ROL | Chief Information Security Officer (CISO)
Versterk je beveiliging met IAM aan de frontlinie
Met de groeiende aandacht voor informatiebeveiliging en privacy krijg je als Chief Information Security Officer (CISO) een steeds zwaardere rol binnen de organisatie. Het gaat daarbij niet alleen om veilige inzet van een groeiende aantal onderlinge verweven informatiesystemen. Ook de ontwikkeling, uitrol en onderhoud van specifieke informatiebeveiligingssystemen is een boardroom aangelegenheid. Zo staat de modernisering van Identity en Access Management in veel organisaties hoog op de agenda.
Informatiebeveiliging door automatisering
Door met HelloID de identity lifecycle volledig business gedreven te automatiseren, met het HR systeem – of andere bronsystemen – als ‘single source of truth’, minimaliseer je de kans op vergissingen, ongewenste rechtenopstapeling en datalekken door ‘vergeten’ accounts. Ook het beheer van extra/tijdelijk toegangsrechten kunnen we efficiënter en veiliger maken.
No trust en least privilege
Voor gebruikersverificatie werkt HelloID naadloos samen met – bijvoorbeeld – Active Directory, vaak aangevuld met MFA en contextafhankelijke toegang. Het krachtige Role Based Access Control mechanisme garandeert dat gebruikers alleen op een ‘need to know’ basis toegang krijgen tot applicaties en data.
Veilige cloud-native IAM omgeving
HelloID draait op infrastructuur van marktleider Azure. Bij de HelloID ontwikkeling en het beheer staat informatiebeveiliging centraal. Dat geldt ook bij de ontwikkel-, demo- en testsystemen en voor klanten is een sandbox omgeving beschikbaar om veilig nieuwe features te kunnen testen. Tools4ever is als beheerorganisatie ISO 27001 gecertificeerd.
Ondersteuning PDCA-cyclus en compliancy audits
HelloID registreert in audit logs alle toegangspogingen, rechtenwijzigingen en toestemmingaanvragen. Ook is er altijd een inventarisatie beschikbaar van alle verstrekte toegangsrechten. Met standaard rapportages en door de klant zelf te configureren analyses biedt HelloID alle input voor interne beveiligingsevaluaties, externe audits en formele certificatietrajecten.
Integrale beveiligingsarchitectuur
Naast koppelingen met verschillende bron- en doelsystemen voor het automatische account- en toegangsbeheer, biedt HelloID ook API’s voor integratie met andere beveiligingssystemen. Door HelloID bijvoorbeeld te koppelen aan het SIEM van een klantorganisatie kunnen we daar de HelloID log gegevens combineren met andere systeemlogs tot een Single Pane of Glass.
Vragen die CISO's vaak stellen
Wij beschikken over een professioneel beheerde AD omgeving. Is HelloID dan nodig?
Ja. We zien dat voor de oorspronkelijke IAM functionaliteit – Authenticatie & Autorisatie – men tegenwoordig vaak de eigen AD omgeving gebruikt. Wat daarin echter ontbreekt, is een volwaardige managementoplossing om in een grote organisatie met soms honderden gebruikers en tientallen applicaties iedereen volautomatisch en tijdig te voorzien van de juiste rechten. Daarvoor zorgt HelloID. AD biedt de technische invulling van de Authenticatie en Autorisatie, HelloID verzorgt de verdere integratie en het management ervan. Los daarvan biedt onze flexibele Access Management module – met daarin uitgebreide Single Sign-On functionaliteit en Multi-Factor Authenticatie – vaak de noodzakelijke workarounds bij migratie- en fusieprojecten. Ook is het niet voor alle gebruikersgroepen altijd nodig om uitgebreide – dus duurdere – MS licentie te gebruiken. Voor hen volstaat vaak de HelloID SSO en MFA Access Management functionaliteit in combinatie met een relatief goedkope E1 licentie.
Ondersteunt HelloID ook mijn security en privacy awareness initiatieven?
Inderdaad is awareness van medewerkers een cruciaal onderdeel van informatiebeveiliging. Met automatische instroom-, doorstroom- en uitstroomprocessen en ons krachtige RBAC raamwerk richten we ons primair op het borgen van ‘least privilege’. Zo voorkomen we dat medewerkers überhaupt toegang krijgen tot gegevens die ze voor hun werkzaamheden niet (langer) nodig hebben. Toch voegen we voor klanten desgewenst ook zulke ‘awareness maatregelen’ toe. Zo kunnen we in HelloID Business Rules toevoegen waarin mensen eerst de organisatie privacy richtlijnen expliciet moeten accepteren voordat hun toegangsrechten worden geactiveerd. Tot die acceptatie heeft plaatsgevonden, krijgt men bijvoorbeeld alleen toegang tot mail en standaard applicaties. Ook bij aanvullende verzoeken kan in het online goedkeuringsproces expliciet de check worden opgenomen of de betreffende aanvrager aan specifieke (training)voorwaarden voldoet.
Hoe ondersteunt het RBAC raamwerk de ‘least privilege’ eis?
In het Role Based Access Control (RBAC) raamwerk wordt voor iedere rol eenduidig vastgelegd welke toegangsrechten van toepassing zijn en zo krijgt iemand alleen op ‘need to know’ basis toegang. Als iemands rol wijzigt in het HR systeem, checkt HelloID automatisch welke rechten niet langer van toepassing zijn, en deze worden automatisch ingetrokken. Op vergelijkbare manier wordt gecheckt welke nieuwe toegangsrechten nodig zijn voor iemands nieuwe rol, en deze worden automatisch verstrekt. Zo voorkomen we ongewenste opstapeling van toegangsrechten zoals dat bij handmatig rechtenbeheer wel vaak plaatsvindt.
Hoe organiseer je je toegangsbeveiliging tijdens een reorganisatie?
Hiervoor is het RBAC raamwerk een uitkomst. Met RBAC beheren we op één centrale plek alle rollen en de bijbehorende toegangsrechten. Tijdens een reorganisatie kunnen tal van veranderingen worden doorgevoerd die vanuit onze ‘RBAC bril’ in essentie neerkomen op het toevoegen van rollen en het wijzigen van aan rollen gekoppelde toegangsrechten. Als we eerst de nieuwe rollen en rechten aanmaken in HelloID en pas daarna in het HR systeem medewerkers gaan koppelen aan nieuwe rollen, migreren we op een beheerste manier naar de nieuwe situatie terwijl iedereen toegang houdt tot zijn of haar applicaties en data.
Kan een organisatie breed dekkend RBAC raamwerk worden toegepast?
Nee, in het algemeen is dat niet praktisch. In veel organisaties kunnen we voor een deel van de rollen – zogenaamde sleutelrollen – een volledig RBAC profiel samenstellen met daarin alle toegangsrechten die men nodig heeft. Dat betreft vaak duidelijk omschreven en afgebakende rollen. Maar mensen kunnen ook meerdere rollen hebben en daarnaast zijn er ook minder concreet omschreven functies binnen – bijvoorbeeld – stafafdelingen. Bij zulke medewerkers verstrekken we de basale toegangsrechten via het RBAC model. Verdere toegangsrechten moet de gebruiker via het serviceproces aanvragen. Met HelloID kunnen we zulke aanvraagprocessen ook automatiseren. Om te voorkomen dat hier onnodige rechten worden uitgegeven kunnen we specifieke toestemmingsflows instellen waarin relevante manager(s) de aanvraag online moeten beoordelen/goedkeuren. Zo blijft de rolscheiding geborgd en ook kunnen we configureren dat zulke rechten slechts tijdelijk worden verstrekt. Zo voorkomen we ongewenste rechtenstapeling.