Vijf manieren om het risico van data lekken te verkleinen

Nieuws
IDProfs

Data veiligheid en veiliger werken hebben behoorlijk wat raakvlakken. Grofweg zijn dit de belangrijkste manieren om het lekken van gevoelige informatie te voorkomen:

1. Meervoudige verificatie van toegang
2. Beperkte toegang met bepaalde accounts
3. Toegangspas gekoppeld aan IGA
4. Rooster gestuurd autoriseren
5. Locatie bepalend voor toegangen

Deze onderwerpen lijken wellicht ingewikkeld echter trachten wij zoveel mogelijk vakjargon te vermijden of juist uit te leggen wat dit betekent. Op deze wijze denken wij u mee te kunnen nemen in de wereld van beveiliging.

1. Meervoudige verificatie van toegang (MFA)

Dit onderwerp heet in vakjargon Multi Factor Authenticatie (MFA), oftewel via meerdere kanalen een verificatie te doen om te bepalen of u werkelijk bent wie zegt dat u bent. Je ziet overigens ook wel het begrip van 2-factor authenticatie echter is dat hetzelfde als MFA maar wel met restrictie dat het een 2-factor betreft.

Waarom wil je MFA?

Het is een manier zodat je zorgt dat een hogere mate van veiligheid ontstaat en dus zorgt dat onbevoegde mensen niet op je netwerk kan komen of dat ze inbreuk kunnen doen op je data. Zeker nu we veelal en steeds meer thuiswerken is MFA een goed middel om te zorgen dat er veiliger gewerkt kan worden.

Wat kan je dan zien als MFA?

Simpel voorbeeld is Gebruikersnaam+Wachtwoord met daarbij een SMS verificatie. Uw eerste authenticatie is dan uw gebruikersnaam waarmee je inlogt. Op het moment van inloggen krijg u op uw mobiel, welke u vooraf al in een bepaald systeem hebt geregistreerd een sms code. U kan daar bijvoorbeeld Microsoft Authenticator voor gebruiken.

Ander voorbeeld; u logt in met uw gebruikers naam en u krijgt een aantal vragen wat u moet invullen voordat u verder kan gaan op het netwerk. Deze vragen zijn vooraf ingesteld binnen een bepaalde applicatie. Hier zijn een aantal mogelijkheden voor.

De vragen die u zou kunnen stellen binnen uw organisatie;

  • Hoe is de toegang bij ons geregeld en hebben wij beleid hierop?
  • Hebben wij Multi Factor Authenticatie?
  • Welke mogelijkheden hebben wij buiten MFA?
  • Zien wij nog problemen met logische toegangsbeveiliging?

2. Beperkte toegang met bepaalde accounts

Binnen uw organisatie wordt er gewerkt met een aantal vormen van accounts en die zijn allemaal op een bepaalde wijze in te richten.

Uitleg accounts

Accounts worden gekenmerkt door een gebruikersnaam en wachtwoord. Op accounts zitten toegangsrechten. Verwar accounts niet met een identiteit. Een identiteit is een persoon zoals u of die u kent als medewerker. De persoon is dus een identiteit en op basis van zijn functie of rol in de organisatie krijgt deze een of meerdere accounts om toegang te krijgen tot data, applicaties, netwerk etc. Volgende account types kennen we;

  • Persoonlijke accounts
  • Functionele accounts
  • Beheer accounts
  • Leveranciers accounts
  • Service accounts

Al deze type accounts hebben kenmerken en restricties. Met bijvoorbeeld een beheer account kan je dus de IT infrastructuur beheren en aanpassen. Dit wil je niet in verkeerde handen laten vallen.

Dus je zorgt ervoor dat hier bepaalde restricties op komt te zitten. Voor een beheer account zouden we de volgende zaken ieder geval willen inregelen;

  • Kan niet op internet
  • Heeft beperking tot bepaalde infrastructuur en hierdoor niet van server naar server kan overstappen
  • Geen enterprise admin rechten
  • Niet direct via VPN te gebruiken
  • Hoge mate complexiteit wachtwoord
  • Wellicht alleen via een bepaalde laptop te gebruiken

Dit betreft dus een beheer account. Overigens nog niet gemeld maar ook zo belangrijk. Controleer dagelijks het gebruik van de beheer accounts. Want hoe is het mogelijk dat een medewerker op vakantie is en zijn beheer account wordt gebruikt (zie logging of andere tooling). Op de beheer account zit de restrictie dat deze alleen gebruikt kan worden op het interne netwerk en niet van buiten. Dus zie hoe belangrijk het is om deze controle dagelijks te doen.

De vragen welke u zou kunnen stellen binnen uw organisatie:

- Hebben wij accountbeleid?
- Zijn er beperkingen op toegangen en is dat geregistreerd?
- Is er dagelijks controle op gebruik van accounts?
- Zien wij risico’s van gebruik accounts op onze omgeving?
- Hoe wordt er omgegaan met leveranciers en externen op ons netwerk?

3. Toegangspas

De controles over toegang en op data wordt er niet vaak over nagedacht. Hoe dat zit met fysieke controle en de vervanging van de zogenaamde toegangspas.

Toegangspas is een vorm van authenticatie. Met de pas open je een poort om het gebouw in te gaan maar ook een deur om een bepaalde locatie (ruimte) in te lopen of zelfs bepaalde “kluizen” te openen.

De pas kan in combinatie met je identiteit op vele manieren gebruikt worden en zelfs gekoppeld aan een zogenaamde Identity Governance Administration (IGA) tool een hoge mate van veiligheid bewerkstelligen. De combinatie met een dergelijk systeem kan zorgen dat u alleen de juiste mensen tot de juiste locatie toegang geeft. Bijvoorbeeld:

U werkt als leraar en moet een bepaalde ruimte open maken.
De stelling is dat deze ruimte alleen open is in het moment dat het nodig is. Door een toegangspas te gebruiken in de combinatie met uw identiteitsgegevens met daarbij ook gestuurd door reserveringssysteem leidt ertoe dat u alleen op dat moment in die ruimte kan zijn.

Concreet: mijn identiteit staat in een HR pakket en heb de functie van leraar. Mijn rooster staat in de roosterapplicatie en de toegangspas is geprogrammeerd om deuren te openen. Deze 3 komen dan samen. Je zorgt er dus voor dat je veiliger kan werken. Het is maar een voorbeeld en vele voorbeelden zij er te nomen.

Vragen die u zou kunnen stellen:

  • Heeft men gekeken naar fysieke of logische beveiliging?
  • Hoe wordt de controle gedaan op gebruik van de pas?
  • Hoe vaak zijn passen vervreemd of verloren gegaan en wat wordt daarmee gedaan?
  • Wat kunnen we nog meer beveiligen door een toegangspas?

4. Rooster gestuurd autoriseren

Wat is dat toch mooi! Op basis van je rooster wordt je geautoriseerd om bij je cliënten / patiënten / andere gegevens te komen. Recent hebben wij als IDProfs dit project gedaan en moet zeggen dat dit een zeer goede manier is om te zorgen dat u binnen het AVG kader (Algemene Verordening Gegevensbescherming) een veiliger proces hebt om te werken. Deze methode is zeer geschikt binnen de Zorgsector maar je zou kunnen stellen dat je het eigenlijk overal kan gebruiken als je veiliger wilt werken met gegevens van derden.

Hoe werkt dat?

Simpel gezegd is het dat u op basis van uw rooster, functie/rol en locatie in uw organisatie beperkt toegang krijgt tot gegevens. Men kan het zo instellen dat u per direct geautoriseerd wordt of dat u bijv 15 minuten voor uw dienst begint geautoriseerd wordt. Lengte van vooraf en achteraf is flexibel. De werking hiervan is ideaal voor alle zorginstellingen maar nogmaals het perspectief is veel breder.

Vragen die u zou kunnen stellen:

  • Hebben wij een organisatie die op basis van rooster werkt of zou kunnen werken?
  • Kunnen wij door middel van rooster gestuurd autoriseren ons werkgebied veiliger maken
  • Hoe controleren we nu op basis van doelbinding (AVG compliance) de autorisaties?

5. Locatie bepalend voor toegangen

Een onderwerp wat past binnen het beeld van hoe u veilig kan werken op basis van uw locatie waar u op dat moment werkt. Er zijn modellen waarop je functie en rollen kan combineren met autorisaties. Ik noem dat xBAC modellen. De “x” kunt u invullen met andere letters. Hierbij een aantal mogelijkheden;

  • RBAC (Role Based Acces Control), op rol gebaseerde autorisaties
  • ABAC (Attribute Access Control), op attributen gebaseerde autorisaties
  • GBAC (Geo Based Access Control), op locatie gebaseerde autorisaties

Bij GBAC kunt u bedenken dat u toegangen regelt op basis waar iemand zich bevindt. Dit zou een combinatie kunnen zijn met bijvoorbeeld cliënten of voorraad waar iets bevindt. Op deze wijze kunt u zorgen dat iemand altijd op een locatie moet zijn om te zorgen dat ze bij bepaalde gegevens kunnen komen.

De vragen die u kan stellen:

  • Hebben wij een methode om te zorgen dat we toegangen regelen conform bijv GBAC of RBAC?
  • Doen wij controles op bepaalde locaties als het gaat over toegang tot locatie of gegevens/goederen op een bepaalde locatie?
  • Hoe zorgen wij dat de juiste mensen op juiste tijdstip toegang krijgt tot een locatie welke veilig moet zijn?

Is het u al duidelijker geworden hoe dit zit met veiliger werken maar vooral ook dat u handvatten heeft om te kijken hoe veilig het is binnen uw organisatie. De kans is aan u om de organisatie verder te helpen in veilig werken. Veel succes!

Wilt u meer weten over dit onderwerp? Of heeft u andere vragen? Wij zijn IGA specialisten.
Wij houden non-profit organisaties uit de krant door te zorgen dat de juiste mensen bij de juiste informatie kunnen. Wij kunnen binnen enkele weken inzichtelijk maken of u zich zorgen moet maken over privacy gevoelige data in uw organisatie. Dat slaapt een stuk lekkerder.

U kunt contact met ons opnemen op 0515 70 10 50 of mail naar info@IDProfs.nl

chevron-down