Autorisatiebeheer: het belang voor organisaties

Onlangs stond op NU.nl een bericht dat een Amsterdams ziekenhuis een boete van 440.000 euro heeft gehad, omdat het de privacy van patiënten heeft geschonden. Het ziekenhuis heeft niet genoeg maatregelen genomen om de toegang tot gevoelige gegevens te beveiligen. Het is één van de voorbeelden in het nieuws waarbij de beveiliging van gevoelige gegevens bij bedrijven niet op orde is. In zulke gevallen kan het voorkomen dat namen, BSN-nummers, telefoonnummers, woonadressen of medische gegevens gestolen, misbruikt of verkocht worden. We spreken dan van een datalek. Het is duidelijk dat zo’n datalek verre van wenselijk is. Om de kans op een datalek te minimaliseren heeft Navaio Access Insight ontwikkeld. Access Insight is een methode om systematisch toegangen tot applicaties en mogelijk gevoelige data te analyseren. Het is hét middel om autorisatiebeheer onder controle te krijgen.

Beveiliging en autorisatiebeheer
Een datalek kan ontstaan doordat een medewerker een ogenschijnlijk kleine fout maakt. Maar het kan ook ontstaan wanneer hij wordt benaderd door cybercriminelen. Het doel is vaak om de data te verkopen of op een andere manier te misbruiken. Het risico op een datalek wordt groter wanneer men autorisaties, die toegang geven tot data, wel toekent maar nooit op regelmatige basis intrekt. Dit is relevant wanneer een medewerker bijvoorbeeld naar een andere afdeling gaat. Ook de systemen die de toegang tot data beveiligen moeten in orde zijn en voldoen aan de huidige eisen.

Het verwaarlozen van beveiliging en autorisatiebeheer is riskant. We zien dit soort voorbeelden steeds vaker en dat is begrijpelijk. Er is een trend dat steeds meer geadministreerd wordt. Bedrijven beschikken over meer data en daarmee ook over meer gevoelige of confidentiële data. Het gevolg is dat het autorisatiebeheer rondom die data complexer en moeilijker wordt en dat bedrijven te maken hebben met meer bedreigingen, zoals:

Hackers die inbreken en misbruik willen maken van zwakheden in de beveiliging;
Menselijke fouten van medewerkers, gemakkelijk te raden wachtwoorden en het klikken op links in phishing mailberichten;
Medewerkers die onder druk worden gezet om data te stelen voor cybercriminelen.

Alle bovenstaande bedreigingen hebben betrekking op privacygevoelige gegevens van klanten, cliënten, patiënten of medewerkers. Maar ook op bedrijfsgevoelige gegevens zoals financiën, strategieplannen of, bedrijfsgeheimen. Het verwaarlozen van beveiliging en autorisatiebeheer zorgt voor grote problemen. Mogelijke gevolgen kunnen zijn:

Een boete van het AP;
Klanten of cliënten die benadeeld kunnen worden waardoor de klant- of cliënt relatie verslechtert;
Gegevens die onterecht gewijzigd worden;
Imagoschade;
Geheime bedrijfsinformatie die gestolen wordt.

Privacy is essentieel
Voor veel bedrijven draait alles om de klant of cliënt. De privacy hiervan is dan ook essentieel. Klant is koning en het beschermen van zijn privacy is troef. Hoe meer gevoelige persoonsdata betrokken is, hoe belangrijker het beschermen hiervan is. Dit is zeker het geval in de dienstverlenende sector zoals in de zorg, bij de overheid en bij de financiële dienstverleners. Een belangrijk onderdeel van het beschermen van privacy is het inrichten of verbeteren van het autorisatiebeheer. Hiervoor moeten flink wat zaken aangepakt worden. Een goede aanpak is om te beginnen met het stellen van de volgende vragen:

Wie mag welke toegang hebben in welke applicatie en waarom?
Wie zijn de eigenaren van deze applicaties en daarmee verantwoordelijk voor deze toegangen?
Hoe zijn de autorisatieprocessen ingericht?
Hoe is de technische inrichting van autorisaties onder de ‘motorkap’?
Welke risico’s zijn er en welk beleid hoort hierbij?

Vrijblijvend consult
Belangrijk is om te inventariseren en inzichtelijk te maken wie in welke applicatie toegang heeft tot welke gevoelige data. Dit heeft als voordeel dat overige vragen concreter worden en eenvoudiger te beantwoorden zijn. Om de eerste stap te nemen heeft Navaio de assessment methodiek ‘Access Insight’ ontwikkeld. Hierin worden de toegangen geanalyseerd en geordend die medewerkers bezitten in gevoelige applicaties en systemen. De uitkomst van deze analyse wordt gepresenteerd aan de hand van de organisatiestructuur van het bedrijf. De reden hiervoor is dat veel autorisaties organisatie gerelateerd zijn. Een bepaalde autorisatie is vaak bedoeld voor een specifieke afdeling of team.

Maar waar begin je nu exact? Wat zijn de eerste te nemen stappen? Onze expert op het gebied van autorisatiebeheer helpt je graag op weg. Neem contact met ons op voor een vrijblijvend consult en voorkom datalekken.

By van der Mark|2022-03-01T13:46:28+01:00March 9, 2021|Blog, IAM|0 Comments

Cookie	Duration	Description
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duration	Description
sp_landing	1 day	This cookie is set by the provider Spotify. This cookie is used to implement audio content from spotify on the website. It also helps in collecting information on user interaction with this audio content.
sp_t	1 year	This cookie is set by the provider Spotify. This cookie is used to implement audio content from spotify on the website. It also helps in collecting information on user interaction with this audio content.

Cookie	Duration	Description
__gads	1 year 24 days	This cookie is set by Google and stored under the name dounleclick.com. This cookie is used to track how many times users see a particular advert which helps in measuring the success of the campaign and calculate the revenue generated by the campaign. These cookies can only be read from the domain that it is set on so it will not track any data while browsing through another sites.
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_ga_S3S4QWSG9R	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_110801228_1		This cookie is set by Google and is used to distinguish users.
_gcl_au	3 months	This cookie is used by Google Analytics to understand user interaction with the website.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
CONSENT	16 years 5 months	These cookies are set via embedded youtube-videos. They register anonymous statistical data on for example how many times the video is displayed and what settings are used for playback.No sensitive data is collected unless you log in to your google account, in that case your choices are linked with your account, for example if you click “like” on a video.

Cookie	Duration	Description
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	14 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
yt-remote-connected-devices	never	These cookies are set via embedded youtube-videos.
yt-remote-device-id	never	These cookies are set via embedded youtube-videos.

Autorisatiebeheer: het belang voor organisaties

Autorisatiebeheer: het belang voor organisaties

About the Author: van der Mark

De 9 grootste cybersecurity problemen

Webinar Managed Detection & Response: Een hacker binnen enkele minuten detecteren.

Security Awareness: De top-7 valkuilen

Vacature: Microsoft Azure specialist

Leave A Comment Cancel reply

Autorisatiebeheer: het belang voor organisaties

Deel dit verhaal, kies je platform!

About the Author: van der Mark

Related Posts

De 9 grootste cybersecurity problemen

Webinar Managed Detection & Response: Een hacker binnen enkele minuten detecteren.

Security Awareness: De top-7 valkuilen

Vacature: Microsoft Azure specialist

Leave A Comment Cancel reply