zoeken Nieuwsbrief
      Linkedin    Twitter   
  
nieuws
 

Wie controleert de IT-beheerder?

24 augustus 2018 - Privileged accounts, de admin- en beheerdersaccounts waarmee werknemers onbeperkte rechten krijgen binnen een applicatie of omgeving, vormen voor veel bedrijven de zwakke schakel in hun IT-security.

Wie toegang heeft tot een dergelijk account kan immers al dan niet bewust behoorlijke schade aanrichten. Gelukkig kunt u dit risico minimaliseren met privileged access management. Dat stelt Harry Gijzen, Senior Security Consultant bij Traxion.



Vierogenprincipe
Gijzen : "Veel processen kennen een vierogenprincipe, waarbij iemand goedkeuring moet geven om een bepaalde handeling te verrichten. Denk aan een finance-afdeling, waar grote betalingen door de software alleen maar worden toegestaan op het moment dat een tweede persoon de betaling heeft gecontroleerd. Of aan een contentmanagementsysteem, waarbij de gebruiker een bericht pas op een website kan zetten als een eindredacteur daar zijn goedkeuring aan heeft gegeven.
Een sterk systeem, dat in veel gevallen echter toch een zwakke plek kent: het admin-account. Met een dergelijk privileged account kunnen gebruikers immers overal bij, en kunnen ze het vierogenprincipe eenvoudig omzeilen. En zelfs als u ervan uitgaat dat uw werknemers geen kwaad in de zin hebben, blijven privileged gebruikers een risico voor de organisatie. Doordat zij net als iedereen fouten kunnen maken en bijvoorbeeld per ongeluk een database kunnen wissen. Of doordat hun inloggegevens in verkeerde handen kunnen vallen."
U kunt de risico’s die met een dergelijk account gepaard gaan echter inperken. En wel met onderstaande tips voor privileged access management.

Krijg inzicht in privileged accounts
Privileged access management begint met het inventariseren van alle privileged accounts in uw organisatie. Welke accounts zijn er allemaal en wie hebben toegang tot die accounts? En misschien nog wel belangrijker: tot welke applicaties en data geven die accounts toegang? Met deze inzichten kunt u vervolgens de risico’s in kaart brengen en voor uzelf bepalen in hoeverre het gewenst is dat bepaalde functies over bepaalde gebruikersrechten beschikken.

Zorg voor multi-factor authenticatie
Een van de eenvoudigste manieren om het risico te verkleinen dat onbevoegden toegang krijgen tot en privileged account, is door multi-factor authenticatie toe te passen voor uw privileged accounts. Daarbij moet een gebruiker zichzelf behalve met zijn inloggegevens ook op een andere manier identificeren. Aan de hand van een aan hem per sms toegestuurde controlecode bijvoorbeeld.
Door gebruik te maken van privileged access management-systeem (PAM-systeem) kunt u bovendien een extra laag aan de beveiliging van uw privileged accounts toevoegen. Een PAM-systeem beheert de inlogcodes van de adminaccounts, en geeft mensen alleen onder bepaalde voorwaarden toegang tot het privileged account. Als een tweede persoon, bijvoorbeeld iemand van de finance-afdeling bij het inloggen in een betalingssysteem, daar toestemming voor geeft.

Behoud controle
Met een PAM-systeem kunt u behalve het beperken van de toegang tot privileged accounts, ook beperken wat een gebruiker met dat account doet. Zo is het met een dergelijke oplossing mogelijk om:
 
  • de toegang te beperken tot specifieke functies die nodig zijn voor het uitvoeren van een taak;
  • video-opnames te maken van de handelingen die met het privileged account worden verricht;
  • meldingen te ontvangen als een privileged gebruiker een bepaalde handeling verricht, zoals het kopiëren van de database;
  • voor bepaalde handelingen, zoals het uitvoeren van een beheerhandeling op een betalingssysteem, een extra controle in te bouwen door het proces op zo’n moment te bevriezen tot er opnieuw toestemming wordt gegeven door een tweede persoon.
Bouw een noodrem in
Uiteraard is het niet de bedoeling dat u door uw eigen veiligheidsmaatregelen wordt buitengesloten uit uw admin-accounts. Neem daarom een noodprocedure op in uw proces, een zogenaamde breaking glass-procedure, waarmee u bijvoorbeeld de gegevens in het PAM-systeem toch kunt gebruiken op het moment dat dat om wat voor reden dan ook niet beschikbaar is.
Uiteraard is het ook weer niet de bedoeling dat de breaking glass-procedure de zwakke schakel in uw beveiliging wordt. Richt deze procedure daarom zo in dat die alleen door meerdere aangewezen personen tegelijk kan worden opgesteld, en alleen vanaf een bepaalde fysieke locatie zoals het serverpark.

Privileged access hoeft geen noodzakelijk kwaad te zijn
Ook uw organisatie heeft privileged accounts. U krijgt privileged accounts, tegen wil en dank, mee bij de aanschaf of installatie van besturingssystemen, applicaties en apparatuur. Die privileged accounts heeft IT nodig om onderhoud te plegen, om functionaliteiten toe te voegen, om software-updates te installeren, enzovoort. Of om u als eindverantwoordelijke mee te laten kijken bij beheerhandelingen op systemen met zeer gevoelige informatie.
Veel bedrijven zien privileged accounts dan ook als een noodzakelijk kwaad. Met privileged access management hoeft dat echter niet meer, en kunt u ze gewoon weer zien zoals ze bedoeld zijn: een middel om de business te helpen verder te komen.
 

 
 Doorsturen   Reageer  

 

Laatste nieuws

 Kwart werkenden vindt dat werkgever coronaregels onvoldoende naleeft
 Jongeren houden politiek verantwoordelijk voor huidige slechte situatie
 (Thuis)werkend Nederland staat te popelen om naar kantoor te gaan
 

Gerelateerde nieuwsitems

 Vijf zonden die het risico op een datalek vergroten
 IT-professional onwetend over digitale toegangsrechten ex-werknemers
 Zorgen om privéwachtwoorden op het werk
 Vijf adviezen voor het managen van SSH-sleutels
 
 
reacties
 
Er zijn nog geen reacties.

REAGEREN

Naam:
Emailadres:
URL: (niet verplicht) http:// 
 
Reactie/Opmerking:
Ik wil bericht per e-mail ontvangen als er meer reacties op dit artikel verschijnen.
 
Als extra controle, om er zeker van te zijn dat dit een handmatige reactie is, typ onderstaande code over in het tekstveld ernaast. Is het niet te lezen? Klik hier om de code te wijzigen.
advertorial
eBook: Verbeter in 10 stappen je e-mail marketing
In het ebook 'Verbeter in 10 stappen je email marketing' ontdek je snel of je op de goede weg bent en waar je nog extra stappen kunt zetten. Denk aan bestandsgroei, dynamische content, A/B-testen, datakoppelingen en meer. Ben je benieuwd hoe je hierop scoort?
Download het eBook
 
Lees verder
5 manieren om virtueel te netwerken
reacties
Één jaar corona: meerderheid werknemers ervaart voordelen thuiswerken (1) 
Verstrikt in een web van regeltjes (1) 
Tips voor werkende ouders (1) 
Eén op de vijf Nederlanders vindt ziekmelden ter compensatie overuren terecht  (2) 
Aantal loonbeslagen flexkrachten fors gestegen  (1) 
Ruime verdubbeling aantal misdaden gepleegd met ICT, gericht op ICT (2) 
Cadeau-inspiratie voor Valentijnsdag? Dit geven Nederlanders uit aan hun partner (1) 
top10
Mannen willen geld, vrouwen passende werktijden
BlackBerry 2021 Threat Report onthult massale COVID-19-uitbuiting
Gedateerde roostersoftware zorgt voor stevige omzetverliezen
Één jaar corona: meerderheid werknemers ervaart voordelen thuiswerken
Helft tech-vrouwen zag gendergelijkheid verbeteren
Fusies, overnames en deelnemingen in de ICT-markt vinden een weg in 2020
Nederlanders meer dan ooit verbonden met hun werkgever
Cybercriminelen volgen online activiteiten werknemers op de voet
Drie tips om de effectiviteit van uw team te meten
(Thuis)werkend Nederland staat te popelen om naar kantoor te gaan
meer top 10