zijn om toegang en identity te beheren, zoals het lokaliseren van overtredingen of niet-geautoriseerde toegang.
Daarvoor moet u krachtige bedrijfsprocessen implementeren met regels en op risico's gebaseerde informatie om het juiste risiconiveau bij het verlenen van toegang of autorisatie te definiëren.
Toegangscontrole automatiseren
Automatisering van lifecycle management kan van grote waarde zijn in verband met zorgvuldigheid: Het ontbreken van stroomlijning via automatisering vormt een risico op zich, omdat het ertoe kan leiden dat cruciale processen niet worden afgerond. Een voorbeeld daarvan is wanneer een werknemer van functie verandert of een organisatie verlaat, maar zijn of haar toegangsrechten niet worden bijgewerkt of ingetrokken. Dat kan ook leiden tot problemen voor gedeelde accounts of serviceaccounts als een aan een dergelijke account gekoppelde identity van functie verandert of de organisatie verlaat.
In combinatie met IAM (Identity and Management) kan automatisering ervoor zorgen dat een organisatie gelijke tred houdt met veranderingen binnen de toegangsomgeving, die zich onherroepelijk zullen voordoen en zich aanpassen aan de technologische ontwikkelingen of simpelweg aan de groei van de organisatie zelf. En uiteraard heeft een organisatie een strikt toegangsbeleid nodig dat beperkt wie de IAM-oplossing zelf kan beheren.
Bent u voorbereid op identity-risico's?
Het controleren van toegang wordt alleen maar belangrijker nu de regelgeving op het gebied van beveiliging toeneemt. Daarom loont het de moeite om eens naar de beveiligingsmaatregelen van uw eigen organisatie te kijken. Weet u zeker dat uw netwerken, applicaties en persoonsgegevens helemaal veilig zijn met gecontroleerd access management? Hoeveel gebruikers hebben daar toegang toe? Zorgt uw systeem ervoor dat uw organisatie optimaal kan presteren?
Ontdek hoe u veilige, intelligente toegang kunt bieden voor al uw werknemers, waar ze ook mogen zijn, met Okta’s identity-oplossingen voor het personeelsbestand.