Toegangscontrole en IAM: de hoeksteen van informatiebeveiliging

Toegangscontrole is de meest fundamentele control in informatiebeveiliging. Het principe is eenvoudig: alleen geautoriseerde personen mogen toegang hebben tot de systemen en data die zij nodig hebben voor hun werk. In de praktijk blijkt de implementatie van effectieve toegangscontrole een van de meest uitdagende gebieden voor organisaties.

Identity and Access Management (IAM) is het geheel van processen en technologieën waarmee organisaties digitale identiteiten beheren en toegang tot resources controleren. Een auditor beoordeelt IAM op drie niveaus: het toekennen van toegang (provisioning), het actief beheren van toegang (governance) en het intrekken van toegang (deprovisioning).

Bij provisioning controleert de auditor of er een gestructureerd proces is voor het aanvragen en goedkeuren van toegangsrechten. Is er een goedkeuringsketen waarbij de manager en/of data-eigenaar akkoord geeft? Wordt het principe van least privilege toegepast, waarbij gebruikers alleen de minimaal benodigde rechten krijgen? Worden rechten toegekend op basis van rollen (RBAC) in plaats van op individuele basis?

Access governance is het actief beheren van toegangsrechten gedurende de levenscyclus van een medewerker. De auditor controleert of er periodieke access reviews plaatsvinden, waarbij managers bevestigen dat de toegangsrechten van hun medewerkers nog steeds passend zijn. Bij functieveranderingen moeten oude rechten worden ingetrokken en nieuwe worden toegekend. Dit voorkomt de geleidelijke ophoping van rechten die typisch is bij organisaties zonder actief governance-proces.

Deprovisioning is een van de meest kritieke controls. De auditor controleert of toegangsrechten tijdig worden ingetrokken wanneer een medewerker de organisatie verlaat. Een veelvoorkomende bevinding is dat accounts van vertrokken medewerkers nog actief zijn, soms maanden na vertrek. Dit vormt een significant beveiligingsrisico.

Privileged access management (PAM) verdient bijzondere aandacht. Beheeraccounts met verhoogde rechten vormen een aantrekkelijk doelwit voor aanvallers. De auditor controleert of beheeraccounts gescheiden zijn van reguliere accounts, of er multi-factor authenticatie is afgedwongen, of het gebruik van beheerrechten wordt gelogd en gemonitord, en of er just-in-time access wordt toegepast.

Wachtwoordbeleid en authenticatie worden eveneens beoordeeld. De auditor controleert of er een wachtwoordbeleid is dat voldoet aan actuele richtlijnen, of MFA is geïmplementeerd voor alle externe en beheertoegang, en of er geen gedeelde accounts of hardcoded credentials worden gebruikt.

Secure Audit beoordeelt toegangscontrole en IAM als kernonderdeel van elke IT-audit. Van gebruikersbeheer en access reviews tot privileged access management. Neem contact op voor een IAM-assessment.