Met de opkomst van identiteit als de nieuwe perimeter, wordt zijn rol bij het ondersteunen van digitale transformatie, cloudadoptie en een gedistribueerd personeelsbestand niet over het hoofd gezien door hedendaagse ondernemingen. Volgens een recent verslag (registratie vereist), 64% van de IT-stakeholders beschouwt het effectief beheren en beveiligen van digitale identiteiten als de hoogste prioriteit (16%) van hun beveiligingsprogramma of in de top drie (48%). Desondanks blijven bedrijven worstelen met identiteitsgerelateerde inbreuken: 84% van de beveiligings- en IT-professionals meldde dat hun organisatie het afgelopen jaar te maken had met een dergelijke inbreuk.
Buy-in krijgen voor identiteitsgerichte beveiliging is van vitaal belang, maar pleiten voor investeringen in cyberbeveiliging gaat niet over mensenhandel in FUD (angst, onzekerheid en twijfel). Om identiteit verder in strategische discussies te brengen, moet je in staat zijn om zakelijke waarde aan te tonen — om laat zien hoe op identiteit gebaseerde beveiliging aansluit bij en ondersteuning biedt voor bedrijfsdoelstellingen.
Bijna alle deelnemers aan het onderzoek (98%) zeiden dat het aantal identiteiten in hun organisatie toenam, met veel genoemde oorzaken zoals cloudadoptie, meer werknemers die technologie gebruiken, toenemende relaties met derden en een groeiend aantal machine-identiteiten. In deze omgeving zijn veel van de ondernemingen van vandaag staan onder enorme druk om naadloze en veilige toegang tot gegevens en bronnen te garanderen in een omgeving die steeds meer gedistribueerd en complexer wordt.
Deze complexiteit, gecombineerd met gemotiveerde aanvallers en het toenemende aantal identiteiten dat moet worden beheerd, maakt effectief identiteitsbeheer een cruciaal onderdeel van het mogelijk maken van zaken activiteiten. Onder de organisaties die het afgelopen jaar een identiteitsgerelateerde inbreuk hebben ondervonden, waren de gemeenschappelijke problemen zoals gestolen inloggegevens, phishing en verkeerd beheerde privileges. De directe zakelijke gevolgen van een inbreuk kunnen aanzienlijk zijn: 42% noemt een aanzienlijke afleiding van de kernactiviteiten, 44% merkt herstelkosten op en 35% meldt een negatieve impact op de reputatie van de organisatie. Omzetverlies (29%) en klantenverlies (16%) werden ook gerapporteerd.
IT-behoeften vertalen naar zakelijke behoeften
De argumenten om te focussen op identiteit zijn duidelijk, maar hoe beginnen we met het vertalen van IT-behoeften naar zakelijke behoeften? Stap één is het afstemmen van de prioriteiten van de organisatie op waar identiteitsgerichte beveiliging kan passen. Bedrijfsdoelen draaien meestal om het verlagen van de kosten, het verhogen van de productiviteit en het minimaliseren van risico's. Gesprekken over op identiteit gebaseerde beveiliging moeten daarom aantonen hoe die aanpak sommige of al deze punten kan bevorderen.
Vanuit het oogpunt van productiviteit vereenvoudigt een strak identiteitsbeheer bijvoorbeeld de gebruikersprovisioning en beoordelingen van toegangsrechten. Dat betekent dat medewerkers sneller onboarden en dat de toegang van vertrekkende medewerkers automatisch wordt ingetrokken. Het elimineren van handmatige inspanningen verkleint de kans op fouten, inclusief gebruikers met buitensporige privileges die een onnodig risico op blootstelling creëren. Hoe meer gestroomlijnd en geautomatiseerd de processen rond identiteitsbeheer zijn, hoe efficiënter het bedrijf is en hoe veiliger.
Zoals eerder opgemerkt, zijn enkele van de drijvende krachten voor de groei in identiteiten cloudadoptie en een piek in machine-identiteiten. De groei van machine-identiteiten is deels gekoppeld aan Internet of Things (IoT)-apparaten en bots. IoT en cloud zijn vaak onderdelen van digitale transformatiestrategieën die gemakkelijk kunnen worden vastgelopen door zorgen over toegang en de consistente handhaving van beveiligingsbeleid. Deze realiteit biedt een kans om discussies over beveiliging te kaderen over hoe het bedrijf deze technologieën veilig en zonder concessies te doen aan de nalevings- en beveiligingsvereisten.
Frame beveiligingsdiscussies in Breach Context
Multifactor-authenticatie (MFA) werd bijvoorbeeld door veel IT- en beveiligingsprofessionals genoemd als een maatregel die de impact van de inbreuken die ze ondervonden hadden kunnen voorkomen of minimaliseren. MFA is van vitaal belang voor het afdwingen van toegangscontrole, met name voor bedrijven met externe werknemers of bedrijven die cloudapplicaties en -infrastructuur gebruiken. Of je ze nu leuk vindt of niet, wachtwoorden zijn alomtegenwoordig. Maar ze zijn ook een aantrekkelijk (en relatief eenvoudig) doelwit voor dreigingsactoren die toegang willen krijgen tot middelen en een diepere positie in uw omgeving willen verwerven. Samen met andere op identiteit gerichte best practices die de beveiliging verbeteren, biedt MFA een extra verdedigingslaag die de beveiliging van een organisatie kan versterken.
Naast MFA merkten IT- en beveiligingsprofessionals vaak op dat meer tijdige beoordelingen van geprivilegieerde toegang en continue ontdekking van alle gebruikerstoegangsrechten het effect van een inbreuk zouden hebben voorkomen of verminderd. Hoewel veel van deze nog in uitvoering zijn, lijkt het erop dat organisaties de boodschap beginnen te begrijpen.
Op de vraag of het identiteitsprogramma van hun organisatie het afgelopen jaar was opgenomen als investeringsgebied als onderdeel van een van deze strategische initiatieven - zero trust, cloudadoptie, digitale transformatie, investeringen in cyberverzekeringen en leveranciersbeheer - koos bijna iedereen voor ten minste een. Eenenvijftig procent zei dat er in identiteit was geïnvesteerd als onderdeel van zero-trust-inspanningen. Tweeënzestig procent zei dat het was opgenomen als onderdeel van cloudinitiatieven en 42% zei dat het onderdeel was van digitale transformatie.
Aan de slag gaan met op identiteit gebaseerde beveiliging hoeft niet overweldigend te zijn. Het vereist echter wel een begrip van uw omgeving en zakelijke prioriteiten. Door gericht op hoe een identiteitsgerichte benadering van beveiliging zakelijke doelstellingen kan ondersteunen, kunnen IT-professionals het leiderschap krijgen dat ze nodig hebben om de technologie en processen te implementeren die de toegangsdrempel voor bedreigingsactoren verhogen.
