Wist u dat meerfactorauthenticatie meer dan 99,9% van de aanvallen op accounts kan blokkeren? Omdat deze statistieken simpelweg niet genegeerd mogen worden, laten we dit onderwerp vandaag centraal stellen en meer lezen over multi-factor authenticatie (MFA) en hoe het gerelateerd is aan toegangscontrole.
Over het algemeen kan het belang van het implementeren van robuuste toegangscontrolemaatregelen in overeenstemming met ISO 27001 en NIS2 niet genoeg worden benadrukt. Het helpt niet alleen om gevoelige informatie te beschermen tegen ongeautoriseerde toegang, maar toegangscontrolemaatregelen zorgen er ook voor dat alleen geautoriseerde personen toegang kunnen krijgen tot specifieke bronnen, waardoor het risico op datalekken wordt verkleind. In deze blogpost gaan we dieper in op deze vragen en verkennen we de grondbeginselen van toegangscontrole en MFA.
Toegangscontrole en MFA begrijpen
In de volgende paragrafen zullen we kijken naar de exacte controles van zowel de NIS2 richtlijn als de ISO 27001 standaard, die de vereisten voor toegangscontrole en MFA behandelen.
NIS2-eisen en -controles
Deel 21.2.i en 21.2.j van de richtlijn hebben specifiek betrekking op toegangscontrole en multifactorauthenticatie (MFA) en de noodzaak om passende maatregelen te implementeren.
Deel 21.2.i van de NIS2-richtlijn benadrukt dat entiteiten maatregelen moeten treffen om ongeoorloofde toegang tot netwerk- en informatiesystemen te voorkomen. Dit omvat het gebruik van veilige en robuuste toegangscontrolemechanismen. De richtlijn moedigt entiteiten aan om een 'laagste privilege'-benadering te hanteren, waarbij gebruikers de minimale toegangsniveaus krijgen die nodig zijn om hun taken uit te voeren.
Deel 21.2.j van de NIS2-richtlijn richt zich op het gebruik van multifactorauthenticatie (MFA) als middel om de identiteit van gebruikers te verifiëren. MFA is een authenticatiemethode waarbij gebruikers twee of meer verificatiefactoren moeten opgeven om toegang te krijgen tot een bron zoals een applicatie, online account of een VPN.
Samengevat benadrukken de delen 21.2.i en 21.2.j van de NIS2-richtlijn het belang van robuuste toegangscontrole en het gebruik van multifactorauthenticatie voor de bescherming van netwerk- en informatiesystemen. Deze maatregelen worden gezien als cruciaal voor het voorkomen van ongeautoriseerde toegang en het waarborgen van de beveiliging van gevoelige informatie. De richtlijnen in de NIS2-richtlijn zijn echter nogal zwak in vergelijking met de vereisten van andere raamwerken zoals ISO 27001. Daarom kunnen de best practices van ISO 27001 worden gebruikt om te voldoen aan de eisen van NIS2.
ISO 27001's controles voor toegangsbeheer
De volgende controles uit hoofdstuk 5 (Organisatorische controles) en 8 (Technologische controles) zijn gerelateerd aan toegangsbeheer:
5.15 Toegangscontrole
In essentie gaat ISO 27001-controle '5.15 Toegangscontrole' over het implementeren van effectieve maatregelen om de toegang tot informatie te beheren en te beperken, waardoor het risico op onbevoegde toegang en mogelijke inbreuken op gegevens wordt verminderd. Het is onderverdeeld in twee hoofdonderdelen: 'User Access Management' en 'User Responsibilities'. Gebruikerstoegangsbeheer' omvat het proces van het toekennen of intrekken van toegangsrechten aan gebruikers op basis van hun rollen en verantwoordelijkheden binnen de organisatie. Dit omvat het beheer van geprivilegieerde toegangsrechten, de beoordeling van toegangsrechten van gebruikers en het verwijderen of aanpassen van toegangsrechten.
Gebruikersverantwoordelijkheden' onder '5.15 Toegangsbeheer' heeft betrekking op het bewust maken van gebruikers van hun verantwoordelijkheden bij toegang tot de informatiesystemen van de organisatie. Dit houdt ook in dat gebruikers het toegangscontrolebeleid van de organisatie moeten volgen en dat ze de gevolgen van niet-naleving moeten begrijpen.
Verder benadrukt "5.15 Toegangscontrole" ook het belang van het gebruik van veilige aanmeldprocedures, het effectief beheren van wachtwoorden en het beperken van het gebruik van hulpprogramma's die systeem- en toepassingscontroles kunnen omzeilen. Deze controle is cruciaal voor het behoud van de integriteit, vertrouwelijkheid en beschikbaarheid van de informatie van een organisatie.
5.16 Identiteitsbeheer
De controle '5.16 Identiteitsbeheer' verplicht organisaties om een grondig identiteitsbeheersysteem op te zetten, met een formele registratie- en de-registratiemethode voor gebruikers. Het doel is om toegangsrechten zorgvuldig toe te wijzen, zodat de toegang tot verschillende informatie en systemen binnen uw bedrijf wordt gecontroleerd. Het is noodzakelijk om de toegangsrechten van gebruikers regelmatig bij te werken en te herzien, zodat ze relevant blijven, vooral in situaties zoals rolwisselingen of het vertrek van medewerkers.
Het beheren van speciale toegangsprivileges zoals die voor systeembeheerders is ook cruciaal, met de nadruk op beperkt gebruik en consistente monitoring. Dit alles om ongeautoriseerde toegang en potentieel misbruik te voorkomen. Verder benadrukt dit controle-element de belangrijke rol van gebruikers bij het handhaven van de beveiliging van hun authenticatie-informatie, waarbij het belang van vertrouwelijkheid van wachtwoorden en het direct melden van vermeende schendingen wordt benadrukt.
5.17 Authenticatie-informatie
De controle benadrukt het belang van zorgvuldig beheer van authenticatiegegevens. Gebruikers moeten zich bewust zijn van hun rol in het handhaven van de vertrouwelijkheid en veiligheid van hun respectieve authenticatiegegevens. Geautomatiseerde processen moeten de toewijzing van wachtwoorden effectief afhandelen en deze wachtwoorden moeten worden geverifieerd op juistheid voordat ze worden gebruikt om het risico van onbevoegde toegang te beperken.
De controle vereist ook de integratie van stevige veiligheidsmaatregelen zoals robuuste wachtwoorden en twee-factor authenticatie, samen met veilige inlogprocedures, waardoor het beveiligingsquotiënt wordt verhoogd. Verder moet de authenticatie-informatie tijdig worden gewijzigd bij elk teken van mogelijke compromittering, zodat ongeautoriseerde toegang wordt voorkomen, zelfs als de authenticatie-informatie in gevaar is.
5.18 Toegangsrechten
De ISO 27001 controle '5.1.8 Toegangsrechten' beschrijft belangrijke aspecten van het beheren van toegangsrechten. Er wordt gedetailleerd ingegaan op de noodzaak van een toegangscontrolebeleid; er worden processen beschreven voor het registreren en de-registreren van gebruikers en het verlenen van toegang; en er wordt nadruk gelegd op het beheer van privilegierechten en geheime authenticatiegegevens.
Er wordt ook gepleit voor regelmatige audits van de toegangsrechten van gebruikers en voor snelle verwijdering of aanpassing van rechten bij verandering van rol of beëindiging van het dienstverband. Effectieve implementatie van '5.1.8 Toegangsrechten' bevordert de vertrouwelijkheid en integriteit van informatie en de naleving van informatiebeveiligingsmandaten.
In de volgende schermafbeelding zie je een voorbeeld van hoe een tool kan worden gebruikt om bijvoorbeeld het aspect van regelmatige controle van de toegangsrechten van gegevenssystemen te waarborgen. In de tool zijn de toegangsrollen duidelijk gedocumenteerd en een procesbeschrijving vertelt hoe de toegangsrollen regelmatig worden herzien. In dit geval stelt de tool de gebruiker ook in staat om een herzieningsdatum/cyclus in te stellen om ervoor te zorgen dat de herzieningen daadwerkelijk plaatsvinden.
8.2 Bevoorrechte toegangsrechten
Bij het afbakenen van toegangscontroles is het cruciaal om te focussen op bevoorrechte toegang. Door deze effectief te beperken en te beheren, zorgt een organisatie ervoor dat alleen geautoriseerde gebruikers, software en processen toegang hebben tot bevoorrechte informatie. De methode om geprivilegieerde toegangsrechten toe te kennen hangt af van een goed gestructureerd autorisatiesysteem dat is afgestemd op het bijbehorende toegangscontrolebeleid.
Deze controle houdt in dat de toekenning en het gebruik van toegangsrechten beperkt en gecontroleerd moet worden. Dit betekent dat alleen een beperkt aantal vertrouwde personen deze rechten mogen krijgen en dat hun gebruik moet worden gecontroleerd en bijgehouden. Verder moet de toekenning van geprivilegieerde toegangsrechten onderworpen zijn aan een formeel autorisatieproces.
Gebruikers met geprivilegieerde toegangsrechten moeten de juiste training krijgen, wat betekent dat ze bewust moeten worden gemaakt van de risico's die gepaard gaan met hun rechten en de verantwoordelijkheden die ze dragen. Ze moeten ook worden getraind in het veilig en effectief gebruiken van hun rechten. Tot slot moeten deze rechten regelmatig worden geëvalueerd. Dit is om ervoor te zorgen dat deze rechten nog steeds nodig zijn en op de juiste manier worden gebruikt.
8.3 Beperking van de toegang tot informatie
De controle '8.3 Beperking van informatietoegang' beschrijft de regels voor het toekennen en intrekken van toegangsrechten en schrijft de bescherming van netwerkdiensten en de implementatie van veilige aanmeldprocedures voor.
In essentie is het ontworpen om ervoor te zorgen dat alleen bevoegde gebruikers toegang hebben tot informatie en dat deze toegangsrechten regelmatig worden beheerd, herzien en bijgewerkt om de integriteit en vertrouwelijkheid van de informatie te behouden.
8.4 Toegang tot broncode
Het primaire doel van deze controle is om ervoor te zorgen dat de toegang tot de broncode beperkt is tot geautoriseerd personeel. Dit is om ongeautoriseerde wijzigingen te voorkomen, die kunnen leiden tot kwetsbaarheden in het systeem of kwaadaardige activiteiten. Het is ook bedoeld om de intellectuele eigendomsrechten van de organisatie te beschermen.
Bovendien vereist de controle dat de toegangsrechten tot de broncode regelmatig worden herzien en indien nodig worden bijgewerkt. Dit is om ervoor te zorgen dat alleen degenen die toegang nodig hebben om hun werk uit te voeren deze toegang hebben en dat voormalige werknemers of degenen die van rol zijn veranderd binnen de organisatie geen onnodige toegang behouden.
8.5 Beveiligde verificatie
Veilige authenticatie, in de context van ISO 27001, betekent het verifiëren van de identiteit van een gebruiker, systeem of applicatie voordat toegang wordt verleend tot informatie of bronnen. Dit wordt meestal bereikt door het gebruik van wachtwoorden, biometrische gegevens of andere vormen van referenties.
De controle vereist dat organisaties een veilig authenticatieproces implementeren dat geschikt is voor de aard van het systeem of de applicatie. Dit kan multifactorauthenticatie (MFA) inhouden, waarbij twee of meer verschillende soorten referenties worden gebruikt voor extra beveiliging.
Verder bepaalt de controle dat de authenticatie-informatie moet worden beschermd om te voorkomen dat onbevoegden er toegang toe krijgen . Dit kan het versleutelen van de gegevens inhouden, het regelmatig bijwerken van wachtwoorden of het gebruik van veilige kanalen voor het verzenden van authenticatie-informatie.
ISO 27001 controles voor MFA
Zoals hierboven al vermeld, schrijft ISO 27001 de controle van de toegang tot netwerkdiensten voor. Dit omvat het gebruik van MFA om ervoor te zorgen dat alleen geautoriseerde gebruikers toegang krijgen tot het netwerk. Dit is vooral belangrijk voor toegang op afstand, waar de risico's van onbevoegde toegang groter zijn.
Multi-Factor Authenticatie (MFA) is een essentieel beveiligingsprotocol dat vereist dat gebruikers hun identiteit verifiëren via twee of meer vormen van authenticatie voordat ze toegang krijgen tot gevoelige gegevens. De methoden van MFA omvatten het volgende:
- op kennis gebaseerd (wachtwoorden, pincodes)
- op bezit gebaseerd (smartcards, mobiele apparaten)
- op inferentie gebaseerde factoren (biometrie)
Biometrische verificatie, eenmalige wachtwoorden (OTP's), pushmeldingen en hardware- of softwaretokens zijn tegenwoordig veelgebruikte MFA-technieken.
Het primaire doel van MFA is om een gelaagde verdediging te creëren, waardoor het voor onbevoegden moeilijker wordt om toegang te krijgen, zelfs als één authenticatiefactor gecompromitteerd is.
Voorbeelden van ISMS paragrafen met betrekking tot het implementeren van Toegangscontrole en MFA
Tegenwoordig kun je toolsvinden om je werk efficiënter te makenvoor letterlijk alles. Dat kan je werk een stuk eenvoudiger maken als het gaat om het bijhouden van toegangsrechten en MFA-vereisten. Laten we bijvoorbeeld eens kijken hoe je de toegangsrechten voor belangrijke gegevenssystemen kunt bijhouden. In de volgende schermafbeelding zie je een taak in een tool die gericht is op de "Regelmatige controle van de toegangsrechten van gegevenssystemen". Voor dat doel zijn alle belangrijke gegevenssystemen gekoppeld als documentatie.
In deze tool kun je dan gewoon naar de gedocumenteerde gegevenssystemen springen en je vindt dan een lijst met alle gegevenssystemen, die er als volgt uit kan zien:
Met zo'n overzicht kun je niet alleen alle gegevenssystemen bijhouden waarvan je het toegangsrecht in de gaten wilt houden, je kunt er ook meer informatie aan koppelen. Met behulp van deze tool heeft elk van de vermelde documentatie-items bijvoorbeeld een aparte informatiekaart met alle belangrijke informatie over elk van de gegevenssets. In de volgende schermafbeelding zie je een voorbeeld van hoe het verzamelen van de systeemtoestemming (met behulp van MFA) wordt gebruikt.
Uitdagingen en overwegingen
Een van de veelvoorkomende uitdagingen bij het gebruik van Multi-Factor Authenticatie (MFA) of toegangscontrole in relatie tot ISO 27001 compliance is de complexiteit van de implementatie. MFA en toegangscontrolesystemen kunnen complex zijn om in te stellen en te beheren, vooral voor organisaties met een groot aantal gebruikers of een complexe IT-infrastructuur. Dit kan leiden tot fouten of kwetsbaarheden als het niet goed wordt beheerd.
Een andere uitdaging is de weerstand van gebruikers. MFA voegt een extra stap toe aan het aanmeldproces, wat sommige gebruikers ongemakkelijk kunnen vinden. Dit kan leiden tot weerstand tegen de adoptie, vooral als de voordelen van MFA niet duidelijk worden gecommuniceerd naar de gebruikers.
De kosten zijn ook een belangrijke uitdaging. Het implementeren van MFA en robuuste toegangscontrolesystemen kan duur zijn, vooral voor kleine en middelgrote bedrijven. De kosten omvatten niet alleen de initiële installatie, maar ook doorlopend onderhoud en beheer.
Bovendien is er de uitdaging om te blijven voldoen aan veranderende standaarden. ISO 27001 en andere cyberbeveiligingsstandaarden worden regelmatig bijgewerkt om nieuwe bedreigingen en best practices te weerspiegelen. Organisaties moeten op de hoogte blijven van deze veranderingen en ervoor zorgen dat hun toegangscontrole- en MFA-systemen compliant blijven. Bepaalde tools kunnen je helpen om up-to-date te blijven en laten je op een efficiënte manier weten wat er is veranderd in een update van een framework en welk extra werk je mogelijk moet investeren.
Tot slot is er de uitdaging om een evenwicht te vinden tussen beveiliging en bruikbaarheid. Hoewel MFA en robuuste toegangscontroles de beveiliging aanzienlijk kunnen verbeteren, kunnen ze systemen ook moeilijker te gebruiken maken. Organisaties moeten een balans vinden die sterke beveiliging biedt zonder de gebruikerservaring negatief te beïnvloeden.
Conclusie
Concluderend kan het belang van robuuste maatregelen voor toegangscontrole en multifactorauthenticatie (MFA) niet genoeg worden benadrukt bij het streven naar ISO 27001 (of NIS2) compliance. Deze beveiligingsmaatregelen zijn essentieel voor het beschermen van gevoelige informatie en het voorkomen van ongeautoriseerde toegang tot systemen en gegevens. Ze vormen de ruggengraat van elke effectieve cyberbeveiligingsstrategie.
De ISO 27001- en NIS2-standaarden bieden richtlijnen voor het implementeren van deze maatregelen en benadrukken verder de noodzaak van een goed gedefinieerd toegangscontrolebeleid, effectief toegangsbeheer voor gebruikers, duidelijke gebruikersverantwoordelijkheden en sterke verificatiemechanismen. Naleving van deze standaarden verbetert niet alleen het beveiligingsniveau van een organisatie, maar toont ook haar betrokkenheid bij het handhaven van een hoog niveau van gegevensbescherming.
Uiteindelijk is het beheersen van toegangscontrole en MFA een voortdurende reis. Het vereist voortdurende inspanningen om evoluerende bedreigingen voor te blijven en beveiligingsmaatregelen dienovereenkomstig aan te passen. Maar de beloning - verbeterde beveiliging, naleving van internationale normen en gemoedsrust - maakt deze inspanningen de moeite waard. Bekijk onze andere Academy blog posts als u meer wilt weten over best practices bij het opbouwen van uw ISMS.