Data veiligheid en veiliger werken hebben behoorlijk wat raakvlakken. Grofweg zijn dit de belangrijkste manieren om het lekken van gevoelige informatie te voorkomen:
1. Meervoudige verificatie van toegang
2. Beperkte toegang met bepaalde accounts
3. Toegangspas gekoppeld aan IGA
4. Rooster gestuurd autoriseren
5. Locatie bepalend voor toegangen
Deze onderwerpen lijken wellicht ingewikkeld echter trachten wij zoveel mogelijk vakjargon te vermijden of juist uit te leggen wat dit betekent. Op deze wijze denken wij u mee te kunnen nemen in de wereld van beveiliging.
Dit onderwerp heet in vakjargon Multi Factor Authenticatie (MFA), oftewel via meerdere kanalen een verificatie te doen om te bepalen of u werkelijk bent wie zegt dat u bent. Je ziet overigens ook wel het begrip van 2-factor authenticatie echter is dat hetzelfde als MFA maar wel met restrictie dat het een 2-factor betreft.
Het is een manier zodat je zorgt dat een hogere mate van veiligheid ontstaat en dus zorgt dat onbevoegde mensen niet op je netwerk kan komen of dat ze inbreuk kunnen doen op je data. Zeker nu we veelal en steeds meer thuiswerken is MFA een goed middel om te zorgen dat er veiliger gewerkt kan worden.
Simpel voorbeeld is Gebruikersnaam+Wachtwoord met daarbij een SMS verificatie. Uw eerste authenticatie is dan uw gebruikersnaam waarmee je inlogt. Op het moment van inloggen krijg u op uw mobiel, welke u vooraf al in een bepaald systeem hebt geregistreerd een sms code. U kan daar bijvoorbeeld Microsoft Authenticator voor gebruiken.
Ander voorbeeld; u logt in met uw gebruikers naam en u krijgt een aantal vragen wat u moet invullen voordat u verder kan gaan op het netwerk. Deze vragen zijn vooraf ingesteld binnen een bepaalde applicatie. Hier zijn een aantal mogelijkheden voor.
De vragen die u zou kunnen stellen binnen uw organisatie;
Binnen uw organisatie wordt er gewerkt met een aantal vormen van accounts en die zijn allemaal op een bepaalde wijze in te richten.
Uitleg accounts
Accounts worden gekenmerkt door een gebruikersnaam en wachtwoord. Op accounts zitten toegangsrechten. Verwar accounts niet met een identiteit. Een identiteit is een persoon zoals u of die u kent als medewerker. De persoon is dus een identiteit en op basis van zijn functie of rol in de organisatie krijgt deze een of meerdere accounts om toegang te krijgen tot data, applicaties, netwerk etc. Volgende account types kennen we;
Al deze type accounts hebben kenmerken en restricties. Met bijvoorbeeld een beheer account kan je dus de IT infrastructuur beheren en aanpassen. Dit wil je niet in verkeerde handen laten vallen.
Dus je zorgt ervoor dat hier bepaalde restricties op komt te zitten. Voor een beheer account zouden we de volgende zaken ieder geval willen inregelen;
Dit betreft dus een beheer account. Overigens nog niet gemeld maar ook zo belangrijk. Controleer dagelijks het gebruik van de beheer accounts. Want hoe is het mogelijk dat een medewerker op vakantie is en zijn beheer account wordt gebruikt (zie logging of andere tooling). Op de beheer account zit de restrictie dat deze alleen gebruikt kan worden op het interne netwerk en niet van buiten. Dus zie hoe belangrijk het is om deze controle dagelijks te doen.
De vragen welke u zou kunnen stellen binnen uw organisatie:
- Hebben wij accountbeleid?
- Zijn er beperkingen op toegangen en is dat geregistreerd?
- Is er dagelijks controle op gebruik van accounts?
- Zien wij risico’s van gebruik accounts op onze omgeving?
- Hoe wordt er omgegaan met leveranciers en externen op ons netwerk?
De controles over toegang en op data wordt er niet vaak over nagedacht. Hoe dat zit met fysieke controle en de vervanging van de zogenaamde toegangspas.
Toegangspas is een vorm van authenticatie. Met de pas open je een poort om het gebouw in te gaan maar ook een deur om een bepaalde locatie (ruimte) in te lopen of zelfs bepaalde “kluizen” te openen.
De pas kan in combinatie met je identiteit op vele manieren gebruikt worden en zelfs gekoppeld aan een zogenaamde Identity Governance Administration (IGA) tool een hoge mate van veiligheid bewerkstelligen. De combinatie met een dergelijk systeem kan zorgen dat u alleen de juiste mensen tot de juiste locatie toegang geeft. Bijvoorbeeld:
U werkt als leraar en moet een bepaalde ruimte open maken.
De stelling is dat deze ruimte alleen open is in het moment dat het nodig is. Door een toegangspas te gebruiken in de combinatie met uw identiteitsgegevens met daarbij ook gestuurd door reserveringssysteem leidt ertoe dat u alleen op dat moment in die ruimte kan zijn.
Concreet: mijn identiteit staat in een HR pakket en heb de functie van leraar. Mijn rooster staat in de roosterapplicatie en de toegangspas is geprogrammeerd om deuren te openen. Deze 3 komen dan samen. Je zorgt er dus voor dat je veiliger kan werken. Het is maar een voorbeeld en vele voorbeelden zij er te nomen.
Vragen die u zou kunnen stellen:
Wat is dat toch mooi! Op basis van je rooster wordt je geautoriseerd om bij je cliënten / patiënten / andere gegevens te komen. Recent hebben wij als IDProfs dit project gedaan en moet zeggen dat dit een zeer goede manier is om te zorgen dat u binnen het AVG kader (Algemene Verordening Gegevensbescherming) een veiliger proces hebt om te werken. Deze methode is zeer geschikt binnen de Zorgsector maar je zou kunnen stellen dat je het eigenlijk overal kan gebruiken als je veiliger wilt werken met gegevens van derden.
Simpel gezegd is het dat u op basis van uw rooster, functie/rol en locatie in uw organisatie beperkt toegang krijgt tot gegevens. Men kan het zo instellen dat u per direct geautoriseerd wordt of dat u bijv 15 minuten voor uw dienst begint geautoriseerd wordt. Lengte van vooraf en achteraf is flexibel. De werking hiervan is ideaal voor alle zorginstellingen maar nogmaals het perspectief is veel breder.
Vragen die u zou kunnen stellen:
Een onderwerp wat past binnen het beeld van hoe u veilig kan werken op basis van uw locatie waar u op dat moment werkt. Er zijn modellen waarop je functie en rollen kan combineren met autorisaties. Ik noem dat xBAC modellen. De “x” kunt u invullen met andere letters. Hierbij een aantal mogelijkheden;
Bij GBAC kunt u bedenken dat u toegangen regelt op basis waar iemand zich bevindt. Dit zou een combinatie kunnen zijn met bijvoorbeeld cliënten of voorraad waar iets bevindt. Op deze wijze kunt u zorgen dat iemand altijd op een locatie moet zijn om te zorgen dat ze bij bepaalde gegevens kunnen komen.
De vragen die u kan stellen:
Is het u al duidelijker geworden hoe dit zit met veiliger werken maar vooral ook dat u handvatten heeft om te kijken hoe veilig het is binnen uw organisatie. De kans is aan u om de organisatie verder te helpen in veilig werken. Veel succes!