Wat is Identity and Access Management (IAM)?

Met een IAM-systeem kunnen bedrijven binnen de gehele onderneming hetzelfde security beleid toepassen. Door tools zoals een NAC-oplossing kunnen zij bepalen welke gebruikers toegang krijgen tot bronnen en wanneer. Op die manier kunnen zij het risico beperken dat niet-gemachtigde gebruikers gevoelige gegevens te zien krijgen of al dan niet opzettelijk misbruiken.

IAM-methoden zoals eenmalige aanmelding (SSO) en MFA beperken ook het risico dat inloggegevens worden gehackt of misbruikt omdat gebruikers niet meerdere wachtwoorden hoeven te maken en bij te houden. En aangezien op bewijs gebaseerde verificatie is vereist (zoals beveiligingsvragen, eenmalige wachtwoorden of inherente factoren zoals duimafdrukken) om toegang te krijgen tot beschermde bronnen , is er minder kans dat een kwaadwillende toegang krijgt tot kritische bronnen.

Met IAM-systemen kunnen organisaties voldoen aan nalevingsvereisten met betrekking tot data security en privacy. IAM kan bijvoorbeeld bijdragen aan naleving van de HIPAA (Health Insurance Portability and Accountability Act), die vereist dat organisaties die beschermde gezondheidsinformatie verwerken veilige elektronische toegang tot die gegevens implementeren.

Bedrijven kunnen IAM-methoden zoals SSO, MFA, RBAC (op rollen gebaseerd toegangsbeheer) en ‘minimaal benodigde bevoegdheden’ (gebruikers en entiteiten zoals softwaretoepassingen de minimale toegang verlenen die nodig is om een taak uit te voeren) gebruiken om aan de HIPAA-vereisten te voldoen.

IAM is ook nuttig in instellingen voor financiële dienstverlening die moeten voldoen aan de Amerikaanse Sarbanes-Oxley Act (SOX). Op grond van artikel 404 van de SOX moeten bedrijven adequate interne controles implementeren, testen en documenteren ter voorbereiding van financiële verslagen en ter bescherming van de integriteit van de financiële gegevens in die verslagen. Afdwinging van SoD-beleid (scheiding van taken) is een van de vele manieren waarop IAM-tools en -systemen ervoor kunnen zorgen dat bedrijven aan SOX-vereisten voldoen.

Met security maatregelen zoals SSO, MFA of RBAC kunnen organisaties de security verbeteren en belemmeringen wegnemen die de productiviteit van werknemers in de weg staan. Werknemers krijgen snel toegang tot de benodigde bronnen om overal hun werk te kunnen doen. Met IAM zijn werknemers ervan verzekerd dat ze in een veilige omgeving werken.

Door de inzet van een IAM-systeem dat automated gebruikersprovisioning mogelijk maakt is het voor werknemers gemakkelijker om geautoriseerde toegang tot verschillende bronnen te verzoeken en deze te krijgen wanneer dat nodig is, zonder dat IT wordt belast of een knelpunt vormt voor werknemersproductiviteit.

Met IAM-oplossingen kunnen veel taken gerelateerd aan identiteits-, verificatie- en autorisatiebeheer worden geautomatiseerd en gestandaardiseerd. Hierdoor kunnen IT-beheerders hun tijd besteden aan taken die waarde toevoegen voor het bedrijf. Bovendien zijn veel IAM-services tegenwoordig cloudgebaseerd, waardoor het kopen, implementeren en onderhouden van infrastructuur op kantoor voor IAM overbodig wordt of de noodzaak daartoe aanzienlijk wordt beperkt.

Wanneer MFA wordt ingezet, moeten gebruikers een combinatie van verificatiefactoren doorgeven om hun identiteit te verifiëren. Naast gebruikersnamen en wachtwoorden gebruiken ondernemingen doorgaans de TOTP-methode (tijdgebaseerd eenmalig wachtwoord), waarbij gebruikers een tijdelijke wachtwoordcode moeten doorgeven die zij via sms, e-mail of telefonisch hebben ontvangen. Andere MFA-systemen vereisen biometrische verificatie van gebruikers (ook wel inherente factoren genoemd) zoals een vingerafdruk of gezichtsscan.

SSO is een identificatiesysteem dat doorgaans door ondernemingen wordt gebruikt om de identiteit van gebruikers te verifiëren. Hiermee kan een geautoriseerde gebruiker veilig inloggen bij meerdere SaaS-toepassingen en websites met één set inloggegevens (gebruikersnaam en wachtwoord). SSO kan worden beschouwd als een automated versie van MFA. Via SSO-systemen worden gebruikers geverifieerd met MFA, waarna die verificatie aan de hand van softwaretokens wordt gedeeld met meerdere toepassingen. SSO kan ook worden gebruikt om toegang tot toegewezen middelen of locaties te voorkomen, zoals externe websites en platforms.

Het voordeel van een SSO-benadering van IAM – naast een naadloos inlogproces voor eindgebruikers – is dat IT-beheerders machtigingen kunnen instellen, gebruikerstoegang kunnen regelen en gebruikers probleemloos kunnen (de)provisioneren.

Federatie maakt de inzet van SSO zonder wachtwoorden mogelijk. Met behulp van een standaard identiteitsprotocol, zoals Security Assertion Markup Language (SAML) of WS-Federation, levert een federatieserver een token (identiteitsgegevens) aan een systeem of toepassing waarmee een vertrouwensrelatie tot stand is gebracht. Dankzij die relatie kunnen gebruikers zich vrijelijk tussen verbonden domeinen bewegen zonder opnieuw te hoeven worden geverifieerd.

Veel grote ondernemingen gebruiken RBAC, een methode om toegang tot netwerken, gevoelige gegevens en kritieke toepassingen te beperken op basis van iemands rol en verantwoordelijkheden binnen een organisatie. RBAC wordt ook wel access governance genoemd. Gedefinieerde rollen in RBAC kunnen onder andere eindgebruiker, beheerder en externe contractant zijn. Een rol kan worden gebaseerd op de bevoegdheden, locatie, verantwoordelijkheid of competentie van een gebruiker. Soms worden rollen gegroepeerd, zoals Marketing of Sales, zodat gebruikers met vergelijkbare verantwoordelijkheden bij een organisatie die vaak samenwerken toegang hebben tot dezelfde middelen.

Door als onderdeel van RBAC een zero-trust security framework toe te passen – waarbij zeer strenge toegangscontroles worden uitgevoerd op alle gebruikers die toegang aanvragen tot bedrijfsmiddelen – kunnen bedrijven ongeautoriseerde toegang nog beter voorkomen. Zij kunnen zelfs beveiligingslekken beperken en het risico verminderen dat een aanvaller zich lateraal door het netwerk beweegt.