Column
Column NewDay: Autorisatiemanagement; lastig, lastig, lastig
Met autorisatiemanagement bedoelen we het toewijzen van rechten en bevoegdheden binnen de IT-systemen (applicaties maar ook netwerk en infrastructuur). Een goede inrichting van autorisaties (need-to-have/need-to-know) is ook voor het verkleinen van de kans op een negatieve impact van bijvoorbeeld een hack, uitermate belangrijk. Hackers proberen vooral de inlogcredentials van functionarissen met ruimere bevoegdheden te achterhalen. Idealiter van 'administrators'. Als dit lukt, kunnen ze namelijk veelal zichzelf als gebruiker aanmaken en gaan er vaak pas laat alarmbellen af (als dat al gebeurt).
Toch besteden wij in verhouding best veel tijd aan het overtuigen van onze klanten dat te veel mensen te veel bevoegdheden hebben. In de praktijk kan het namelijk zeer onpraktisch zijn wanneer een medewerker niet altijd toegang heeft. Ondanks dat dit soms maar één of twee keer per jaar nodig is. Dat is toch ook 'need to have' wordt dan weleens gezegd Een dergelijk beperkte noodzakelijke toegang is echter geen 'need to have'. Vuistregel is dat er één reservefunctionaris moet zijn en dan nog één achtervang welke via een tijdelijke toegang in vakanties en dergelijke kan invallen.
Wellicht wordt dit probleem in de toekomst minder. Er zijn al diverse technische alternatieven waaronder PAM, dat staat voor 'Privileged Access Management'. Met deze technologie krijgen gebruikers alleen toegang met een encrypted user-ID en wachtwoord wanneer er een directe gebeurtenis is, waar zij vanuit hun functie op moeten acteren én ze op dat moment ook aan het werk zijn.
Ik wens iedereen een snelle (pim) PAM (pet) toe!
Alex Klaassen, IT Risk organisatie NewDay
