In de afgelopen weken heb ik twee keer tegenover een it-directeur gezeten die te maken heeft met de problematiek van het beheren van de toegang tot gevoelige applicaties die zijn uitbesteed. En wel aan een wereldwijd opererende specialist in het bieden van ‘veilige, beveiligde en kostenefficiënte oplossingen’ voor het beheer van de bedrijfsgegevens van de klant.
Het probleem is dat beide partijen zich realiseren dat de termen 'veilig en beveiligd' niet een echt nauwkeurige beschrijving van de situatie geven. Het bedrijf dat de diensten levert is zich ervan bewust dat er beschuldigingen kunnen worden geuit over het verlenen van ongeautoriseerde toegang tot de systemen. De 'chief security officer' (cso) beschikt gewoon echter niet over de middelen om directe vragen van de eigen beheerstaf te beantwoorden over wie toegang heeft tot welke gegevens. Beide partijen bevinden zich dus in een lastig parket, en kunnen niets beters verzinnen dan een oplossing uit het begin van de 20ste eeuw voor een probleem uit de 21ste eeuw. Het probleem is dat, uitbesteed of niet, bedrijven moeten voldoen aan audit-eisen. Als daarin geëist wordt dat gevoelige wachtwoorden achter slot en grendel bewaard moeten worden en alleen vrijgegeven mogen worden na een handtekening van een door het bedrijf goedgekeurde officiële instantie, dan gebeurt het zo en niet anders. Waarschijnlijk worden in 95 procent of meer van de Engelse bedrijven deze eisen – algemeen bekend als de 'calamiteitenenvelop' – gehanteerd. Met andere woorden: als het externe beheerbedrijf een wachtwoord nodig heeft voor een gevoelig systeem, springt er iemand in een auto en rijdt naar de klant om de calamiteitenenvelop op te halen. En als het nu 3 uur in de nacht is? Meer hoef ik hier niet over te zeggen.
Dit is echter geen unieke situatie. Alleen al in het Verenigd Koninkrijk kennen duizenden organisaties hetzelfde probleem. De meeste organisaties van tegenwoordig leunen vrijwel volledig op gedistribueerde computerarchitecturen. En voor ieder nieuw apparaat, nieuw besturingssysteem, nieuwe middleware en andere nieuwe componenten is er een set accounts met extra rechten die worden gebruikt door operators en beheerders. In de meeste gevallen zijn organisaties zich er niet van bewust hoe veel van deze accounts bestaan in een bepaalde toepassing of een systeem.
Deze accounts met extra rechten bieden toegang tot de computeromgeving en geven vaak ongelimiteerde rechten op bestanden, programma's en gegevens, en als ze niet op de juiste wijze worden beschermd en beheerd, vertegenwoordigen ze een aanzienlijk risico voor iedere organisatie.
Wat is dan het probleem? Om dit te verduidelijken volgen hier een aantal van de meest voorkomende, werkdrukgerelateerde bekentenissen die door het hele land gehoord kunnen worden:
We horen wachtwoorden regelmatig te wijzigen, maar door gebrek aan mankracht doen we dat niet;
We kennen beheerderrechten aan gebruikersaccounts toe en hopen dat niemand er misbruik van maakt;
We veranderen de standaardwachtwoorden nooit; ze zouden verloren kunnen gaan en hoe moet de fabrikant dan ooit toegang krijgen tot het systeem om het te repareren;
We hebben het wachtwoordprobleem opgelost door elk systeem en iedere applicatie hetzelfde wachtwoord te geven;
We weten absoluut niet hoe veel beheerderwachtwoorden we hebben.
Wat moet een it-directeur daar nu mee? De enige praktische oplossing is het proces te automatiseren. Het probleem is dat de handmatige procedures met een 'mainframe-achtergrond' niet goed werken in het gedistribueerde server-model en de wereld van uitbesteding, waarbij beheer voor veel organisaties een nachtmerrie is. Wat is dan het advies voor de praktijk? Doen wat de meeste organisaties vandaag de dag doen en een elektronisch wachtwoordproces implementeren ter vervanging van het huidige handmatige proces.
Afgezien van de aanzienlijke risico's die u wellicht neemt met de bezittingen van uw werkgever, zult u eerder vroeger dan later moeten afrekenen met toegangsbeheer voor gebruikers met extra rechten. Zoals bij de meeste problemen, zijn er verschillende manieren om ze aan te pakken. U kunt ze zelf houden en 's nachts wakker liggen over de vraag wanneer de bom barst. U kunt ook toegeven dat u een probleem hebt en hulp nodig hebt; het is verbazingwekkend hoeveel mensen vóór u hulp zochten en hebben gevonden.
Calum M. McLeod
