IT-beveiliging richt zich van oudsher op de IT-infrastructuur en niet op de gebruikers. Er werd voornamelijk gekeken naar de technologische ontwikkelingen en de voortdurend veranderende aard van de dreigingen, maar het menselijke element was altijd een statisch onderdeel in de vergelijking. Van gebruikers werd simpelweg verwacht dat zij zich aan de regels hielden die door de IT-afdeling werden uitgevaardigd. Die tijd ligt nu achter ons. Met de ‘democaratisering’ van de IT en de moderne, flexibele werknemer, hangt beveiliging in steeds grotere mate af van hoe wij onze gebruikers beveiligen, in alle situaties waarin zij zich kunnen bevinden en op ieder apparaat dat zij wensen te gebruiken.
Beveiliging beperkt zich allang niet meer tot de bedrijfssystemen binnen de muren van de organisatie en beslaat nu ook de duizenden persoonlijke apparaten en de verschillende werklocaties van de gebruikers, zoals thuiskantoren, restaurants, parken, treinen en auto’s. Beveiliging wordt bovendien nog ingewikkelder doordat werknemers met een steeds hogere frequentie komen en gaan en hun functie en IT-behoeften vaak veranderen tijdens hun dienstverband. Omdat data en applicaties worden gebruikt en gedeeld door mensen, moet de toegang die aan deze mensen wordt verleend op een effectieve manier worden beheerd, met de juiste bedrijfsregels en het juiste beleid.
Beveiligen en faciliteren
We hebben het tijdperk van het gebruikersgerichte beveiligen betreden, maar tegelijkertijd moeten we onze werknemers faciliteren in hun behoeften om ze optimaal productief te laten zijn. Willen ze ’s avonds laat op hun iPad nog even de kwartaalverslagen doornemen? Dan moet dat kunnen. Zitten ze op een mooie zomerse dag met hun laptop op een terrasje en willen ze toegang tot privacygevoelige informatie van klanten? Dan moeten we dat misschien niet toestaan. Hoewel de democratisering van de technologie ervoor kan zorgen dat organisaties flexibeler kunnen zijn en hun werknemers productiever, positioneert het de IT-afdeling op het snijvlak van beveiligen en faciliteren. Nieuwe complexiteit brengt nieuwe risico’s met zich mee.
Realtime beheer
Deze nieuwe risico’s vragen om meer dan alleen technologische oplossingen als identiteits- en toegangsbeheer. Deze technologieën zijn belangrijk als poortwachters op het niveau van de infrastructuur, voor het veilig authenticeren van gebruikers en apparaten, maar ze bieden geen mogelijkheid tot het realtime beheer van de regels en het beleid die de toegang van gebruikers en apparaten bepalen. Hiervoor is een intelligenter systeem nodig, dat de dynamische aard van gebruikers in kaart brengt en deze kennis inzet bij het behouden of veranderen van toegangsrechten, het documenteren van wijzigingen in functie, het accommoderen van persoonlijke apparaten, het on- en offboarden (in- en uitdiensttreding van werknemers), audits en nog veel meer. Dit systeem moet in staat zijn om zich aan te passen aan veranderende rollen van gebruikers en het moet kunnen bepalen wat volgens het beleid de juiste toegangsrechten zijn voor individuele werknemers op specifieke tijden en locaties.
Iedere gebruiker is uniek
Beveiliging kan niet effectief zijn als het niet gebruikerspecifiek is. Omdat elke gebruiker uniek is, kun je niet vertrouwen op generieke “profielcategorieën”. Het beveiligingssysteem moet in staat zijn om iedere relevante eigenschap vast te leggen die de individuele gebruiker definieert, zoals functie, werklocatie, apparaat, administratieve rechten, applicaties, beperkingen voor locatie of de tijd van de dag en meer. Voor een gebruikersgerichte beveiligingsstrategie moeten identiteits- en toegangsbeheer, mobile device management, de servicedesk, de application of service store en andere verzuilde IT-diensten geïntegreerd worden, zodat wijzigingen in het profiel van een gebruiker automatisch worden gedeeld met al deze functionaliteiten.
Pas als beveiligingssystemen gebruikers kunnen zien en volgen gedurende hun volledige dienstverband, kan de toegang tot IT-bronnen op basis van de volledige context geautomatiseerd worden verleend. Zo kun je er zeker van zijn dat het verlenen van toegang in overeenstemming is met het beveiligingsbeleid en rekening houdt met de functie, de werkgeschiedenis, de administratieve rechten, de huidige werklocatie en de apparatuur van de gebruiker.
Wanneer een dergelijk systeem bovendien de toegang en het gedrag van gebruikers gedurende hun hele dienstverband vastlegt en documenteert, kan er een uitgebreide audit trail worden gerealiseerd, waarmee compliance kan worden aangetoond. Op een nog strategischer niveau kan het vastleggen van realtime gegevens zelfs de analyse van behoeftepatronen mogelijk maken.
Voorspellende IT
De dynamische en mobiele digitale werknemer dwingt ons op een nieuwe manier naar de beveiliging van onze applicaties en gegevens te kijken. Het complexe risicoprofiel vereist realtime, gebruikersgerichte beveiliging die de afzonderlijke IT-diensten integreert en de individuele gebruikers op een dynamische manier volgt en documenteert gedurende hun volledige dienstverband. Zo’n omvattende en gecentraliseerde aanpak kan ervoor zorgen dat gebruikers veel efficiënter hun functie uit kunnen voeren. Tegelijkertijd kunnen we zo de compliance veiligstellen en de effectiviteit van de IT-diensten verbeteren, door ze voorspellend te maken.
Bob de Kousemaeker, RES Software