Ondanks dat het belangrijk is om simpele toegang voor jouw gebruikers mogelijk te maken, blijft beveiliging het allerbelangrijkste. Marc Vanmaele, CEO van TrustBuilder, over de juiste balans.
Als we iets gedaan willen krijgen, is er meestal wel een applicatie of een online dienst die je daarbij helpt. Met een webgebaseerde dienst kunnen we bijvoorbeeld onze bankrekeningen beheren, samenwerken met collega’s, herstellen van een ziekte en de temperatuur regelen op kantoor of in ons smart home.
Vroeger waren IT-teams van bedrijven in staat om dat onafhankelijk voor medewerkers en klanten mogelijk te maken. In de IT-omgevingen van vandaag is dat veel moeilijker te bewerkstelligen. Maar wat is er veranderd en hoe kunnen organisaties in het veranderde IT-landschap de juiste balans vinden tussen gebruikerservaring en beveiliging?
Veranderende omgevingen
Applicaties of toestellen kunnen bestaan uit meerdere elementen die zowel op de locatie zelf als in de publieke of private cloud gehost worden. Gebruikers hebben met gelijk welk toestel of applicatie, of het nu vanaf een pc, smartphone of tablet is, toegang tot diensten.
We kunnen hier veel mogelijkheden bespreken. In de financiële wereld bijvoorbeeld, is het voor banken nu mogelijk om de next-gen diensten van innovatieve fintechs te integreren in hun eigen diensten. Terwijl dit het voor banken mogelijk maakt om zich te focussen op wat ze het best kunnen, financiële producten aanbieden aan klanten, voegt het ook een nieuwe laag van complexiteit toe. Voor diensten is het belangrijk dat ze gebruiksvriendelijk zijn. Ze moeten toegankelijk zijn vanaf gelijk welk platform, maar tegelijk wel cybercriminelen weghouden met adequate beveiliging.
Strengere vereisten
Ondertussen wordt er wereldwijd een toenemend aantal overheidsmaatregelen over hoe data beveiligd moet zijn, geïntroduceerd. Alle organisaties met klanten in de Europese Unie zijn sinds mei 2018 verplicht om te voldoen aan de nieuwe GDPR-regelgeving.
Met PSD2 worden banken gedwongen om een sterke klantauthenticatie te verzekeren.
Met PSD2 worden banken gedwongen om een sterke klantauthenticatie te verzekeren. Het aantal diensten waarvoor gebruikers aanvullende stappen moeten ondernemen om zichzelf te autoriseren, zullen dus toenemen.
Organisaties kunnen te maken krijgen met een groot aantal andere eisen op het vlak van informatiebeveiliging, bijvoorbeeld NISD voor digitale dienstenproviders, HIPAA voor zorgverzekeraars en PCI-DSS voor gelijk welk bedrijf dat betaalkaartinformatie verwerkt.
Toenemende bedreigingen
Er zijn eisen ingevoerd om het op te nemen tegen het vermogen van cybercriminelen om beveiligingspraktijken steeds een stap voor te blijven. Zij hadden namelijk kwetsbaarheden en mazen gevonden waardoor ze gegevens van miljoenen klanten tegelijk konden stelen. Paswoorden zijn steeds meer ineffectief tegen indringers. Phishing-aanvallen, waarbij gebruikers worden misleid om hun inloggegevens te geven, richten zich evenzeer op klanten als medewerkers.
Maar niet alle cyberdreigingen komen van buitenaf. Een recente enquête door Crowd Research Partners toont aan dat 90 procent van de organisaties zich kwetsbaar voelt tegenover aanvallen van binnenuit.
Tools voor vertrouwen
Met de toenemende aanwezigheid en complexiteit van cyberdreigingen, vinden organisaties met veel gebruikers het moeilijk om gebruikersidentiteit en toegang onafhankelijk te beheren. Om die complexiteit te doorbreken en tegelijk superieure beveiliging te bieden, moeten organisaties op zoek naar flexibele next-gen Identiteits- en toegangsbeheeroplossingen (IAM). Die oplossingen verminderen de manuele werkdruk op de IT-afdeling, waardoor ze controle krijgen over de omgeving en ze eenvoudige en veilige toegang voor gebruikers mogelijk maken.
Met de toenemende aanwezigheid en complexiteit van cyberdreigingen, vinden organisaties met veel gebruikers het moeilijk om gebruikersidentiteit en toegang onafhankelijk te beheren.
De beste oplossingen bieden de flexibiliteit om met elke bestaande IT-omgeving om te gaan, terwijl ze aanpasbaar genoeg zijn om ook de toekomst aan te kunnen. De beste manier om dit mogelijk te maken is met een beleidsgebaseerde IAM-oplossing waarmee toegangsparameters opnieuw kunnen worden geconfigureerd. Deze oplossingen bieden de grootste duurzaamheid en ROI, want elke keer als er een aanpassing nodig is, komen er geen uitgebreide en dure integratiewerkzaamheden aan te pas. Zodra een next-gen IAM-oplossing is geïnstalleerd, kan de IT-afdeling het toegangsbeleid van de organisatie verfijnen.
Toegangsbeleid
Om de risico’s van cyberaanvallen of interne inbreuken tegen te gaan, is het eerst en vooral nodig dat er toegangsrechten worden ingesteld op basis van de rol van elke gebruiker. Een zero-trust-model, waarbij elke gebruiker enkel toegang heeft tot wat noodzakelijk is om zijn of haar job uit te oefenen, is wenselijk. Maar dat stopt natuurlijk niet alle mogelijke bedreigingen.
Topmanagers worden steeds vaker het doelwit van social engineering-aanvallen. Daarom is het belangrijk dat er rekening wordt gehouden met meer dan enkel gebruikersnaam en wachtwoord vooraleer er toegang verleend wordt. Toegangsbeleid moet dynamische authenticatie en autorisatie omvatten, zodat niet alleen inloggegevens maar ook de context achter een transactie in beschouwing wordt genomen.
Topmanagers worden steeds vaker het doelwit van social engineering-aanvallen.
Vereisten voor Identiteits- en toegangsbeheer zullen veranderen naarmate de business-, gebruikers- en cybercriminele activiteiten blijven evolueren. Hoewel deze situatie steeds complexer wordt, helpt een flexibele en effectieve IAM-oplossing organisaties om de juiste balans te vinden tussen gebruikersgemak en superieure beveiliging.
Dit is een ingezonden bijdrage van Marc Vanmaele, CEO van TrustBuilder. Via deze link vind je meer informatie over de security-oplossingen van het bedrijf.