Hebt u een account?

  •   Gepersonaliseerde content
  •   Uw producten en ondersteuning

Hebt u een account nodig?

Account maken

Wat is Identity and Access Management (IAM)?

Via Identity and Access management (IAM) wordt geregeld dat de juiste mensen en entiteiten met digitale identiteiten het juiste toegangsniveau hebben tot zakelijke middelen, zoals netwerken en databases. Gebruikersrollen en toegangsrechten worden via een IAM-systeem gedefinieerd en beheerd.

Wat doet een IAM-oplossing?

Met een IAM-oplossing kunnen IT-beheerders de digitale identiteiten en gerelateerde toegangsrechten van gebruikers veilig en effectief beheren. Beheerders kunnen gebruikersrollen instellen en aanpassen, gebruikersactiviteit traceren en rapporteren, en bedrijfsbeleid en beleid voor de naleving van richtlijnen afdwingen om de data security en privacy te waarborgen.

Een IAM-oplossing kan een reeks van processen en tools omvatten, zoals een NAC-oplossing (netwerktoegangsbeheer). IT-beheerders gebruiken NAC-oplossingen om toegang tot netwerken te beheren via opties als levenscyclusbeheer, netwerktoegang voor gasten en controle van het security postuur. IAM-oplossingen kunnen als cloudservices worden geleverd, op kantoor worden geïmplementeerd of beide (hybrid). Veel bedrijven kiezen voor cloudgebaseerde toepassingen omdat deze eenvoudiger te implementeren, bij te werken en te beheren zijn.

Wat is een digitale identiteit?

Een digitale identiteit is een centrale bron van waarheid bij identity and access management. Hiermee wordt verwezen naar de inloggegevens die een gebruiker moet hebben om toegang te krijgen tot bronnen online of op een bedrijfsnetwerk. IAM-oplossingen koppelen deze inloggegevens (of verificatiefactoren) aan gebruikers of entiteiten die toegang verzoeken tot toepassingen, met name op Layer 7-niveau. Aan de hand van deze factoren wordt bepaald of de gebruikers zijn wie ze zeggen te zijn.

Wat zijn gangbare verificatiefactoren?

Drie van de meest gangbare verificatiefactoren voor IAM zijn iets wat de gebruiker weet (zoals een wachtwoord), iets wat de gebruiker heeft (zoals een smartphone) en iets wat de gebruiker is (een fysieke eigenschap zoals een duimafdruk). Gebruikers moeten doorgaans een combinatie van verificatiefactoren doorgeven aan een verificatietoepassing om hun identiteit te bevestigen en toegang te krijgen tot de beschermde bronnen die zij mogen bekijken of gebruiken.

Veel ondernemingen passen twee-factor-authenticatie (2FA) toe, een basisvorm van multi-factor-authenticatie (MFA). Bij het 2FA-proces moeten gebruikers een gebruikersnaam en wachtwoord doorgeven en vervolgens een code invoeren die door de 2FA-toepassing is gegenereerd of reageren op een melding op een apparaat zoals een smartphone.

Voordelen van IAM

Uitgebreide IT security

Met een IAM-systeem kunnen bedrijven binnen de gehele onderneming hetzelfde security beleid toepassen. Door tools zoals een NAC-oplossing kunnen zij bepalen welke gebruikers toegang krijgen tot bronnen en wanneer. Op die manier kunnen zij het risico beperken dat niet-gemachtigde gebruikers gevoelige gegevens te zien krijgen of al dan niet opzettelijk misbruiken.

IAM-methoden zoals eenmalige aanmelding (SSO) en MFA beperken ook het risico dat inloggegevens worden gehackt of misbruikt omdat gebruikers niet meerdere wachtwoorden hoeven te maken en bij te houden. En aangezien op bewijs gebaseerde verificatie is vereist (zoals beveiligingsvragen, eenmalige wachtwoorden of inherente factoren zoals duimafdrukken) om toegang te krijgen tot beschermde bronnen , is er minder kans dat een kwaadwillende toegang krijgt tot kritische bronnen.


Betere naleving

Met IAM-systemen kunnen organisaties voldoen aan nalevingsvereisten met betrekking tot data security en privacy. IAM kan bijvoorbeeld bijdragen aan naleving van de HIPAA (Health Insurance Portability and Accountability Act), die vereist dat organisaties die beschermde gezondheidsinformatie verwerken veilige elektronische toegang tot die gegevens implementeren.

Bedrijven kunnen IAM-methoden zoals SSO, MFA, RBAC (op rollen gebaseerd toegangsbeheer) en ‘minimaal benodigde bevoegdheden’ (gebruikers en entiteiten zoals softwaretoepassingen de minimale toegang verlenen die nodig is om een taak uit te voeren) gebruiken om aan de HIPAA-vereisten te voldoen.

IAM is ook nuttig in instellingen voor financiële dienstverlening die moeten voldoen aan de Amerikaanse Sarbanes-Oxley Act (SOX). Op grond van artikel 404 van de SOX moeten bedrijven adequate interne controles implementeren, testen en documenteren ter voorbereiding van financiële verslagen en ter bescherming van de integriteit van de financiële gegevens in die verslagen. Afdwinging van SoD-beleid (scheiding van taken) is een van de vele manieren waarop IAM-tools en -systemen ervoor kunnen zorgen dat bedrijven aan SOX-vereisten voldoen.


Hogere werknemersproductiviteit

Met security maatregelen zoals SSO, MFA of RBAC kunnen organisaties de security verbeteren en belemmeringen wegnemen die de productiviteit van werknemers in de weg staan. Werknemers krijgen snel toegang tot de benodigde bronnen om overal hun werk te kunnen doen. Met IAM zijn werknemers ervan verzekerd dat ze in een veilige omgeving werken.

Door de inzet van een IAM-systeem dat automated gebruikersprovisioning mogelijk maakt is het voor werknemers gemakkelijker om geautoriseerde toegang tot verschillende bronnen te verzoeken en deze te krijgen wanneer dat nodig is, zonder dat IT wordt belast of een knelpunt vormt voor werknemersproductiviteit.


Lagere IT-kosten

Met IAM-oplossingen kunnen veel taken gerelateerd aan identiteits-, verificatie- en autorisatiebeheer worden geautomatiseerd en gestandaardiseerd. Hierdoor kunnen IT-beheerders hun tijd besteden aan taken die waarde toevoegen voor het bedrijf. Bovendien zijn veel IAM-services tegenwoordig cloudgebaseerd, waardoor het kopen, implementeren en onderhouden van infrastructuur op kantoor voor IAM overbodig wordt of de noodzaak daartoe aanzienlijk wordt beperkt.

IAM-mogelijkheden

Toegang tot middelen toestaan of blokkeren

IAM-systemen zijn ontwikkeld om toegang tot beschermde data en toepassingen toe te staan of te blokkeren. Met geavanceerdere IAM-oplossingen kunnen bedrijven machtigingen toewijzen voor gedetailleerder toegangsbeheer. Hiermee kunnen bijvoorbeeld tijden worden ingesteld waarop een service kan worden gebruikt en locaties van waaruit toegang wordt toegestaan.


Toegang tot platforms beperken

Een organisatie kan een IAM-oplossing gebruiken om te bepalen welke gebruikers toegang krijgen tot platforms die worden gebruikt voor het ontwikkelen, klaarzetten en testen van producten en services.


Overdracht van gevoelige gegevens voorkomen

Veel bedrijven gebruiken IAM om hun data security te verhogen en stellen daartoe strikte machtigingen in om te bepalen welke gebruikers data kunnen maken, wijzigen, verwijderen of overdragen. Door bijvoorbeeld RBAC toe te passen, kan een tijdelijke werknemer geen data verzenden of ontvangen buiten de systemen van het bedrijf.


Rapportages bieden

IAM-systemen maken rapportage mogelijk zodat organisaties kunnen aantonen dat zij voldoen aan voorschriften ten aanzien van data security en privacy. Dankzij inzichten gebaseerd op deze rapportages kunnen bedrijven security processen verbeteren en risico’s beperken. En ze krijgen een beter beeld van de bronnen die werknemers nodig hebben om zo productief mogelijk te kunnen zijn.

IAM-tools en -methoden

Multi-factor-authenticatie

Wanneer MFA wordt ingezet, moeten gebruikers een combinatie van verificatiefactoren doorgeven om hun identiteit te verifiëren. Naast gebruikersnamen en wachtwoorden gebruiken ondernemingen doorgaans de TOTP-methode (tijdgebaseerd eenmalig wachtwoord), waarbij gebruikers een tijdelijke wachtwoordcode moeten doorgeven die zij via sms, e-mail of telefonisch hebben ontvangen. Andere MFA-systemen vereisen biometrische verificatie van gebruikers (ook wel inherente factoren genoemd) zoals een vingerafdruk of gezichtsscan.


Eenmalige aanmelding

SSO is een identificatiesysteem dat doorgaans door ondernemingen wordt gebruikt om de identiteit van gebruikers te verifiëren. Hiermee kan een geautoriseerde gebruiker veilig inloggen bij meerdere SaaS-toepassingen en websites met één set inloggegevens (gebruikersnaam en wachtwoord). SSO kan worden beschouwd als een automated versie van MFA. Via SSO-systemen worden gebruikers geverifieerd met MFA, waarna die verificatie aan de hand van softwaretokens wordt gedeeld met meerdere toepassingen. SSO kan ook worden gebruikt om toegang tot toegewezen middelen of locaties te voorkomen, zoals externe websites en platforms.

Het voordeel van een SSO-benadering van IAM – naast een naadloos inlogproces voor eindgebruikers – is dat IT-beheerders machtigingen kunnen instellen, gebruikerstoegang kunnen regelen en gebruikers probleemloos kunnen (de)provisioneren.


Federatie

Federatie maakt de inzet van SSO zonder wachtwoorden mogelijk. Met behulp van een standaard identiteitsprotocol, zoals Security Assertion Markup Language (SAML) of WS-Federation, levert een federatieserver een token (identiteitsgegevens) aan een systeem of toepassing waarmee een vertrouwensrelatie tot stand is gebracht. Dankzij die relatie kunnen gebruikers zich vrijelijk tussen verbonden domeinen bewegen zonder opnieuw te hoeven worden geverifieerd.


RBAC en zero trust

Veel grote ondernemingen gebruiken RBAC, een methode om toegang tot netwerken, gevoelige gegevens en kritieke toepassingen te beperken op basis van iemands rol en verantwoordelijkheden binnen een organisatie. RBAC wordt ook wel access governance genoemd. Gedefinieerde rollen in RBAC kunnen onder andere eindgebruiker, beheerder en externe contractant zijn. Een rol kan worden gebaseerd op de bevoegdheden, locatie, verantwoordelijkheid of competentie van een gebruiker. Soms worden rollen gegroepeerd, zoals Marketing of Sales, zodat gebruikers met vergelijkbare verantwoordelijkheden bij een organisatie die vaak samenwerken toegang hebben tot dezelfde middelen.

Door als onderdeel van RBAC een zero-trust security framework toe te passen – waarbij zeer strenge toegangscontroles worden uitgevoerd op alle gebruikers die toegang aanvragen tot bedrijfsmiddelen – kunnen bedrijven ongeautoriseerde toegang nog beter voorkomen. Zij kunnen zelfs beveiligingslekken beperken en het risico verminderen dat een aanvaller zich lateraal door het netwerk beweegt.

IAM implementeren

Huidige en toekomstige IAM-behoeften overwegen

IAM-oplossingen met basismogelijkheden voor het beheren van gebruikerstoegang tot bedrijfsmiddelen kunnen eenvoudig worden ingesteld. Maar als u een grote en complexe organisatie heeft, is mogelijk een geavanceerdere oplossing of een combinatie van systemen en tools nodig.

Voordat u in een IAM-systeem gaat investeren, moet u goed overwegen wat de huidige en toekomstige zakelijke behoeften zijn. Denk hierbij aan eisen met betrekking tot de IT-infrastructuur en de mogelijkheden van de oplossing zelf. Twee belangrijk vragen: Is de oplossing eenvoudig te onderhouden? En kan deze meeschalen met onze zakelijke behoeften naarmate we meer toepassingen en gebruikers toevoegen?


Compatibiliteit en naleving controleren

Voordat u in een IAM-oplossing gaat investeren, moet u nagaan of deze compatibel is met uw huidige besturingssysteem, toepassingen van derden en webservers. U zou een lijst kunnen maken met alle toepassingen die met de IAM-oplossing moeten worden geïntegreerd, zodat u niets over het hoofd ziet.

Controleer ook of het IAM-systeem dat u op het oog heeft voldoet aan toepasselijke lokale en federale voorschriften. Een IAM-oplossing moet naleving verbeteren en niet tot meer potentiële risico’s voor uw bedrijf leiden.


De verandering beheren

Bij de overgang naar een nieuwe manier van gebruikers verifiëren en autoriseren is mogelijk verandermanagement vereist. U zou de nieuwe IAM-oplossing kunnen uitrollen voor bepaalde bedrijfsonderdelen, zoals Financiën, voordat u deze in de gehele organisatie implementeert.

Houd er rekening mee dat IAM van invloed is op alles wat en iedereen die toegang moet hebben tot de IT-middelen van het bedrijf. Om de adoptie van de nieuwe IAM-tools en -processen te stimuleren, moet u de tijd nemen om eerst alle belangrijke belanghebbenden mee te krijgen.


Belangrijke meetcriteria instellen en traceren

U moet de effectiviteit van uw IAM-oplossing traceren en bepalen of het systeem investeringsrendement oplevert. Zodra het systeem operationeel is, kunt u overwegen de prestaties ervan te traceren en regelmatig de benodigde tijd voor de provisioning van nieuwe gebruikers, het aantal keren dat wachtwoorden opnieuw moeten worden ingesteld en het aantal potentiële SoD-schendingen in kaart te brengen.


Endpoints of apparaten overwegen

In een complex netwerk met een private IT-infrastructuur of in een omgeving met Internet of Things (IoT) en operationele technologie (OT) kan de inzet van alleen een IAM-systeem om gebruikerstoegang tot IT-middelen te beheren in feite juist een security risico creëren. Een organisatie kan dan worden blootgesteld aan botnet-aanvallen.

Een NAC-oplossing kan de security in deze omgevingen verbeteren. Hiermee kan bijvoorbeeld gedefinieerd profilerings- en toegangsbeleid worden toegepast op verschillende categorieën IoT-apparaten. En netwerkbedreigingen kunnen worden beperkt door security beleid af te dwingen waarmee niet-compatibele computers worden geblokkeerd, geïsoleerd en hersteld zonder tussenkomst van de beheerder.