Op basis van Pobelka is 750GB data onfutseld aan overheidsinstellingen en het bedrijfsleven. Daar
zitten ook inlogcodes, wachtwoorden, persoonlijke informatie en creditcard
gegevens bij. Door onduidelijke toewijzing van taken, bevoegdheden en
verantwoordelijkheden opereert het Nationale Cyber Security Center in een vacuüm. Als je gegevens ontvreemd zijn, en als dat bekend
is, kan of wil het NCSC daar te weinig mee doen.
Vertrouwelijke gegevens zijn binnen de muren van jouw
organisatie niet meer veilig. Veel organisaties, vergelijkbaar met die van jou,
beveiligen de koppeling aan het internet met een staldeur.
Dat is verre van toereikend, bewijst Pobelka maar weer. Dus
gaan die organisaties investeren in betere voordeuren. Feit is echter dat de
gegevens op allerlei andere manieren het pand verlaten. Tel het aantal
clouddiensten bij jou in de organisatie maar eens op. Vermenigvuldig die met
het aantal eigen tablets en smartphones. Maak een inschatting van de bewuste medewerker.
Die rekensom vertelt je dat het risicoprofiel van jouw
organisaties enorm is opgeblazen. Daarbij komt de grensvervaging tussen binnen en buiten en de vermenging van werk
en privé. Gegevens verlaten het pand
op allerlei onbeheersbare wijzen. Erger nog, het pand bestaat niet meer!
Er is een schaduwinfrastructuur ontstaan van werkplekken, systemen,
netwerken, clouddiensten, apps en storage waarop de organisatie geen vat meer heeft.
Waar leg jij het zwaartepunt van security in de beschreven
situatie? Er zijn echt nog wel betere voordeuren nodig. Kies dan echter wel een
oplossing die op basis van eenduidige policies de beveiliging van
IT-infrastructuur én endpoints realiseert. Val niet voor de blauwe ogen van de
commercianten van ‘Wij-van-WC-eend’.
Die zien jouw organisatie alleen maar als toiletpot die zij wel even schoon
zullen maken. Risicoanalyse zegt dat je risico niet alleen in de perimeter zit.
OK, dus niet alleen een staldeurupgrade!
De organisatie heeft geen grip op de schaduwinfrastructuur.
De medewerkers daarentegen wel. Op grond van de ideeën van het Jericho-forum is
enkele jaren geleden al aangegeven dat beveiliging van data en identiteit
leidt tot een effectievere beveiliging van vertrouwelijke gegevens. Er
ontstaat een nieuwe perimeter, identiteit!
De organisatie moet dan ook op zoek naar een manier om
naadloos beveiligde toegang te bieden tot vertrouwelijke zakelijke gegevens in
verschillende SAAS-oplossingen, en tot privégegevens van medewerkers in
clouddiensten (dropbox, drive, …). Dan komt al vlug Federated Identity Management
om de hoek kijken. Maar hoe krijg je als organisatie al die cloud providers op
één lijn?
Diverse organisaties hebben natuurlijk al veel tijd gestoken
in Identity Access Manegement projecten toen er nog geen schaduwinfrastructuur
bestond. Ik kan me voorstellen dat menig directielid de wenkbrauwen fronst bij
de budgetaanvraag voor een nieuw IAM-project. Wellicht dat standaarden als SAML
en OAuth een rol van betekenis kunnen spelen in de zoektocht naar goed Identity
Management. Wel zullen cloud providers mee moeten bewegen. Niet iedere partij
is daartoe in staat. Zoek dus de juiste partijen die bereidwillig zijn om ook
jouw gegevens veilig te houden.
Een bijkomend aspect van de nieuwe identiteitsperimeter is
de context waarbinnen die identiteit van kracht is. Thuis, op een eigen
apparaat, is de identiteit van het directielid snel afgezwakt. Moet hij dan
alle autorisaties krijgen die op kantoor wel gelden?
Kijk echter niet te holistisch naar identiteit. Neuro
Linguistisch Programmeren biedt met logische niveaus van Bateson
een mooie kijk op de verschillende niveaus van identiteit. Het start onderaan met omgeving. Of de andere niveaus van
toegevoegde waarde zijn voor het vaststellen van toegangsrechten betwijfel ik
echter.
Daar sta je dan. Een half opengezwaaide staldeur, een
schaduwinfrastructuur en de wetenschap dat je straks geen pand meer hebt
waarbinnen gegevens beveiligd hoeven te worden.
Ga jij die perimeter ‘identiteit’ de prioriteit geven die
het verdiend? Of ga je toch voor een staldeurupgrade? Wellicht ga je allebei
doen. Ik kan me wel vinden in de laatste.
Mocht jij het totaal niet meer zien zitten als beveiliger
dan verwijs ik je naar de Paardenkamp.
Kijk uit voor al die staldeuren!