De herontdekking van informatiebeveiliging
Dit artikel had al even geleden geschreven moeten worden. Eigenlijk al heel lang geleden, want het is opvallend hoe vaak we horen over security-incidenten en datalekken. In een paar van mijn recente artikelen ging het over datalekken, vooral vanuit oude(rwetse) informatiesystemen.
En wat mij betreft is het probleem niet zozeer dat die systemen niet deugen, maar eerder dat de beslissingsbevoegdheid voor toegang heel vaak verkeerd is belegd. Dat is natuurlijk van oudsher ontstaan, in vroeger tijden toen ict-afdelingen de systemen ontwikkelden. Maar dat wil niet zeggen dat het zo moet blijven. Integendeel, de bedrijfsvoering (de ‘business’) moet weer de zeggenschap krijgen. En daarbij moeten misschien wel alternatieve wegen worden bewandeld. De wereld is veranderd, de bedrijfsprocessen veranderen en de informatievoorziening is veranderd.
Vroeger werd een systeem gebouwd om gegevens te beheren, waarbij iemand voor het gebruik van dat systeem een account krijgt en waar een beheerder aan die gebruiker de rechten toekende. Dat leidde tot enorme fragmentatie van accounts in verschillende systemen om processen te kunnen uitvoeren. Tegenwoordig doen we het anders. We kopen nieuwe cloud-gebaseerde diensten, en verlenen mensen met een enkel Azure account via single sign-on toegang tot al die diensten en gegevens.
En dan nog gaat het fout..
We zijn weliswaar af van dat accountmanagement en wachtwoordenbeheer, maar toegang is nog steeds niet opgelost.
En de reden is dat we nog steeds in mensen, systemen en diensten denken. We kopen een systeem of een dienst om onze medewerkers te helpen met onze processen. Maar dat is niet meer schaalbaar. Probeer maar eens om aan business partners, klanten en leveranciers toegang te verlenen. De verleiding is groot om dat op traditionele manieren te doen, om op een traditionele manier onze informatie te beveiligen. Toegangsbeheer vanuit de optiek van accounts en systemen is niet schaalbaar.
Dat moet anders: “‘wie’ is niet schaalbaar”
We moeten niet meer denken vanuit de traditionele kaders, maar we moeten denken vanuit de processen en de gegevens die worden verwerkt. Niet meer denken aan wie toegang mag hebben tot processen en gegevens (‘wie’ is niet schaalbaar), maar waarom, onder welke voorwaarden iemand toegang zou mogen hebben om de beveiligde informatie te kunnen gebruiken. En dan komen we weer bij de kern van informatiebeveiliging: de informatie moeten we beveiligen, niet de gebruikers. Op grond waarvan mag iemand een proces of een informatie-element gebruiken? En dat kan van alles zijn. Dat kunnen competenties van de gebruikers zijn (junior versus senior), het betrouwbaarheidsniveau van de persoon (bijvoorbeeld afkomstig van een betrouwbare partner, met multi-factor authenticatie), bedrijfsregels rondom belangenverstrengeling (iemand mag niet zijn eigen objectgegevens, bijv. een eigen declaratie afhandelen) of een key control als functiescheiding (als iemand taak 3 heeft uitgevoerd, mag die persoon niet ook taak 4 afhandelen).
Maar het gaat hierbij dus niet over: Wie ben je, wat is je rol, wat is je profiel, wat mag je. Het gaat over: waarom zou je dit mogen. Het is een omgekeerde vraagstelling. Natuurlijk moeten we nog steeds wel weten wie iets gedaan heeft, maar dat is gewoon standaard logging en monitoring, dat kennen we al.
Dus terug naar de basis, beveiligen van informatie.
De meeste traditionele systemen zijn daar niet echt voor gemaakt. Er zijn meer knelpunten dan datalekken die het resultaat zijn van onhandige toegangsfaciliteiten. Op termijn moeten we terug naar beveiliging van informatie, juist omdat we die gebruiker zelf misschien niet eens meer kennen. En dat moment is sneller dan we misschien wel denken: denk maar eens aan het ontsluiten van API’s en machine2machine communicatie. Denk maar eens aan een Zero Trust Architectuur. In die omgevingen bestaan geen accounts meer, er is alleen toegang. Dat betekent dat we op grond van die ontwikkeling identiteit en toegang moeten scheiden. En dat betekent dat we op basis van toegangsbeleid, op basis van access policies, toegang verlenen. Gebruik makend van allerhande andere kenmerken dan gebruikersnamen en rollen. Attribute Based Access Control, Policy Based Access Control in plaats van Role Based Access Control.
Dit zal dan ook geen een eenvoudige transitie zijn, dit vergt een nieuwe visie en strategie, niet alleen voor het gebruik van systemen, maar ook voor ontwikkeling en aanschaf van nieuwe systemen, er moeten nieuwe uitgangspunten worden gehanteerd. De belangrijkste nieuwe eis is daarbij wel dat in de toekomst toegang tot informatie zal worden geborgd door Access Policies, en niet meer door traditionele accounts en rollen.
Over de auteur
André Koot
CCSO
André Koot is principal IAM consultant en mede-oprichter van SonicBee. Hij heeft 20 jaar ervaring in het Cyber Security domein, waarvan hij de laatste 10 jaar specifiek gericht is op Identity en Access Management. Hij is een absolute topexpert op dit gebied, internationaal erkend. André levert een actieve bijdrage aan het IAM domein, onder meer in zijn rollen als: Bestuurslid Cloud security alliantie NL chapter, Lid IDPro commissie en lid adviesraad Identity.Next.
SonicBee is een onafhankelijk adviesbureau dat diensten levert op het gebied van Identity and Access Management. Daarnaast verzorgt SonicBee de 4-daagse IMF Academy training Identiteitenbeheer en Autorisatiemanagement. Deze training bereidt voor op de CIDPRO certificering van IDPro.