Heb je altijd al de behoefte gehad om volmondig antwoord te kunnen geven op de vraag: wie heeft toegang tot welke informatie, tot wanneer en waarom? Lees dan nu deze blog over Identity Governance & Administration (IGA) en voorkom dat ongenodigde toegang hebben tot de kroonjuwelen van jouw organisatie.
In deze blog nemen wij je mee over de nut en noodzaak van controle over je identiteiten en toegangsbeheer. Ook leggen we je uit waarom Identity Governance & Administration (IGA) voor bedrijven is uitgegroeid tot een essentiële schakel. Het is namelijk één van de belangrijkste pijlers in de strijd tegen datalekken en diefstal van persoonsgegevens, maar scheelt door de geautomatiseerde processen ook tijd, geld en zorgt ervoor dat je goed voorbereid bent voor audits.
Organisaties zijn vaak complex. Je hebt te maken met werknemers, leveranciers, Cloud providers, maar soms ook met cliënten, vrijwilligers en apparaten (Internet of Things sensoren). Allemaal hebben ze de juiste toegang en beveiliging nodig, want privacygevoelige data moet goed beveiligd worden. Dit is spannend en zorgt voor uitdagingen. Identity Governance & Administration zorgt er mede voor dat een situatie zoals in januari 2021 bij de GGD aan het licht kwam niet meer voorkomt.
IGA ‘in het nieuws’
De GGD is tijdens de corona pandemie veelvuldig in het nieuws, maar niet altijd positief. In januari 2021 meldde RTL Nieuws dat er grootschalig gehandeld werd in miljoenen adresgegevens, telefoon- en Burgerservicenummers uit de coronasystemen van de GGD. Techjournalist Daniël Verlaan kwam tot deze conclusie na grondig onderzoek op de verborgen gedeelten van het internet (darkweb). Hier werden duizenden gegevens van Nederlanders te koop aangeboden en was het zelfs mogelijk om datasets op aanvraag geleverd te krijgen. Denk hierbij aan enkel zestigplussers of personen uit de regio van Utrecht. De reden dat het mogelijk was om bij zoveel gegevens te kunnen was een onjuist autorisatie beleid. Medewerkers konden bij veel meer data en gegevens dan nodig was voor hun werkzaamheden.
Een ander bekend voorbeeld is het voorbeeld van politiemol Orm. K. De Utrechtse politiemol speelde twee jaar lang geheime informatie door aan criminelen. Volgens het OM heeft hij in die twee jaar tijd maar liefst 132 keer informatie uit het politiesysteem gehaald. Het lukte hem om ten alle tijden deze data in te zien, terwijl hij hier helemaal niet de juiste autorisatie meer voor zou moeten hebben. Deze twee voorbeelden zijn helaas eerder regel dan uitzondering.
Wat is Identity Governance & Administration?
In bovenstaande voorbeelden wordt ernstig duidelijk dat onjuiste toegang tot informatie kan leiden tot een datalek. 97% van de IT managers zegt dat risico’s van binnen uit de organisatie een groot probleem zijn (Egress 2020). Er zijn namelijk tal van voorbeelden waarbij er geen opzet in het spel is, maar er wel persoonsgegevens worden gelekt. Iemand heeft in veel gevallen niet de juiste autorisatie. Om dit te voorkomen wordt er door organisaties ingezet op Identity Governance & Administration.
IGA is de bedrijfsfunctie die ervoor zorgt dat alleen de juiste personen op het juiste moment en om de juiste redenen toegang krijgen tot de juiste digitale middelen (bijv. applicaties en gegevens). Deze bedrijfsfunctie bestaat uit onder andere de volgende processen:
- Identiteit levenscyclus beheer (In-, door- en uitstroom);
- Afhandelen van toegangsverzoeken;
- Rolbeheer (RBAC);
- Toegangscertificering (periodieke controle van rechten);
- Auditing.
Het geheel handmatig uitvoeren van deze processen zou heel veel werk betekenen. Daarom zijn er IGA systemen op de markt die deze processen ondersteunen. Het stelt organisaties in staat om meer grip te houden op autorisaties en toegangsbeheer. Het zorgt voor een efficiënt proces voor het verlenen, monitoren en wijzigen van toegangsrechten op basis van rollen.
De voordelen van IGA
IGA-processen bieden enorm veel voordelen. Eigenlijk kan je als complexe organisatie niet meer zonder. Allereerst helpt IGA om belangrijke data te beveiligen. Denk hierbij bijvoorbeeld aan patiëntgegevens. Alleen de juiste werknemers kunnen bij de data die voor hun functie van belang is. Ook helpt het organisatie om compliant te zijn en eventuele pijnpunten op het vlak van toegangsrechten in kaart te brengen en op te pakken. IGA zorgt namelijk ook voor een overzichtelijk instroom, doorstroom en uitstroom proces. Maar dat zijn lang niet alle voordelen. De belangrijkste vijf hebben we op een rijtje gezet:Volledige transparantie over risico’s en in staat zijn om tijdig actie te ondernemen.
- Volledige transparantie over risico’s en in staat zijn om tijdig actie te ondernemen;
- Voorkom datalekken door juiste autorisatie en toegangsbeheer;
- Je blijft compliant en voldoet aan de AVG en ziet elke audit met vertrouwen tegemoet;
- Je houdt kosten onder controle en voorkomt een boete van de AP;
- Je bent betrouwbaar en compliant met uitgebreide dashboards en solide processen.
Zoals je ziet kan een organisatie eigenlijk niet meer zonder IGA-beleid. Afhankelijk van het volwassenheidsniveau van je organisatie dien je hierover na te denken. Maar of je organisatie nu 500 of 50.000 werknemers heeft, persoonsgegevens moeten beveiligd worden. De imagoschade die je organisatie oploopt als je jouw toegangsbeheer niet op orde hebt is ongetwijfeld enorm en op een boete van de AP zit niemand te wachten. Het is niet de vraag of je jouw organisatie gaat beschermen door middel van IGA, maar wanneer.
IGA Webinar: Identities in de zorg
Heb je na het lezen van deze blog vragen over hoe je IGA voor jouw organisatie moet implementeren? Of heb je een andere vraag? Neem dan contact met ons op of kijk ons webinar Identities in de Zorg: Dynamisch, Open en Kwetsbaar, terug. Wij spraken in dit webinar met drie experts over de verschillende Identities in de zorg.