Cloud
Services
NL
‘Weer een wachtwoord erbij,’ dat is precies de reactie van medewerkers die je wilt voorkomen als je aan de slag gaat met Multi-Factor Authentication (MFA)’, zo vertelt Chris Franso van Fastbyte ons. ‘Er zijn voor organisaties teveel technische mogelijkheden om het beveiligen van accounts en data in te richten. Ook komen er vanuit overheden steeds meer regels bij. Het is de kunst om de juiste balans te vinden tussen echt goede beveiliging én gebruikersvriendelijkheid.
‘Soms wordt vergeten dat er ook een gebruiker achter het scherm zit. Ik zie het te vaak gebeuren dat er voor iedere applicatie andere inlogregels gelden. Geloof me, uiteindelijk gaat de gebruiker tegenwerken. Iets dat je kost wat kost moet zien te voorkomen.’
Veiligheid thuis
Zeker in deze tijd, waarin veel wordt thuisgewerkt, zijn gebruikers - en dus organisaties - kwetsbaar. Chris voorziet dat het werk in de toekomst steeds vaker vanuit huis wordt gedaan, waarbij het kantoor een ontmoetingsplek wordt. Dit betekent dat IT anders moet worden ingericht. ‘Enerzijds moet je ervoor zorgen dat de gebruiker nog makkelijker en met meer flexibiliteit bij documenten kan. Anderzijds is het van cruciaal belang dat de gebruiker extra goed moet kunnen aantonen dat hij daadwerkelijk degene is die toegang probeert te krijgen.’
Het is immers een feit dat vanuit kantoor vaak meer en betere veiligheidsmaatregelen worden getroffen dan thuis. Op kantoor is het gangbaar dat een firewall de verbinding beveiligt. ‘Ik ken niemand die door firewall gecontroleerde en gescheiden netwerken heeft. Terwijl je ook thuis wilt voorkomen dat gegevens worden achterhaald, doordat iemand een onveilige werkplek heeft.’
MFA biedt hierin uitkomst. ‘Dan heb ik het niet over de kosteloze Google authenticator, maar een specialistische oplossing zoals Watchguard en Okta.’ Met deze toepassingen stel je bijvoorbeeld eenvoudig in dat een gebruiker vanuit huis wel bij zijn of haar e-mail mag. Wil deze gebruiker online toegang tot documenten? Dan kun je een tweede factor beveiliging inrichten of geef een gebruiker op kantoor eenvoudig overal toegang toe. Is deze gebruiker thuis en werkt hij op een zakelijke laptop, dan mag hij ook veel. Echter, logt dezelfde gebruiker vanaf een privetoestel in, dan mag hij maar een beperkt aantal apps gebruiken. Voor specifieke andere apps kun je dan extra authenticatie vragen. ‘Zo kun je een gelaagde beveiliging invoeren, waarbij je de gebruiker iets extra’s geeft in plaats van beperkingen.’
‘Als je de gebruiker niet meekrijgt, dan heb je een uitdaging. Gebruikers worden bij frustratie creatief en verzinnen work-arounds. Dit komt het werkklimaat niet ten goede.’
Gebruikersvriendelijke regels
Volgens Chris kun je dan gaan werken aan het minimaal vermoeien van de gebruiker, terwijl je de beveiliging maximaliseert. ‘Zo kunnen wij bijvoorbeeld aangeven dat als een gebruiker via de toegangspoort van het kantoor binnenkomt, hij bij het openen van de werkomgeving geen MFA hoeft te gebruiken. De gebruiker is al gesinganleerd door de toegangspoort of -deur. Hierdoor weet het systeem dat deze persoon ook fysiek op kantoor aanwezig is. Logt deze persoon vanuit een andere werkplek in, bijvoorbeeld thuis of op het vliegveld, dan dient hij zich wel te identificeren.’
Daarnaast kun je met MFA de logische, repeterende handelingen analyseren en daarop inspelen. Komt een gebruiker iedere ochtend rond 8 uur op kantoor en voldoet het gebruik aan het normale tijdpad, dan kunnen er minder strenge inloghandelingen gelden. Is deze persoon ineens vanuit China om 8 uur in de avond bezig met inloggen, dan kun je ervoor kiezen een extra beveiligingsvraag te stellen. Al deze regels rol je met MFA geautomatiseerd uit. Ook draai je eenvoudig cruciale rapportages.
Zet de gebruiker in het midden
Je kunt als organisatie twee dingen doen. Je kunt de gebruiker verplichten iets te doen, zoals inloggen per applicatie óf je zet de gebruiker in het midden en kijkt hoe je zijn of haar leven makkelijker kunt maken. ‘Zodra je beveiliging op die manier benadert, dan kun je ernaar streven om bijvoorbeeld niet op alle apps los in te loggen, maar er een schil voor te zetten. Je logt dan als het ware via één scherm in op alle applicaties.’
Deze werkwijze kent twee grote voordelen. De gebruiker logt één keer in en vindt het niet erg om een tot twee handelingen extra uit te voeren om vervolgens toegang tot alle applicaties te krijgen. Bovendien krijg je als organisatie beter zicht op wie waartoe toegang krijgt. ‘Als je de gebruiker niet meekrijgt, dan heb je een uitdaging. Gebruikers worden bij frustratie creatief en verzinnen work-arounds. Dit komt het werkklimaat niet ten goede.’
Tegenargumenten
Uiteraard zijn er ook tegenargumenten om een MFA oplossing te implementeren. De twee meest gehoorde argumenten zijn volgens Chris: ‘We willen het de gebruikers niet aandoen en de kosten.’ Chris vertelt hierover: ‘Over de gebruikersacceptatie hebben we het uitvoering gehad. En de kosten? Ik verkoop niet graag angst, maar stel organisaties wel de vraag: ‘Wil je twee tot drie euro per maand uitgeven of wil je het risico lopen dat gegevens op straat komen liggen? Dat risico is namelijk echt reëel. Ik zie MFA als een gereedschapskist, waarbij je afhankelijk van de situatie een extra beveiligingsvraag en -laag over IT-omgeving legt. Dit kan een sms-bericht, fysieke token, vingerafdruk of Qr code zijn. Met deze kist kun je MFA in een keer echt goed inrichten.’
Alles over MFA lees je in het whitepaper: Multi-Factor Authentication: een essentiële dienst voor iedere IT-reseller.
