We hebben het onder andere over:
- Wat is Identity & Access Management (IAM) precies en hoe is het vakgebied geëvolueerd?
- Wat zijn de drie pijlers van IAM?
- Waarom mogen bedrijven zich niet alleen focussen op de techniek van IAM?
- Wat zijn momenteel de hot topics in IAM?
- Welke richting gaat IAM uit
Tijd voor een verhelderend gesprek!
RRicardo, je bent al meer dan twintig jaar actief in Identity & Access Management. Kun je kort uitleggen wat dit inhoudt?
Ricardo Kowsoleea: “Identity & Access Management, of kortweg IAM, is een vakgebied in cybersecurity dat we binnen het Cyber Security domein Preventie (Prevent) moeten situeren. Het doel van preventie is natuurlijk om beveiligingsincidenten te voorkomen, maar daarbovenop is het belangrijk dat gebruikers van IT tijdig precies de juiste rechten hebben om effectief hun werk te doen.
IAM bestaat uit drie pijlers: Access Management, Identity Governance & Administration, en Privileged Access Management. Het zijn drie verschillende insteken op het thema identiteit. Of je nu bij een bank inlogt, op je Facebook aanmeldt of als systeembeheerder bij Cegeka in de ochtend jezelf aanmeldt op je computersysteem: in al die gevallen moet je je aanmelden met een Identiteit. Die identiteit speelt een belangrijke rol in een geautomatiseerde omgeving: wie ben je en wat mag je.”
Heeft IAM altijd al een belangrijke rol gespeeld in cybersecurity?
Ricardo Kowsoleea: “IAM is in de loop der jaren sterk geëvolueerd. Vroeger lag de focus vooral op ‘return on investment’, zoals bijvoorbeeld het verminderen van calls naar de helpdesk of mensen zo snel mogelijk aan het werk krijgen bij in-dienst treden of gebruiksgemak zoals Single-Sign-On, met één username en password toegang krijgen tot verschillende doelsystemen.
“Zo rond 2003 is de focus verschoven naar compliance, met regelgeving zoals SOX, HIPAA en Basel II als katalysator. Bedrijven werden plots verplicht om IAM goed in te richten omdat er wetgeving kwam. Je kon als bedrijf én als persoon verantwoordelijk gehouden worden als je IAM niet goed op orde had. Zo werden o.a grootbanken door de nationale banken verplicht om Privileged Access Management in te richten. Maar door de focus op compliance werd IAM vooral beschouwd als iets wat aangevinkt moest worden voor een audit en waar verder weinig mee gebeurde.”
“De laatste jaren zien we een verschuiving naar Security, waarbij IAM leidend is geworden in het beveiligingsbeleid. Ik hoef niemand meer uit te leggen dat bedreigingen zoals ransomware en andere moderne aanvallen enorm aan het toenemen zijn. Vroeger was de firewall de toegangspoort tot je data, die zich on-premise bevonden. Die firewalls spelen nog steeds een rol. Maar nu data steeds vaker in de cloud staan, is het vaststellen van de juiste identiteit veel belangrijk geworden om toegang te krijgen tot data en applicaties. Waarbij de aspecten ROI en compliance niet zijn verdwenen in IAM. Er wordt zeker nog naar gekeken. Maar de boventoon is ondertussen wel beveiliging.”
Is IAM alleen iets voor grote bedrijven?
Ricardo Kowsoleea: “Zeker niet. De tijd dat alleen banken werden getroffen door een beveiligingsincident is voorbij. Ook kleinere bedrijven vormen nu een doelwit. We zien die verschuiving dan ook in de IAM-markt. Vroeger hadden alleen grote bedrijven een IAM-programma. Maar nu zien we dat ook bedrijven met 500 medewerkers het heel normaal vinden om IAM te implementeren.”
“IAM is ondertussen ook veel toegankelijker geworden voor kleinere bedrijven. Vroeger was IAM vaak maatwerk en ging het om een complexe, gespecialiseerde uitrol on-premise in je bedrijf. Dat was niet voor elk bedrijf weggelegd. Maar ondertussen zijn er gebruiksvriendelijke SaaS en Managed Services oplossingen, waarbij je alleen nog maar een connector met je eigen systemen nodig hebt.”
Je had het in het begin over de drie pijlers van IAM. Kun je die wat meer toelichten?
Ricardo Kowsoleea: “Access Management is het oudste onderdeel van IAM. Het is infrastructuur om mensen die ergens toegang tot willen hebben te authenticeren en te autoriseren. Traditioneel wordt daarvoor een wachtwoord gebruikt. Maar dat is niet voldoende, want een wachtwoord kan worden gelekt. Daarom combineren we nu verschillende factoren, zoals een vingerafdrukscanner en een hardware token, in de vorm van multi-factor authenticatie. Op basis daarvan kunnen we mensen dan autoriseren: ze krijgen specifieke rechten op basis van de geauthenticeerde identiteit.”
De tweede pijler is dan Identity Governance & Administration, zei je.
Ricardo Kowsoleea: “Ja, dat waren vroeger twee systemen, enerzijds Identity Governance en anderzijds Identity Management. Mettertijd zijn die systemen naar elkaar toe gegroeid tot Identity Governance & Administration, of kortweg IGA.”
“Identity Governance gaat terug naar de focus op compliance. Er kwam regelgeving waarbij bedrijven moesten kunnen aantonen wie waar toegang tot heeft en wanneer, en zelfs waarom die personen toegang nodig hadden. Het is best complex als je dat handmatig zou moeten beheren. Die systemen laten toe om deze taak te automatiseren.”
“Identity Administration, wat vroeger Identity Management heette, is dan weer infrastructuur om het joiners, movers, leavers proces te automatiseren. Als iemand ergens nieuw start dan worden zijn of haar gegevens in het HR-systeem ingevoerd. Op basis van onder andere de rol, functie en locatie werd dan door de koppeling met een IGA-systeem bepaald welke rechten men nodig had binnen de organisatie. Dat gebeurde voor accounts in Salesforce en Active Directory, voor Office-applicaties en nog veel meer, mogelijk tot honderden autorisaties. Al die autorisaties werden automatisch met de bijbehorende accounts aangemaakt en op de doelsystemen uitgerold. Vroeger moest een hele ploeg van beheerders dat allemaal handmatig doen.”
“Belangrijk is dat dit ook bij het veranderen van functie allemaal automatisch aangepast wordt. Bedrijven die geen IGA hebben ingericht, hebben vaak te maken met ‘verzamelaars’: mensen die er al lang werken, vaak van functie zijn veranderd en daardoor allerlei rechten hebben die ze eigenlijk niet meer nodig hebben.
IGA lost ook andere problemen op. Zo kennen we het concept van segregation of duties (SoD), waarbij we vereisen dat voor gevoelige taken meer dan één persoon nodig is. Iemand op de boekhoudafdeling mag bijvoorbeeld wel een factuur inboeken, maar niet uitbetalen. Veel bedrijven hebben dit nog niet goed ingericht, maar IGA maakt dit mogelijk.”
Als derde pijler noemde je Privileged Access Management. Wat is het verschil met de eerste pijler, Access Management?
Ricardo Kowsoleea: “Privileged accounts zijn accounts die door mensen, machines of applicaties worden gebruikt en die verregaande rechten hebben, zoals de root-account in Unix-systemen, een administrator op Windows-systemen, of service-accounts voor communicatie tussen applicaties en een database. Privileged accounts zijn populaire doelwitten van cybercriminelen, net omdat ze zoveel toegang tot het systeem geven als je erin slaagt om ze over te nemen. Je moet die accounts dan ook op een andere manier beheren dan met het traditionele Access Management mogelijk is. Zo kun je met Privileged Access Management het wachtwoord van een root-account roteren. Als een beheerder als root werkt en daarna uitlogt, wordt het wachtwoord dan automatisch gereset naar een nieuw wachtwoord. Zo voorkomen we dat, als het wachtwoord in die sessie is gelekt, de cybercrimineel dit in een nieuwe sessie kan gebruiken om in te breken.”
Je vertelde eerder al dat bedrijven moeten aantonen waarom personen toegang nodig hebben. Je gaf het voorbeeld van de separation of duties. Mag ik daaruit afleiden dat IAM niet alleen een technische oplossing is, maar dat bedrijven ook heel goed moeten nadenken over de organisatorische aspecten van identiteit en toegangsbeheer?
Ricardo Kowsoleea: “Dat klopt. In IT hebben we het vaak over de 70/30-regel: 70% gaat over techniek, 30% over mensen en processen. Maar bij IAM ligt de verhouding vaak omgekeerd: 30% techniek en 70% mensen en processen. Bedrijven die aan IAM beginnen, gaan door veranderingen die niet altijd even gemakkelijk zijn. Bij Cegeka hebben we ervaring met IAM-trajecten bij grote bedrijven van meer dan 100.000 mensen tot kleinere bedrijven met 500 werknemers. Niet alleen technisch zijn dat verschillende omgevingen, maar ook de mensen en processen vragen een andere aanpak. Dat Cegeka in close cooperation met klanten werkt, helpt dan wel.”
“Een voorbeeld maakt dit duidelijk: beheerders vinden het niet fijn als ze gecontroleerd worden. Als je Privileged Access Management gaat implementeren, dan worden hun sessies opgenomen of hun activiteiten gelogd. Auditors kunnen die sessies achteraf ook bekijken om na te gaan welke systeemopdrachten de beheerders uitgevoerd hebben. Als je hen daar niet op voorbereidt, krijg je weerstand tijdens de implementatie.”
Wat zijn de belangrijkste redenen voor bedrijven om IAM uit te rollen?
Ricardo Kowsoleea: “Elk bedrijf heeft wel een ander prominent probleem. We kunnen geen standaardverhaal geven en zeggen: “Om deze reden moet je IAM implementeren”. Vaak is er wel een incident gebeurd, of een audit die tekortkomingen blootlegde. Wanneer het bedrijf dan bij ons terechtkomt, is het aan ons om te herkennen wat het onderliggende probleem is en hoe we dit met IAM kunnen oplossen.”
“IAM is zoals een Zwitsers zakmes: het kan vanalles. Maar je moet niet alles direct willen implementeren. De prioriteit is om het probleem van het bedrijf op te lossen, bijvoorbeeld voorkomen dat er nog eens een account gecompromitteerd wordt. En als ze een oplossing dan toch in huis hebben, kun je bekijken hoe je deze efficiënter kunt gebruiken. En dan kun je een roadmap voor IAM opstellen.”
Wat zijn momenteel de hot topics in IAM?
Ricardo Kowsoleea: “Op dit moment is vooral remote access actueel. Door COVID-19 heeft iedereen thuiswerken ontdekt. Uiteindelijk moeten al die mensen dan op afstand veilig toegang krijgen tot de bedrijfsomgeving. Veel PAM-leveranciers bieden tegenwoordig oplossingen aan om medewerkers, klanten, toeleveranciers en externen VPN-loos toegang te geven tot bedrijfsdata.”
“Dan heb je ook nog steeds het verhaal rond compliance, waar Identity Governance een belangrijke rol speelt. Momenteel komen steeds meer bedrijven met compliance in de knoop. Ze proberen het zelf op orde te krijgen en komen uiteindelijk tot de conclusie dat ze de juiste vaardigheden niet hebben. Ze zoeken dan een bedrijf dat niet alleen voor de techniek zorgt, maar ook de processen kan inrichten.
Gaat IAM evolueren naar een managed service?
Ricardo Kowsoleea: “Zeer zeker, en wij breiden onze dienstverlening dan ook uit naar managed IAM dienstverlening. Uiteindelijk willen we onze klanten ontzorgen op het gebied van de drie pijlers van IAM. IAM moet net zo eenvoudig worden voor de klant als Microsoft 365. Je betaalt dan een prijs per gebruiker per maand en klikt dit eenvoudig aan wanneer je het nodig hebt.”
Zijn er nog andere ontwikkelingen het vermelden waard?
Ricardo Kowsoleea: “Ja, met deze omslag naar SaaS en Managed -oplossingen zien we dat cloudleveranciers zelf, zoals Microsoft, ook al cloud-native IAM-oplossingen aanbieden. Dat zijn interessante oplossingen voor klanten die zich volledig toeleggen op de cloud. Een andere ontwikkeling die ik zie, is dat IAM-leveranciers die zich traditioneel op één van de drie pijlers focusten met hun oplossingen, nu hun portfolio uitbreiden om een totaalleverancier op het gebied van IAM te worden.”
Tot slot: hoe past IAM binnen het Cyber Resilience verhaal van Cegeka?
Ricardo Kowsoleea: “Een van de redenen waarom de overname van SecurIT door Cegeka zo interessant was, is omdat hiermee invulling wordt gegeven aan een kritisch domein binnen de Cyber Resilience aanpak van Cegeka.
IAM complementeert de huidige offering met de component identity op elk van de delen van cyber resilience (zie onderstaande afbeelding). Of het nu gaat over een IAM assessment (Assess) of tools voor beheer van identities en privilege accounts (Prevent en Recover) of de koppeling met onze SOC diensten (Detect&Respond). Deze laatste is van belang om identity & privileged account monitoring actief te integreren in onze Managed Detection & Response dienstverlening (C-SOR²C genaamd). Op deze manier hebben we nu en in de toekomst een uitgebreid portfolio aan cybersecurity-oplossingen voor onze klanten dankzij de gecombineerde ervaring van onze experten en een selectie strategische leveranciers. Dit laat onze klanten toe om op een veilig, maar ook efficiënte manier te focussen op hun business.