Inloggen met je lichaam: een paar jaar geleden was dit slechts in grote Hollywoodfilms te zien, maar op termijn wordt dit dankzij biometrie ook voor bedrijven realiteit. Inloggen met je vingerafdruk, iris of hartslag, waarschijnlijk via een apparaat dat je bij je hebt (smartphone, smartwatch et cetera), zal in de toekomst niet meer dan normaal zijn.
Ook andere manieren van wachtwoordloos inloggen doen in de nabije toekomst hun intrede, waardoor inloggen veiliger én eenvoudiger wordt. De discussie over elektronische toegang gaat vaak over hoe het inloggen moet worden verbeterd, want de wachtwoorden die we nu nog gebruiken kunnen worden geraden, afgeluisterd, gestolen en gekraakt. De nadruk ligt vrijwel altijd op het middel waarmee wordt ingelogd. Maar om elektronische toegang écht veilig te maken, zijn ook andere zaken van belang, waaronder gebruiksgemak, toegang op basis van rollen en risico gedreven toegangsbeheer.
Gebruiksgemak en beveiliging
‘Gebruiksgemak en veiligheid staan op gespannen voet’, is een veelgehoorde uitspraak als het gaat om it-beveiliging. Toegang die niet gemakkelijk te gebruiken is, wordt vaak vermeden of omzeild. Als de voorzieningen van organisaties te ingewikkeld zijn, gaan medewerkers automatisch op zoek naar publieke diensten op het internet die wel eenvoudig te gebruiken zijn. Zo ontstaat shadow-it; oplossingen die naast de voorzieningen van een organisatie worden gebruikt en waarop geen grip of controle mogelijk is. Dit is echter de praktijk van alledag. Een arts die via zijn smartphone een patiënt foto naar een collega wil sturen, heeft vaak als enige oplossing een dienst zoals Whatsapp of Dropbox. En van de laatstgenoemde lagen een tijdje geleden alle wachtwoorden op straat, niet erg veilig dus.
Het gebruik van shadow-it toont aan dat gebruiksgemak essentieel is voor een goede beveiliging. Ik ben van mening dat een matige beveiliging die makkelijk in gebruik is, meer effect heeft dan een extreem sterke, maar lastig te gebruiken beveiliging. Steeds meer security professionals zijn inmiddels aanhanger van het principe dat beveiliging het gebruiksgemak niet in de weg mag staan.
Toegang op basis van rollen
Inloggen bepaalt wie je bent en of je een dienst wel of niet mag gebruiken. Het is handig om dat op basis van ‘rollen’ te bepalen. Dit blijft voor veel organisaties een heikel punt, want in de praktijk wordt deze vraag veelal vanuit it-perspectief met strikt beveiligingsperspectief benaderd. Dit leidt bij werknemers vaak tot frustratie, waarna zij vervolgens opzoek gaan naar alternatieve diensten of hun werk niet kunnen uitvoeren.
Als de it-afdeling bepaalt wie wat mag, gebeurt dit vaak volgens het ‘need-to-know’-principe. In veel gevallen leidt dit principe tot een ingewikkeld model voor rollen dat te veel beperkingen oplegt. De trajecten waarin een model moet worden geïmplementeerd duren dan vaak lang en tegen de tijd dat deze klaar zijn, staan er nieuwe ontwikkelingen of reorganisaties voor de deur, waardoor alles weer anders moet. Creëer daarom een simpel model voor rollen, waarin alleen als zeer vertrouwelijk bestempelde informatie grote beperkingen kent ten aanzien van toegang. Sta enkele afwijkingen toe, maar giet ze wel in lichte processen, waardoor controle achteraf eenvoudiger is.
Risico’s automatisch afdekken
Met risico gebaseerde toegang kunnen bepaalde risico’s al bij het inloggen worden afgedekt. Hierbij draait het om de context bij het inloggen: wat is de locatie van een gebruiker, met welk ip-adres komt de gebruiker binnen, welk device wordt er gebruikt en wijkt het inloggedrag af van voorheen? Bij het inloggen kan worden bepaald wat wel en niet wordt toegestaan. Logt iemand vanuit India in? Dan worden de mogelijkheden beperkt of wordt een extra verificatie van de gebruiker gevraagd.
Inloggen zoals in Hollywood films, dat duurt nog even. Toch blijft een simpele handeling als inloggen een veelbesproken onderwerp bij managers. Door de groeiende ontwikkeling van het aantal verschillende devices op de werkvloer, wordt het beschermen en managen van inlog- en autorisatieprocessen een moeilijk thema. Als organisaties kiezen voor een eenvoudige inlogprocedure, gebruik maken van risico gebaseerd inloggen en eenvoudige toegang op basis van rollen, dan wordt de hogere authenticatiekunde voor iedereen eenvoudiger.
