Vier best practices op het gebied van IAM voor een veilig beheer van Customer Identity

Bij 61% van alle datalekken in 2021 speelden inloggegevens een rol. Bijna elke organisatie heeft medewerkers, gebruikers en/of klanten die toegang hebben tot vertrouwelijke informatie en kritieke data. Misschien is deze informatie niet direct toegankelijk via links, maar het kan zijn dat gebruikers per ongeluk toch toegang krijgen tot content die niet voor hen bedoeld is. Organisaties worstelen vaak met het beheer van customer identities en vinden het lastig om elke gebruiker een gepast niveau van toegang te geven: de juiste gegevens voor de juiste gebruiker op het juiste moment, niet meer en niet minder.

Gemiddeld heeft elke medewerker toegang tot meer dan 11 miljoen bestanden. Organisaties weten dat bestanden onderling gekoppeld kunnen zijn, waardoor gevoelige informatie via een achterdeur toegankelijk is. Naarmate organisaties groeien en uitbreiden, wordt dit een grotere uitdaging voor IT- en informatiesecurity-professionals. En dan hebben we het nog niet eens over de problemen met identities voor systemen, devices, netwerken, mensen die thuiswerken en externe klanten. Hoe kan het IT- en Infosec-personeel gebruikmaken van Customer Identity om oplossingen te implementeren om de security- en andersoortige risico's voor hun organisaties te verminderen? Lees verder voor best practices voor een veilig beheer van customer identities met een strategie voor access management.

1. Een lifecycle en workflow voor gebruikers ontwerpen

Naarmate organisaties groeien en uitbreiden, wordt het steeds lastiger om hun processen en identities te beheren. Om dit tegen te gaan, moeten IT-teams een duidelijke lifecycle en workflow voor gebruikers uitstippelen aan de hand van een geschikte strategie voor access management. Verschillende afdelingen binnen een organisatie hebben immers andere niveaus van toegang tot bestaande documenten en bestanden nodig. Door de behoeften van verschillende afdelingen en onderdelen van de organisatie volledig te doorgronden, kan een IT-team bepalen welke workflow en toegangspatronen nodig zijn. Zij kunnen tools als Miro of Zoom gebruiken om te brainstormen over lifecycle- en workflow-benaderingen.

Bij het in kaart brengen van lifecycles of workflows moet het betrokken team of de klant in kwestie altijd om input worden gevraagd. Vraag belanghebbenden wat zij nodig hebben, zodat het IT-team echt inzicht krijgt in de dagelijkse behoeften van deze belanghebbenden. Ook het observeren of "schaduwen" van een of meer gebruikers kan nuttig zijn. Op deze manier kan het IT-team identity-specifieke toegangsgebieden identificeren die mogelijk niet aan bod zijn gekomen in algemene workflow-vergaderingen.

2. De least-privileged user en administratieve identity-rollen definiëren

Nadat u de user lifecycle heeft opgezet en in kaart hebt gebracht, moet u de gebruikers- en administratieve rollen definiëren. Niet elke medewerker, klant of gebruiker hoeft toegang te krijgen tot alle bestanden, locaties en netwerken. Als u in een vroeg stadium toegangsrollen en -rechten toekent, kunt u uw groeiende organisatie beter beheren en kunnen de leden van het IT-team zich concentreren op securitybedreigingen.

Probeer tijdens het in kaart brengen een goed beeld te krijgen van de admins enerzijds en gewone gebruikers, identities en klanten anderzijds. Ken aan alle rollen de minimaal noodzakelijke rechten toe. Als rollen en rechten goed zijn gestructureerd, is het eenvoudig om de toegang voor specifieke identities en gebruikers te beheren en op te schalen wanneer dat nodig is. Zorg dat u de toegang grondig test voordat u de rollen en rechten implementeert. Stel een controlegroep van gebruikers van een bepaalde afdeling samen om te simuleren hoe bij de dagelijkse werkzaamheden informatie en data worden geraadpleegd. Het IT-team kan dan nagaan wat werkt zonder dat de productiviteit van medewerkers hieronder lijdt.

Er zijn meer voordelen verbonden aan het gebruik van rollen. Zodra organisaties rollen en rechten hebben geïmplementeerd, kunnen zij een cyber kill chain gebruiken om toegang te beperken, de gevolgen van een lek te beperken of de verspreiding van aanvallen of lekken te beheersen. Een Infosec-team kan bovendien het delegeren van specifieke rollen toewijzen zodat de toegang van het management en admins kan worden beheerst of beperkt.

3. Eenvoudige, kant-en-klare integraties gebruiken

IT en een wildgroei aan datazijn uitdagingen voor organisaties die groeien. Elke dag komen er nieuwe identities, gebruikers, systemen, devices en netwerken bij. Het is lastig het beheer van integraties op te schalen als er onafhankelijke systemen en code moeten worden aangepast. Een eenvoudige manier om access management in goede banen te leiden is door oplossingen te gebruiken die geschikt zijn voor kant-en-klare integraties en implementaties zodat de complexiteit kan worden verminderd. 

Als u al een platform voor identity management heeft, maar samenwerkt met een andere organisatie, focus dan op een systeem dat soepel geïntegreerd kan worden. U kunt dan populaire protocollen als OpenID Connect of SAML gebruiken en LDAP of Microsoft Active Directory voor SaaS-integraties.

Wanneer de groei aanhoudt (het partnerschap wordt bijvoorbeeld uitgebreid of een product wordt opgeschaald, met meer klanten als resultaat), moet u met name streven naar eenvoud. Development teams kunnen oplossingen met kant-en-klare integraties gebruiken om problemen op te lossen en de gebruiksvriendelijkheid te bevorderen.

4. Een centraal overzicht gebruiken om eenvoudig toezicht te houden

Governance, toezicht en compliance kunnen voor identities eenvoudig worden beheerd aan de hand van een centraal overzicht. Zo'n centraal overzicht stelt Infosec-afdelingen in staat identities en toegangscontroles eenvoudig te beheren. Een centraal overzicht van gebruikers en identities maakt de governance en compliance bovendien eenvoudiger. Er kunnen intern regels en meldingen worden geïmplementeerd om toegang te beperken of leden van het Infosec-team op de hoogte te brengen van eventuele schendingen. Op die manier kan de duur van een lek worden beperkt of kan het Infosec-team meer prioriteit toekennen aan het onderzoeken van een melding en de beperking van de toegang.

Het gebruiken van één overzicht van de omgeving van uw organisatie maakt identity en access management eenvoudiger, zodat u oplossingen voor het beheer van gebruikers en klanten kunt implementeren die schaalbaar en innovatief zijn.

Alles samenbrengen

Een veilig beheer van alle customer identities in een organisatie is niet eenvoudig. Er is een overvloed aan data en er komen iedere dag nieuwe medewerkers, klanten, technologieën en bestanden bij. Al deze aspecten dragen eraan bij dat een veilig beheer van customer identities en access management voor IT-teams steeds lastiger wordt. De best practices die hierboven worden beschreven kunnen door organisaties van elke omvang worden toegepast, of ze nu net zijn opgericht of een IT-organisatie die gaat herorganiseren.

Kort samengevat, zijn dit de aanbevelingen:

• Stel de user lifecycle op en breng deze in kaart om inzicht te krijgen in de toegang en het gebruik door klanten.
• Definieer identities met bijbehorende rollen en rechten op basis van het beginsel van minimale rechten.
• Integreer met kant-en-klare oplossingen die eenvoudig zijn en een goede user experience garanderen.
• Beheer uw omgeving met behulp van een centraal overzicht voor toezicht en governance zodat u snel kunt reageren, eenvoudig kunt beheren en de compliance constant kunt monitoren.

Wilt u hier meer over weten? U kunt hier terecht voor meer informatie over oplossingen voor access management voor customer identities.