Trends en valkuilen rondom Identity & Access Management (IAM)

In het huidige digitale landschap is het belangrijker dan ooit dat gevoelige en kritieke gegevens beschermd zijn om klanten en medewerkers veilig te houden én de strenger wordende wet- en regelgeving na te leven. Met de komst van steeds innovatievere technologische oplossingen is ook het beheer van gebruikerstoegang complexer geworden.

Met de inzet van Identity & Access Management (IAM) zorg je als organisatie dat de juiste personen op het juiste moment toegang hebben tot de juiste middelen. In deze blog delen we de laatste trends op het gebied van IAM en laten we zien hoe je de veel voorkomende valkuilen tijdens de implementatie vermijdt.

Beheer van MFA tot PAM

Identity & Access Management fungeert als paraplu voor verschillende componenten van identiteitsbeheer om moderne en complexe digitale omgevingen veilig te houden. Met behulp van multi-factor authenticatie (MFA) wordt door middel van een aanvullende verificatie – zoals een code of vingerafdruk – extra gecontroleerd en gevalideerd dat het werkelijk de gebruiker is die probeert in te loggen. Single sign-on (SSO) biedt medewerkers toegang tot meerdere applicaties met één set inloggegevens. Om toegang tot gevoelige informatie en systemen elke keer opnieuw te controleren en valideren zet je privileged access management (PAM) in. IAM beheert digitale entiteiten en toegangsrechten gedurende hun hele levenscyclus met identity governance & administration (IGA). Hierbij wordt rekening gehouden met de naleving van wettelijke vereisten. Customer identity & access management (CIAM) biedt veilige en naadloze toegang tot klantgerichte applicaties en diensten. Via bring your own identity (BYOI) loggen medewerkers in met hun persoonlijke (social)account om toegang te krijgen.

Opkomende trends in IAM

Rechtenbeheer in IAM gaat verder dan het principe van de minste bevoegdheden (least privileges). Het richt zich op het verlenen van specifieke gebruikersrechten die zijn afgestemd op rollen en verantwoordelijkheden. Deze aanpak helpt escalatie van bevoegdheden en ongeoorloofde toegang te voorkomen. Door artificial intelligence (AI) en machine learning te integreren in IAM-processen automatiseren organisaties beheertaken, zoals gebruikersprovisioning, toegangscertificering en realtime detectie van gedragsafwijkingen. Deze proactieve aanpak verbetert de beveiliging en operationele efficiëntie. Het zero trust-model hanteert het ‘never trust, always verify’, waarbij standaard geen enkele gebruiker of apparaat wordt vertrouwd. Deze aanpak vereist continue authenticatie en autorisatie, waardoor het risico op datalekken en ongeoorloofde toegang wordt verkleind. Het is wel belangrijk dat identiteiten en autorisaties correct zijn ingevoerd en beheerd. Met identity threat detection and response (ITDR) identificeren organisaties identiteitsgebaseerde bedreigingen in realtime, zodat ze hier direct op kunnen reageren. Het biedt zo een extra beveiligingslaag tegen geavanceerde cyberaanvallen.

Wet- en regelgeving

De implementatie van IAM helpt organisaties aan wet- en regelgeving te voldoen door te zorgen dat alleen geautoriseerde gebruikers toegang hebben tot gevoelige gegevens en systemen. Deze afstemming op wettelijke vereisten versterkt de beveiligingshouding van de organisatie en verkleint het risico op datalekken en juridische sancties. In Nederland moeten organisaties zich houden aan specifieke regelgeving:

ISO 27001-standaard: vereist dat organisaties uitgebreide beveiligingscontroles implementeren om gevoelige informatie te beschermen.

Algemene Verordening Gegevensbescherming (AVG): legt strenge gegevensbeschermingsmaatregelen op om de persoonsgegevens van personen te beschermen.

NEN 7510-norm: richt zich op informatiebeveiliging in de gezondheidszorg en zorgt voor de bescherming van gevoelige patiëntgegevens.

BIO: regelt de beveiliging van digitale communicatie binnen de Nederlandse overheid.

Normenkader Informatiebeveiliging en Privacy: biedt een kader voor informatiebeveiliging en privacy in onderwijsinstellingen.

NIS2-richtlijn: introduceert nieuwe cyberbeveiligingsvereisten voor organisaties in verschillende sectoren.

Veel voorkomende valkuilen

Een van de grootste valkuilen is het gebrek aan tijd en budget, doordat IAM-oplossingen vaak technisch complex zijn en de integratie met bestaande systemen en applicaties ingewikkeld is. Het is bovendien een tijdrovende klus om het autorisatiemodel met alle systemen en gebruikersrollen op te stellen, vanwege de enorme dataset en hoeveelheid betrokkenen binnen de organisatie. We adviseren een agile aanpak, waarbij je door klein te beginnen stapsgewijs kan opschalen. Hierdoor speel je beter in op veranderingen zonder de gehele omgeving om te moeten gooien. Bovendien kan het gebruik van externe expertise – zoals IAM-consultants of managed serviceproviders – helpen technische uitdagingen te overwinnen en een succesvolle implementatie te garanderen. Het is daarnaast aan te raden een multifunctioneel IAM-team samen te stellen met vertegenwoordigers van alle relevante afdelingen, zoals IT, HR en financiën. Regelmatige communicatie en samenwerking tussen teamleden helpt barrières overwinnen en aan alle behoeften te voldoen.

IAM in de praktijk

Identity & access management is belangrijk voor organisaties in elke sector. We laten dit graag zien met een aantal voorbeelden.

De zorg

Een zorgorganisatie met duizenden werknemers en meerdere systemen had moeite een samenhangend autorisatiemodel te implementeren. Dankzij een agile aanpak begonnen ze met een klein proefproject gericht op een enkele applicatie en breidden ze de reikwijdte geleidelijk uit. Deze stapsgewijze aanpak stelde hen in staat uitdagingen in een vroeg stadium te identificeren en aan te pakken, wat zorgde voor een soepeler implementatieproces.

De overheid

De technische complexiteit van de integratie van IAM-oplossingen met bestaande legacysystemen was een flinke worsteling voor een gemeentelijke organisatie. Door gebruik te maken van externe expertise en te investeren in IAM-tools met naadloze integratiemogelijkheden hebben ze met succes een robuust IAM-raamwerk geïmplementeerd dat voldoet aan de wettelijke vereisten en zorgde voor een verbetering in de beveiliging.

Het onderwijs

Een onderwijsinstelling werd geconfronteerd met uitdagingen bij het beheren van een groot aantal identiteiten en rechten voor verschillende rollen, waaronder studenten, werknemers en ouders (of wettelijke vertegenwoordigers). Het grote aantal veranderingen in de bronsystemen moest worden weerspiegeld in doelsystemen, zoals elektronische leeromgevingen. Door een IGA-oplossing te implementeren automatiseerden ze de processen voor het in- en uitschrijven van gebruikers, zodat toegangsrechten snel werden verleend en ingetrokken. Deze automatisering verbeterde de beveiliging en operationele efficiëntie.

De zakelijke markt

Voor een financiële instelling was het een uitdaging om de kosten en tijd die nodig waren voor IAM-implementatie in te schatten. Door een risicobeoordeling uit te voeren om kritieke systemen en gegevens te identificeren kozen ze voor een agile aanpak die gericht was op toenemende verbeteringen en prioriteit gaf aan risicogebieden. Deze strategie stelde hen in staat middelen effectiever toe te wijzen en een succesvolle IAM-implementatie te realiseren binnen de gewenste tijdlijn en budget.

Ondersteuning bij implementatie

Identity & Access Management is een cruciaal onderdeel van de beveiligingsinfrastructuur van een organisatie. Door robuuste IAM-oplossingen te implementeren beschermen organisaties gevoelige gegevens, handhaven naleving van de regelgeving en verbeteren de operationele efficiëntie. De opkomende trends in IAM bieden nieuwe mogelijkheden om de beveiligingshouding te versterken en de evoluerende cyberdreigingen voor te blijven. Door een agile aanpak te hanteren wordt de IAM-implementatie succesvol en creëer je een veerkrachtige en veilige digitale omgeving die beschermt tegen ongeoorloofde toegang en datalekken. Acknowledge heeft de expertise in huis om jouw organisatie hierbij te ondersteunen.

Lees meer

Mike van Eck

Product Owner cybersecurity Meer van Mike

Nu de eerste maand van het nieuwe jaar verstreken is blikken we terug op het cybersecurityjaar van 2024. Wat veroorzaakte afgelopen jaar voornamelijk de securityincidenten? En met welke opkomende technieken die gebruikt worden door aanvallers moeten we het komende jaar rekening houden?

Awareness blijft belangrijk

De menselijke factor bleek ook in 2024 het grootste en meest succesvolle aanvalsoppervlak te zijn. Bij 68 procent van de geslaagde aanvallen was een persoon betrokken, waarbij phishingaanvallen de meest dominante vorm bleek. Het bekendste voorbeeld in Nederland was de inbreuk bij de Nederlandse politie, waar gegevens van alle medewerkers zijn buitgemaakt via de gegevens van één gebruikersaccount. Dit voorval is waarschijnlijk veroorzaakt door phishing. Een derde van de geslaagde phishingaanvallen betrof een ransomwareaanval, waarbij bij 23 procent ook daadwerkelijk data versleuteld is geraakt. Het blijft dus onverminderd belangrijk om je medewerkers bewust te maken van de digitale gevaren.

Nieuwe technieken

Opkomende technieken die opvallen zijn aanvallen op cloudplatformen zoals Microsoft Azure, Google One, en Amazon AWS. We zien een toename van 75 procent doordat aanvallers steeds vaker kwetsbaarheden in deze platformen misbruiken. Ook zogenoemde supply chain-aanvallen zijn toegenomen met 68 procent. Bij een supply chain-aanval wordt een bedrijf getroffen via een leverancier die is aangevallen. In 2024 speelden cybercriminelen slim in op de update-bug van CrowdStrike door gebruikers te misleiden een reparatiepatch te implementeren. Deze bleek voorzien te zijn van infostealer-malware. We zien ook het gebruik van AI-gedreven aanvallen fors toenemen. Door de komst van artificial intelligence kunnen aanvallers eenvoudig gepersonaliseerde aanvallen opzetten. De zogeheten deepfake-aanvallen zijn vaak niet meer van echt te onderscheiden. Het voordeel is dat AI ook steeds meer wordt ingezet om securityoplossingen te verbeteren. Maar liefst 96 procent van de vendoren heeft AI-tools in hun securityoplossingen toegevoegd om de detectie en responstijd te verhogen.

Vooruitblik 2025

Ook in 2025 moeten we waakzaam blijven op aanvallen. Investeren in security-awareness blijft een van de belangrijkste middelen om beter bestand te zijn tegen aanvallen. Ook het vroegtijdig detecteren en bestrijden van incidenten met behulp van een SOC/SIEM-dienst wordt steeds noodzakelijker. Door gebruik te maken van een identity & access management-oplossing (IAM) met privileged access management (PAM) worden accounts en privileges tijdig en exclusief aangemaakt en verwijderd wanneer nodig. Last but not least blijft conditionele toegang – waarbij medewerkers inloggen op basis van bepaalde voorwaarden – inclusief multi-factor authenticatie een must-have. De combinatie van deze technieken vormt een belangrijke manier om de juiste identiteiten gecontroleerd toegang te geven tot de juiste systemen met de juiste rechten.

Wil jij altijd op de hoogte blijven?

Zo’n terugblik op het cybersecurityjaar van 2024 is fijn! Hierdoor weet jouw organisatie direct wat er speelt in securityland en waar je op jezelf op moet voorbereiden. Blijf jij graag op de hoogte van het laatste nieuws en interessante ontwikkelingen? Meld je dan aan voor onze nieuwsbrief!

Schrijf je in