Laat de aandacht voor identiteits- en toegangsbeheer niet verslappen

IAM

Als op dit moment ergens gebruiksvriendelijkheid en zorgvuldigheid met elkaar botsen, is het op het gebied van identiteits- en toegangsbeheer. Een eenvoudig te onthouden wachtwoord is een eenvoudig te raden wachtwoord. Bij de belastingdienst is het weer zo moeilijk om een wachtwoord te maken dat voldoet aan alle eisen die worden gesteld, dat je na twaalf mislukte pogingen uiteindelijk maar met je DigiD inlogt. Het wachtwoord, in ieder geval als enig authenticatiemiddel, lijkt zijn langste tijd dan ook wel te hebben gehad en wordt steeds vaker vervangen door multifactor authenticatie. Wat weer niet altijd bijdraagt aan de gebruiksvriendelijkheid.

De tijd dat je alleen een wachtwoord voor het LAN nodig had, staat me nog helder voor de geest, maar ligt inmiddels ver achter ons. Zakelijke gebruikers worden omringd door grote aantallen toepassingen en databases, vanuit de cloud en vanaf het bedrijfsnetwerk, die ze via verschillende apparaten proberen te gebruiken. Authenticatie dient dus al snel op verschillende platforms plaats te kunnen vinden, waarbij niet per se dezelfde autorisaties horen. Om het nog complexer te maken, laten veel organisaties niet alleen werknemers, maar ook klanten en leveranciers toe tot bepaalde toepassingen. Ook daarbij is het belangrijk dat een klant bijvoorbeeld kan aantonen wie hij is.

De impact van de cloud op identiteits- en toegangsbeheer bij Nederlandse organisaties wordt duidelijk, als we kijken naar hoe Nederlandse organisaties veilig cloudgebruik proberen te waarborgen. In 2016 zagen we in de Nationale IT-Security Monitor dat in vergelijking met 2015 de maatregelen op een aantal punten werden aangescherpt, vooral voor wat betreft technische maatregelen. Identiteitsbeheer kwam hierbij bovendrijven als de meest voorkomende maatregel. En daarbij gaat het niet om het gemak van de gebruiker. Wat SSO betreft, zien we dan ook geen duidelijke toename. Dat betekent overigens niet dat er geen aandacht voor de gebruiker is. Waar in 2015 nog maar 17% van de Nederlandse organisaties duidelijke richtlijnen voor gebruikers van mobiele apparatuur had opgesteld voor wat betreft de keuze van veilige wachtwoorden, was dat percentage tot 30% gegroeid in het afgelopen jaar.

IAM-1_615x346-615x346

Naast de impact van mobiliteit en de cloud, zien we dat veel organisaties in het Internet der Dingen gaan investeren. Deze ‘dingen’ hebben ook toegang nodig. Bij veel organisaties zullen er al snel meer ‘dingen’ dan personen zich gaan melden. Het wordt tijd dat identiteits- en toegangsbeheer accepteert dat zowel personen als dingen en alles wat daar tussenin zit, bijvoorbeeld services, entiteiten zijn waar rekening mee moet worden gehouden. En waar dus een totaalvisie omheen ontwikkeld dient te worden. Wat dat betreft, is er voor de meeste organisaties zeker nog een lange weg te gaan.

Aandacht voor identiteits- en toegangsbeheer

Op het gebied van identiteits- en toegangsbeheer zien we dat veel organisaties bezig zijn met twee zijden van dezelfde medaille: het medewerkersbewustzijn en, op een meer technisch niveau, identiteits- en toegangsbeheer. Beide zijn top-3 securitythema’s voor organisaties binnen Nederland. Wat opvalt is dat de aandacht voor identiteits- en toegangsbeheer niet echt meer lijkt toe te nemen, terwijl er wel veel meer aandacht voor de rol van de gebruiker in het geheel is.

IAM-2_615x346-615x346

Dat beeld wordt versterkt als we kijken naar de investeringsprioriteiten van IT-beveiligers. We zien dat 38% van de Nederlandse IT-beveiligers aangeeft hoge prioriteit te leggen bij investeringen in identiteits- en toegangsbeheer. Met de aandacht voor het onderwerp lijkt dus op het eerste gezicht weinig mis te zijn. Toch is er een punt van aandacht. Nederlandse organisaties lijken een beetje moe te worden van investeringen op dit gebied. Veel organisaties lijken projecten op dit vlak aan het afronden te zijn en hebben geen concrete vervolgplannen. 17% van de IT beveiligers zegt dat ze een afname van identiteits- en toegangsbeheerinvesteringen verwachten, terwijl 24% een toename verwacht. Dat lijkt op het eerste gezicht positief, maar op de meeste andere securitygebieden, wordt veel vaker groei verwacht. De enige duidelijke uitzondering hierop is de zorgsector, waar maar liefst 41% een groei voorziet in identiteits- en toegangsbeheer bestedingen.

IAM-3_615x346-615x346

Laat de aandacht niet verslappen

Identiteits- en toegangsbeheer lijkt de afgelopen tijd over voldoende aandacht te hebben beschikt. Maar het lijkt er ook op dat de aandacht dreigt af te zwakken. Toch is het belangrijk om na te denken over de veranderingen waar u als organisatie de komende jaren mee te maken krijgt. Heeft u al zicht de plannen van uw organisatie met het Internet der Dingen en zit security daar wel dicht genoeg bovenop? Wat betekent het eigenlijk als ‘dingen’ met enige intelligentie toegang vragen? En hoe complex is het om het overzicht te houden als de organisatie zich in de multicloud begeeft? Wordt het niet ook tijd om op zoek te gaan naar wat analytische toepassingen identiteits- en toegangsbeheer te bieden hebben? Er zijn meer dan genoeg vragen waar u nog een antwoord op zal moeten zoeken. Vergeet daarbij in ieder geval niet dat identiteits- en toegangsbeheer bestaat om deuren te openen voor geautoriseerde entiteiten. Deze entiteiten gebruiken de toegang om productief te zijn en toegang te krijgen tot data waarmee ze onderbouwde beslissingen kunnen nemen. Zonder snelle toegang vertraagt uw organisatie, zonder toegang valt uw organisatie stil.

Peter Vermeulen is Directeur bij Pb7 Research