Het is al de derde week van deze cybersecurity maand…. Time flies when you’re having fun!
Tijdens deze Cyber Month sta ik stil bij informatiebeveiliging in de breedste zin van het woord. Gedurende deze maand worden er ook verscheidene bijeenkomsten, beurzen en conferenties georganiseerd door organisaties en experts. Een voorbeeld van een bijeenkomst die ikzelf heb bijgewoond is de ONE Conference in Den Haag. Wat mij meteen opviel bij het aanmelden was de registratie: ik moest mij vooraf registreren op de website en bij het aanmelden mijn rijbewijs of paspoort tonen ter identificatie. Hier dient een account als gatekeeper, enkel met mijn gegevens (identificatie) lieten ze me passeren.
Maar hoe zit dat nu met die accounts? Elke organisatie heeft accounts maar niet elke organisatie is zich altijd bewust van de soorten accounts en welke toegang en rechten deze hebben. Daar zou ik mij vandaag op willen toespitsen: het gebruik en beheer van accounts binnen organisaties.
Accountbeheer mag dan geen trendy topic zijn, maar het uitvoeren van goed accountbeheer kan van levensbelang zijn binnen een organisatieperspectief. Denk bijvoorbeeld aan het aanwerven en uit dienst treden van medewerkers of een functiewijziging binnen een organisatie. Hierbij is het belangrijk om stil te staan bij wie er al dan niet (meer) kan inloggen en of deze (nog steeds) de juiste rechten kregen toegewezen.
Wanneer een medewerker bijvoorbeeld opstart als projectmanager binnen een organisatie en naderhand deel uitmaakt van het salesteam, wordt vaak vergeten dat er niet meer dezelfde rechten van toepassing zijn in deze nieuwe rol. Zo is het mogelijk dat deze persoon te veel rechten bezit als salespersoon met alle mogelijke gevolgen van dien. Denk bijvoorbeeld aan de toegang tot specifieke klantendata waar de medewerker eigenlijk geen toegang tot mag hebben. Een degelijk proces binnen accountbeheer met periodieke controle op de uitvoering van dit proces is binnen een organisatie dus van groot belang.
Verder zijn de vereisten van een account ook essentieel. In de eerste plaats moet de accountnaam een logische opbouw hebben, bijvoorbeeld ‘voornaam.achternaam’. Meer algemene, niet-persoonlijke accounts zoals sales[at]organisatie.com bestaan echter ook. Deze worden aangemaakt met als doel dat een volledig departement toegang heeft tot dat account. Om de informatiebeveiliging te garanderen bij zulke accounts is het belangrijk om een niet-muteerbaar register bij te houden dat vastlegt wie toegang heeft tot welk account en wie het beheert. Periodiek controleren en continue monitoring is noodzakelijk bij deze algemene accounts.
Wat vaak als uitdaging binnen accountbeheer wordt gezien zijn de accounts voor externen en leveranciers. Het is mogelijk dat leveranciers een account nodig hebben binnen uw organisatie. Als organisatie is het gebruikelijk om hier duidelijke afspraken over te maken. De Multi-factor Authentication (MFA) van de medewerkers geldt vaak niet voor de externen of leveranciers. Het advies is dus om ook voor dit type accounts MFA toe te passen. Een extra suggestie is om persoonlijke accounts te gebruiken voor externen ‘naam_leverancier[at]organisatie.com’ en maak deze dan ook onderdeel van het proces van periodieke controle en continue monitoring.
Wanneer ik mijn aanwijzingen over accountbeheer samenvat kom ik tot de volgende opsomming:
- Zorg voor een doordacht, gestandaardiseerd proces met betrekking tot de in-en uitstroom en positiewijziging van medewerkers;
- Zorg voor monitoring op afwijkend gedrag op alle accounts;
- Review periodiek de verschillende accounts en de toegewezen rechten.
- Heeft de bijvoorbeeld de leidinggevende van het verkoop team die ooit als projectmanager is begonnen niet te veel rechten?
- Maak een lijst met (extra) vereisten voor accounts met gebruik door externen.
- Zorg bijvoorbeeld hier ook voor het standaard afdwingen van MFA;
- Maak ook deze accounts onderdeel van het controle proces en wijs een eigenaar toe.
Heb je vragen of tips, ik lees / hoor ze graag.
-thijs