Uit recent onderzoek van NordPass blijkt dat ook Fortune 500-bedrijven geen veilige wachtwoorden gebruiken. Het meest gebruikte wachtwoord in de detailhandel en e-commerce is bijvoorbeeld ‘password’, net zoals in de energie-, technologie-, en financiële sector. Andere veelgebruikte wachtwoorden zijn ‘123456’, ‘Hallo123’, ‘sunshine’ en andere vergelijkbare eenvoudige combinaties.
Veel organisaties vergeten dat medewerkers een belangrijke oorzaak vormen van inbreuken op de beveiliging, of het nu is omdat ze op een link in een phishing-e-mail klikken of omdat ze de deur openhouden voor een bezoeker. Een goede toegangscontrole vormt de kern van cybersecurity, waarbij organisaties er zeker van moeten zijn dat gebruikers zijn wie ze zeggen en dat ze toestemming hebben om specifieke netwerkbronnen te gebruiken of beperkte gebieden mogen betreden. Toegangscontrole dient niet alleen om bedrijfsmiddelen te beveiligen, maar kan in het geval van een inbreuk ook helpen bij het traceren van acties en het vaststellen van de oorzaak.
Soorten toegangscontrole
Er zijn twee soorten toegangscontrole, fysieke: regelt de toegang tot fysieke plaatsen, zoals bepaalde afdelingen of sites van een bedrijf of werkterrein en toegangscontrole voor software: regelt de toegang tot bepaalde systemen, databases, netwerken en informatieportalen. Beide zijn essentieel voor cybersecurity en gaan uit van de toestemming dat gebruikers, apparaten en alle andere entiteiten die toegang vragen, onbekend zijn totdat het systeem ze kan verifiëren. Daartoe moeten zij een unieke en bekende ID hebben, zoals een gebruikersnaam, e-mail- of MAC-adres, die hen identificeert wanneer zij om toegang verzoeken.
Authenticatie en machtiging
Een aantal internationale normen heeft betrekking op het proces van authenticatie – waarbij de identiteit van een apparaat en een gebruiker wordt geverifieerd – en autorisatie, waarbij wordt vastgesteld of een gebruiker met zijn of haar niveau van privileges toegang kan krijgen tot een specifiek middel.
Hiertoe behoren bijvoorbeeld de IEC 62443-normenserie en de ISO/IEC 27000-normenfamilie. NEN-EN-IEC 60839-11-5 heeft betrekking op fysieke toegangscontrole, met inbegrip van biometrie, zoals vingerafdrukken en irisscans, en kaarten. Medewerkers mogen alleen toegang krijgen tot het netwerk en de netwerkdiensten waartoe zij specifiek gemachtigd zijn.
Gezonde cybersecurity cultuur
De normen gaan uit van een holistische benadering van risicobeperking door niet alleen technologieën en procedures aan te pakken, maar ook mensen. Activiteiten op het gebied van training en capaciteitsopbouw worden gezien als essentieel voor het vergroten van het bewustzijn en voor het creëren van een gezonde cybersecurity cultuur. Dit is vooral belangrijk in een tijd waarin meer mensen dan ooit tevoren thuiswerken als gevolg van de pandemie van het coronavirus. De huidige situatie vergroot de complexiteit van toegangscontrole, aangezien gebruikers vanuit hun thuisomgeving inloggen op meerdere bedrijfstoepassingen en subnetwerken.
Volg Security Management op LinkedIn