Toegangsbeveiliging kan zo veel veiliger voor MKB
Oud-medewerkers met toegang tot het netwerk, gedeelde en zwevende accounts, super-admins die toegang hebben tot alles en iedereen. Klinkt dat bekend?
In veel kleinere en middelgrote bedrijven is de toegangsbeveiliging nog altijd slordig geregeld, met alle risico’s op hacks en datalekken van dien. Terwijl het vrij eenvoudig is op te lossen.
Nieuwe Europese regelgeving
Vanaf 25 mei 2018 gaat de nieuwe Europese regelgeving op het gebied van gegevensbescherming in. Deze Algemene Verordering Gegevensbescherming (AVG) is een goede aanleiding om nog eens goed naar de IT-beveiliging te kijken, want gegevens zijn op voorhand niet beschermd als ze door een datalek op straat liggen. En zelfs zonder een hack: wie heeft er allemaal toegang tot de gegevens en mag dat zomaar? De AVG (in het Engels bekend als de General Data Protection Regulation) verlangt van organisaties dat zij niet alleen hun gegevensbescherming op orde hebben, maar ook kunnen aantonen hoe zij die hebben ingericht – op straffe van draconische boetes.
Dat maakt IT-beveiliging opeens nóg urgenter voor iedere organisatie die gegevens te beschermen heeft – en voor welke organisatie geldt dat niet? Grote bedrijven hebben daarvoor procedures ontwikkeld, maar in veel kleinere organisaties is de toegang tot gegevens nog altijd houtje-touwtje geregeld. Vaak komt dat door een combinatie van gebrek aan verantwoordelijkheid, een te grote afhankelijkheid van de IT-afdeling en onvoldoende overzicht van applicaties, rollen en accounts.
MKB-probleem van access management
Toch is dit typische MKB-probleem van access management vrij eenvoudig op te lossen. De eerste stap is meer bewustzijn, want ook al weet iedere ondernemer ongetwijfeld wat de risico’s zijn, het is vaak gewoon te makkelijk om één persoon alle toegangsrechten te geven. Daarom is er een mindshift nodig bij zowel management als medewerkers. Die creëer je niet alleen met praatsessies, presentaties en ja-knik-gedrag, want dat is het ene oor in, het andere oor uit. De dreiging van een hoge AVG-boete zet wellicht al meer zoden aan de dijk, maar nog beter is het om de basis goed geregeld te hebben.
Dat doe je door toegangsbeheer niet bij de IT-afdeling te beleggen, maar bij iedere afdeling en ieder projectteam zelf. Die zijn het beste inhoudelijk op de hoogte van de data die er wordt beheerd en de veiligheidsrisico’s die ermee gepaard gaan. Tegelijk zorg je ervoor dat de identiteit van een gebruiker juist maar op één plaats wordt gecontroleerd. Onbekenden kunnen dan niet via een omweg naar binnen komen.
Centrale authenticatie en decentrale autorisatie
Deze werkwijze van access management berust op het principe van centrale authenticatie en decentrale autorisatie. Centrale authenticatie betekent dat je op één plek de identiteit van je medewerkers verifieert voordat iemand ook maar ergens toegang toe krijgt. Deze authenticatie verloopt via een identity provider, zoals een ActiveDirectory of een HR-systeem, en geldt ook voor externen als stagiairs en freelancers. Bij decentrale autorisatie komt het toegangsbeheer zelf vervolgens te liggen bij zelf te selecteren personen of groepen binnen het bedrijf – de logisch verantwoordelijke. Alleen die bepaalt of een nieuw teamlid bij de wachtwoorden mag of eenmalig mag inloggen. Een centrale admin wordt daarmee overbodig.
De werkwijze is duidelijk en de hulpmiddelen voor toegangsbeheer volgens dit principe zijn beschikbaar. En het is gemakkelijker en veiliger zonder extra kosten. Een juiste uitvoering van het principe van centrale authenticatie en decentrale autorisatie vermindert juist de overhead (ook in beheer), versnelt processen en verbetert de gegevensveiligheid. Bovendien kun je als afdeling of projectteam iedere stap volgen.
Interne bewustzijn vergroten
Om het interne bewustzijn te vergroten, kun je ook drempels voor jezelf en je medewerkers inbouwen voordat je toegang krijgt tot een productiedatabase. Dat verhoogt het bewustzijn, de betrokkenheid, maar zeker ook de acceptatie om échte stappen te zetten op weg naar een degelijke beveiliging van al je gegevens, of die nu privacygevoelig zijn (belangrijk voor de AVG) of gewoonweg belangrijk voor je voortbestaan.