GEÏNTEGREERD PLATFORM VOOR BEVEILIGING EN COMPLIANCE

Transcriptie

1 Corporate governance Continue compliance GEÏNTEGREERD PLATFORM VOOR BEVEILIGING EN COMPLIANCE Bedrijven zijn momenteel gefocust op het voldoen aan de eisen die de wet- en regelgeving aan hen stelt: het veilig houden van ICT-systemen en het beschermen van vertrouwelijke bedrijfs- en klantengegevens. Door de nog steeds uitbreidende regelgeving en zich ontwikkelende ICT wordt het steeds moeilijker om deze technische en bedrijfsmatige doelstellingen te bereiken. Zeker nu de druk vanuit directies en aandeelhouders toeneemt om risico s te beheersen en kosten te verlagen. Reden temeer om te komen tot een effectieve en efficiënte aanpak van continue compliance. Veel organisaties zien compliance vooral als last. Toch biedt compliance ook kansen. Kansen voor het opstellen van effectieve beleidsregels en controlmechanismen, om meer en beter inzicht in de bedrijfsvoering te krijgen en in complianceondersteunende technologie die daarbij helpt. Juist daar zijn de werkelijke voordelen van compliance-initiatieven te halen. Steeds meer bedrijven grijpen dan ook hun compliance-initiatieven aan om hun operationele efficiëntie te vergroten. Het probleem is dat veel organisaties daarbij gebruik maken van een aanpak die gebaseerd is op brute kracht. We hebben het dan over handmatige, tijdrovende en foutgevoelige processen, die louter ten doel hebben om aan de eisen van regelgeving te voldoen. Een effectievere aanpak is om gebruik te maken van een centrale en geïntegreerde beveiligings- en complianceoplossing, die bedrijfsbrede continue compliance mogelijk maakt. In dit artikel gaan we in op de belangrijkste technologieën en best practices, die onderdeel zouden moeten zijn van een strategie voor continue compliance. Levenscyclus continue compliance Effectieve compliance is een continu proces, een levenscyclus van complianceactiviteiten. De cyclus is op te delen in zes fasen. Daarbij worden de belangrijkste activiteiten en technologieën geïdentificeerd, die continue compliance mogelijk maken en ondersteunen: ~ Identificeer de eisen van de regelgeving. Het is soms niet eenvoudig om goed inzicht te krijgen in wat nu precies de eisen van (overlappende) regelgeving zijn. Veel organisaties doen daartoe een beroep op dure juridische of technische experts, die steeds opnieuw vaststellen hoe beleidsregels en controlmechanismen kunnen worden aangepast. Beter is Veel organisaties zien compliance vooral als last om alle eisen van regelgeving onder te brengen in een kernverzameling geharmoniseerde controlmechanismen, waarmee aan de eisen van alle richtlijnen kan worden voldaan. ~Definieer beleidsregels. Beleidsregels vormen het kloppende hart van compliance. Een beleidsregel is een verklaring waarin de doelstellingen van de organisatie zijn opgenomen en waarin is vastgelegd aan welke gedragsnormen werknemers en partners moeten voldoen. Naast regelgeving spelen hier de risicobereidheid en/of de bedrijfsdoelstellingen een 42 DECEMBER 2012

2 Beleidsregels vormen het kloppende hart van compliance rol. Beleidsregels zijn niet in steen gehouwen. Ze kunnen veranderen zodra de regelgeving nieuwe eisen voorschrijft, de bedrijfsdoelstellingen wijzigen of de risicotolerantie van de onderneming verandert. ~Voorkom overtredingen. Zet preventieve controlmechanismen in om inbreuk op de beleidsregels te voorkomen. Ze zijn van essentieel belang voor het beschermen van de privacy van klanten, het voorkomen van gegevenslekken en het waarborgen van de toegang tot bedrijfskritische bronnen. Technologieën voor toegangsbeheer, beheer van gebruikersrechten en de preventie van gegevensverlies vormen essentiële onderdelen van een geïntegreerde benadering van preventieve control. ~ Detecteer overtredingen en maak de gevolgen ervan ongedaan. Niet alle inbreuken op regels zijn te voorkomen. Er zijn detectiemechanismen nodig om het voorkomen van niet-naleving te identificeren, zodat resulterende problemen kunnen worden hersteld. Een veelvoorkomend voorbeeld zijn slapende gebruikersaccounts (er is een werknemer die eigenaar is van de account, maar de account wordt niet langer gebruikt) en wezen (accounts die het eigendom zijn van iemand die niet langer bij de organisatie in dienst is). In beide gevallen en dan vooral in het geval van wezen, lopen richtlijnen en best practices gevaar. Een tegenmaatregel is om procedures op te stellen die periodiek gebruikersaccounts inspecteren en fouten en omissies snel herstellen. Dat kan handmatig (een wekelijkse scan door een beheerder), maar een geautomatiseerde aanpak (een oplossing die dit soort accounts voortdurend identificeert en opheft) zal effectiever zijn en preventief werken. ~ Test de control en controlmechanismen. Het bewaken en evalueren van de controlmechanismen is dus een continu en vaak kostbaar proces. Of het nu gaat om interne of externe audits of een periodiek proces, een ding is zeker: controlmechanismen moeten voortdurend worden getest om hun effectiviteit te waarborgen. Nu de best practices neigen naar een risicogebaseerde aanpak, concentreren bedrijven zich bij het testen louter op de belangrijkste controlmechanismen. ~ Bewaak de risico s. Compliance mag geen opzichzelfstaande exercitie zijn. Het houdt sterk verband en zou geïntegreerd moeten zijn met een uitgebreid beheerprogramma van (ICT-gerelateerde) risico s. Het is van groot belang dat veranderingen in een complianceprofiel (zoals een falend controlmechanisme) automatisch leiden tot een relevante aanpassing van het bestaande risicoprofiel, zodat een organisatie actie kan ondernemen om een oplossing voor het toegenomen risico te bieden. Noodzaak geïntegreerd platform Hoewel het mogelijk is om afzonderlijke technologische componenten in te zetten als antwoord op de meest dringende vereisten op het gebied van beveiliging en compliance, kan juist een stand-alone gebruik ervan leiden tot overbodige mechanismen en inefficiëntie. Dat verhoogt de kosten en de risico s juist. Een geïntegreerd platform voor beveiliging en compliance is de meest doeltreffende manier om de effectiviteit en efficiëntie van een bedrijfsbreed com- DECEMBER

3 pliance-initiatief te waarborgen en een duurzaam karakter te geven. Niet-geïntegreerde en ongelijksoortige systemen zijn over het algemeen moeilijker te beheren. Daarnaast maakt een geïntegreerd platform het mogelijk om binnen uiteenlopende systemen gebruik te maken van gemeenschappelijke beveiligingselementen, beleidsregels en controlmechanismen. Ook beleidsregels en controlmechanismen kunnen gestandaardiseerd worden, zodat overlap en verdubbeling tot een minimum worden teruggebracht. Functies platform Een uitgebreid identity and access management (IAM)-platform vormt de basis voor effectieve beveiliging en compliance. Een IAM-platform helpt antwoord te geven op de belangrijkste compliancevragen: ~ Wie heeft toegang tot wat? ~ Wat kunnen deze gebruikers doen met deze toegang? ~ Wat kunnen ze doen met de informatie die ze hebben verkregen? ~ Wat hebben ze gedaan? Om deze vragen te kunnen beantwoorden, moeten de identiteit van gebruikers, hun toegang tot bedrijfsbronnen en hun gebruik van informatie effectief beheerd worden: ~Beheer identiteiten. Controleer de identiteit en rollen van gebruikers, richt de toegang van gebruikers tot informatiebronnen in, vereenvoudig de naleving van de beleidsregels Niet-geïntegreerde en ongelijksoortige systemen zijn over het algemeen moeilijker te beheren voor identiteits- en toegangsbeheer en bewaak de handelingen van gebruikers en complianceactiviteiten. ~ Beheer de toegang. Dwing beleidsregels af voor de toegang tot internettoepassingen, systemen, services en belangrijke informatie. Beheer daarnaast gebruikers met speciale rechten om ongewenste handelingen te voorkomen. ~ Beheer informatie. Breng alle vertrouwelijke bedrijfs- en klantengegevens in kaart, classificeer ze en voorkom dat ze uitlekken. Beheer identiteiten, rollen en rechten Voor de meeste bedrijven is compliance niet iets vrijblijvends. Complianceteams moeten niet alleen aantonen dat er adequate controlmechanismen aanwezig zijn, maar ook hoe ze deze op de meest (kosten)efficiënte wijze kunnen inzetten. Het automatiseren van identiteitsgerelateerde complianceprocessen, zoals de certificering van machtigingen en detectie van accounts van ex-werknemers, zorgt ervoor dat niet voortdurend handmatig allerlei gegevens bij elkaar geraapt hoeven te worden om aan de deadlines van audits te kunnen voldoen. Het beheer van de identiteitslevenscyclus zorgt op een modulair geïntegreerde manier voor identiteitsgerelateerde compliance, provisioning, rolbeheer en rapportage over de complianceactiviteiten en -handelingen van gebruikers. Hoewel elke afzonderlijke functie van het beheer van de identiteitslevenscyclus de complianceactiviteiten kan vereenvoudigen, zal een gelijktijdig gebruik van deze functies de compliance-efficiëntie aanzienlijk vergroten. Identiteitsgerelateerde governance draait om de implementatie van processen en controlmechanismen, die voortdurend toezien op de juiste gebruikerstoegang. Voorbeelden zijn certificering van rechten, waarbij gebruikers, managers, eigenaars van rollen of beheerders van informatiesystemen periodiek controleren of de juiste gebruikers de juiste toegang hebben. Wordt opgemerkt dat gebruikers onnodig veel toegangsrechten hebben, dan kunnen deze snel worden ingetrokken om de beveiligingsrisico s te minimaliseren. Vrijwel alle beveiligingsgerelateerde richtlijnen vereisen dat de toegangsrechten van elke gebruiker periodiek worden geëvalueerd. Op toegangsrechten gebaseerde rapportage vormt eveneens een belangrijk onderdeel van identiteitsgerelateerde compliance, omdat het aangeeft wie in staat is om wat te doen, zodat de organisatie waar nodig corrigerende maatregelen kan nemen. De implementatie van identiteitsgerelateerde compliance stelt organisaties in staat om de controlmechanismen toe te passen die nodig zijn om overtredingen van de beleidsregels en regelgeving te voorkomen en de kosten van deze controleprocessen te reduceren door middel van automatisering. Rolbeheer vormt een essentieel onderdeel van efficiënt, bedrijfsbreed identiteits- en toegangsbeheer. Tools voor rolbeheer bieden krachtige analytische mogelijkheden, waarmee organisaties rollen, beleidsregels en toegangsrechten op effectieve wijze kunnen beheren. De meeste beveiligingsgerelateerde richtlijnen schrijven een helder gedefinieerd proces voor voor het toewijzen van toegangsrechten aan gebruikers. Door een reeks van rollen te creëren die de functie van werknemers koppelen aan een reeks van toegangsregels voor elke rol, is het mogelijk om op eenvoudige wijze aan elke gebruiker een verzameling toegangsrechten toe te wijzen op basis van zijn of haar rol. De analytische mogelijkheden van oplossingen voor rolbeheer bieden tastbare waarde voor compliance-initiatieven door het identificeren van kwetsbaarheden zoals actieve accounts van ex-werknemers of gebruikers met te veel rechten. Oplossin- 44 DECEMBER 2012

4 gen voor rolbeheer bieden bovendien ondersteuning bij het identificeren van rollen die naar alle waarschijnlijkheid het beste bij gebruikers passen op basis van hun gelijkenissen met andere gebruikers. Dit optimaliseert het continue proces van rolbeheer en biedt de mogelijkheid om complianceprocessen zoals certificeringen van rechten efficiënter te laten verlopen. Ten slotte stelt rolbeheer organisaties in staat om voor uiteenlopende systemen identiteitsgerelateerde beveiligingsregels op te stellen die voorkomen dat gebruikers te veel of conflicterende rechten verkrijgen. Provisioning automatiseert processen zoals het activeren, inrichten, wijzigen en deactiveren van gebruikersaccounts en de daaraan gerelateerde toegangsrechten. De technologie die daarvoor wordt gebruikt is van cruciaal belang voor de compliance. Daar zijn verschillende belangrijke redenen voor. Ten eerste versterkt provisioning de internecontrolmechanismen door de toewijzing en intrekking van toegangsrechten te automatiseren. Zonder een bepaalde vorm van automatisering betekent dit een handmatig, foutgevoelig en uiterst tijdrovend proces. Bovendien is het veel moeilijker om audits van handmatige processen dan van geautomatiseerde processen uit te voeren. Provisioning biedt daarnaast krachtige preventieve mogelijkheden. Provisioningoplossingen kunnen bijvoorbeeld controleren of er tijdens het inrichten van gebruikersaccounts wordt voldaan aan de eis van een scheiding van taken, zoals voorgeschreven door richtlijnen zoals Gramm- Leach-Bliley en Sarbanes-Oxley. Hierdoor worden de beveiligingsrisico s geminimaliseerd. Provisioningoplossingen kunnen daarnaast waarschuwingen genereren wanneer gebruikers toegangsrechten krijgen toegewezen die sterk afwijken van de rechten van hun collega s. Dit wordt steeds belangrijker, nu organisaties proberen om het aantal gebruikers met te veel rechten terug te dringen. Dergelijke gebruikers zijn namelijk een bron van overtredingen. Rapportage. Effectieve compliance vereist het vastleggen van en rapporteren over relevante beveiligingsgebeurtenissen en de mogelijkheid om deze gegevens met elkaar in verband te brengen, te analyseren en te presenteren in een formaat waar beheerders iets mee kunnen. Een systeem dat dagelijks simpelweg duizenden verdachte gebeurtenissen opslaat in een logbestand dat niet wordt geraadpleegd, vertegenwoordigt geen doeltreffend internecontrolmechanisme en maakt complianceaudits er alleen maar moeilijker op. De truc is om praktische en relevante beveiligingsinformatie aan te leveren. Rapportage over de handelingen van gebruikers en complianceactiviteiten is een van de meest complexe vraagstukken binnen het beveiligingsbeheer voor grote omgevingen. De hoeveelheid informatie over beveiligingsgebeurtenissen die de uiteenlopende systeemcomponenten genereren is enorm. Deze toevloed aan informatie kan het beveiligingspersoneel boven het hoofd groeien en het vrijwel onmogelijk maken om inzicht te krijgen in de werkelijke stand van zaken op het gebied van ICT-beveiliging. Als er sprake is van enorme hoeveelheden gegevens waar niet op intelligente wijze op kan worden ingesprongen, zal dit de bewaking, en daarmee de compliance, aanzienlijk bemoeilijken. Beheer de toegang Twee aandachtsgebieden zijn van cruciaal belang: het beheer van de internettoegang en het beheer van gebruikers met speciale rechten. De kernfunctie van elke infrastructuur voor ICT-compliance is het beheer van de toegang tot systemen en De kernfunctie van elke infrastructuur voor ICT-compliance is het beheer van de toegang tot systemen en bedrijfsbronnen de bedrijfsbronnen die daarin besloten liggen (bestanden, toepassingen, services, databases, enz.). Elke reeks van effectieve internecontrolmechanismen moet beginnen met een krachtige component voor toegangsbeheer. Elke component die wordt ingezet voor het beheer van de internettoegang zal twee functies vervullen: de authenticatie van gebruikers en de machtiging van hun toegang tot beschermde bedrijfsbronnen. De authenticatiemogelijkheden moeten uiterst flexibel zijn, zodat de authenticatiemethode aangepast kan worden aan verschillende factoren, zoals het belang van de bedrijfsbron waartoe iemand toegang zoekt, de locatie van de gebruiker, zijn of haar rol, enzovoort. Het zou mogelijk moeten zijn om gebruik te maken van uiteenlopende authenticatiemethoden, variërend van simpele wachtwoorden tot biometrische oplossingen. Ten slotte moet de mogelijkheid bestaan om authenticatiemethoden te combineren om toepassingen en transacties met een grote waarde extra te beveiligen. De meeste organisaties moeten voldoen aan uiteenlopende wet- en regelgeving. Elke richtlijn kan net weer iets andere eisen stellen aan de authenticatie, waardoor het een enorme opgave wordt om aan alle vereisten te voldoen. Daarnaast vindt authenticatie vaak plaats binnen elke bedrijfstoepassing. Deze losstaande eilandjes van toepassingen zorgen ervoor dat het toegangsbeheer inefficiënt en vaak ook inconsistent wordt. Dit versnipperde toegangsbeheer kan de internecontrolmechanismen verzwakken omdat beheerders het DECEMBER

5 moeilijk vinden om vast te stellen welke toegangsrechten elke gebruiker heeft, en hoe deze rechten binnen elke bedrijfstoepassing worden afgedwongen. De autorisatie van gebruikers die toegang zoeken tot beschermde toepassingen, bronnen en services vormt een cruciaal onderdeel van compliance. Een typisch voorbeeld uit de medische informatica is bijvoorbeeld de eis om adequate beleidsregels en -procedures te implementeren voor het verlenen van toegang tot elektronische protected health information (PHI), oftewel beschermde patiënteninformatie. Aan deze brede eis kan niet worden voldaan zonder een betrouwbare oplossing voor autorisatiebeheer. Een van de belangrijkste aspecten van ICT-compliance is het toezicht op de activiteiten van de ICT-beheerders en beveiligingsbeheerders. Dit wordt privileged user management genoemd. Gebruikers met speciale rechten die al dan niet met PUPM biedt aanzienlijke voordelen op het gebied van compliance kwade bedoelingen ongewenste handelingen uitvoeren, kunnen rampzalige gevolgen hebben voor de ICT, de beveiliging en de vertrouwelijkheid van bedrijfs- en klantengegevens. Een belangrijke eis is dan ook dat beheerders alleen in staat zijn om die handelingen uit te voeren waarvoor zij toestemming hebben, en alleen in de juiste bedrijfsbronnen. Veel richtlijnen en frameworks van best practices (zoals ISO 27001) vereisen dan ook de implementatie van controlmechanismen voor gebruikers met beheerdersrechten. Sectie van PCI DSS heeft bijvoorbeeld betrekking op Het beperken van toegangsrechten voor gebruikers met speciale rechten louter die rechten die nodig zijn om hun reguliere taken uit te voeren. Dit vereist een uiterst fijnmazige toegangscontrole voor admin-gebruikers. Helaas bieden de beveiligingsmechanismen die in besturingssystemen zijn ingebouwd onvoldoende mogelijkheden om te bepalen wie toegang mag hebben tot welke bronnen. Ze bieden evenmin de gedetailleerde controlemogelijkheden die nodig zijn om aan de belangrijkste compliancevereisten te voldoen. Veel beheerders delen hun systeemwachtwoorden met anderen (en soms verliezen ze die), waardoor de kans op overtredingen van het bedrijfsbeleid verder wordt vergroot. Wanneer al deze gebruikers zich aanmelden als root of admin, zijn hun handelingen, die in logbestanden worden vermeld, zo goed als anoniem. Dit resulteert niet alleen in ernstige beveiligingsrisico s, maar zorgt er ook voor dat de compliance aanzienlijk wordt bemoeilijkt. Ongewenste handelingen kunnen immers niet in verband worden gebracht met de overtreder. Een risicofactor is dat de wachtwoorden van gebruikersaccounts met speciale rechten vaak zijn ingesteld op standaardwaarden of worden gedeeld met gebruikers die deze rechten niet zouden moeten hebben. Om deze reden vormt privileged user password management (PUPM) een veilig beheer van wachtwoorden van gebruikers met speciale rechten, een kerntaak van compliance. PUPM biedt toegang tot accounts met speciale rechten door tijdelijke, eenmalige wachtwoorden te verstrekken wanneer dat nodig is. Dit gaat gepaard met een veilig auditingproces waarbij verantwoording moet worden afgelegd over alle handelingen door gebruikers met beheerdersrechten. PUPM biedt aanzienlijke voordelen op het gebied van compliance, niet alleen door de toegang tot accounts met speciale rechten te beperken, maar ook door toezicht te houden op het gebruik van deze accounts. Als er tijdens een complianceaudit bewijs wordt aangetroffen van een (potentiële) overtreding, kan de PUPM-functie vaststellen wie verantwoordelijk was voor het doorvoeren van een wijziging binnen een bedrijfskritisch systeem. Geavanceerde oplossingen voor authenticatie en fraudepreventie bieden flexibele mogelijkheden voor het versterken van de gebruikersauthenticatie, bijvoorbeeld door middel van risicogebaseerde authenticatie, waarmee u fraudepogingen kunt detecteren en voorkomen. Two-factor authenticatie zorgt bijvoorbeeld voor krachtiger beveiliging dan reguliere wachtwoordbeveiliging. Maar als u voor dit doel gebruikmaakt van hardware-tokens, kunnen de compliancekosten fors oplopen en Veel werknemers zullen erkennen dat ze soms gevoelige bedrijfsgegevens meenemen wanneer ze de werkplek verlaten wordt het proces er een stuk moeilijker op. Alleen softwarematige multi-factor authenticatie maakt een einde aan deze problemen en zorgt voor een krachtiger beveiliging van bedrijfskritische activa. En wat nog belangrijker is: elke verbetering van de effectiviteit van de beveiligingsmechanismen zal het gemakkelijker maken om aan de relevante wet- en regelgeving te voldoen. Risicogebaseerde authenticatie kan de compliancestatus van een organisatie verbeteren door de mogelijkheid om contextuele factoren, zoals de locatie en recente activiteiten van gebruikers en het tijdstip van de dag, in het authenticatieproces te 46 DECEMBER 2012

6 integreren. Op deze manier kan een bedrijf krachtigere authenticatie (step-up authenticatie) afdwingen. Beheer informatie Veel leveranciers van oplossingen voor identiteitsbeheer richten zich puur op het beheer van de identiteiten en toegang van gebruikers. Het is echter van cruciaal belang om ook het gebruik van informatie te beheren. Veel werknemers zullen erkennen dat ze soms gevoelige bedrijfsgegevens meenemen wanneer ze de werkplek verlaten. Dit is een belangrijke risicofactor waartegen bedrijven zich moeten wapenen. De mogelijkheid om de toegang van gebruikers te beheren tot op het dataniveau (in plaats van louter opslageenheden zoals bestanden) is een kritische vereiste voor compliance. Het helpt bovendien de belangrijkste leveranciers van identiteitsbeheer om zich van elkaar te onderscheiden. Hier speelt de term content-aware IAM, omdat de werkelijke inhoud van de data als uitgangspunt wordt gebruikt om vast te stellen of er sprake is van beveiligingsovertredingen. Daarbij kan de gebruikshistorie voor gegevens worden ingezet om de toegangsrechten dynamisch te wijzigen, bijvoorbeeld om nieuwe risico s of overtredingen te voorkomen. Dit is een van de meest innovatieve en belangrijkste ontwikkelingen op het gebied van identiteits- en toegangsbeheer. Bedrijven moeten achterhalen welke gevoelige informatie er binnen de organisatie aanwezig is, en waar. Vervolgens moeten ze deze informatie beschermen en op de juiste wijze bewaken. Dit is waar data loss prevention (DLP) om de hoek komt kijken. DLP biedt bescherming tegen gegevensverlies door het analyseren en beveiligen van gegevens op eindpunten (pc s en laptops), op message servers (inkomende en uitgaande berichten; die vanaf mobiele apparatuur wordt verzonden) en bij de netwerkrand. Het detecteert en beschermt opgeslagen gegevens (zoals gevoelige informatie die in sharepoint-repository s ligt opgeslagen). DLP-oplossingen maken het mogelijk om flexibele beleidsregels op te stellen voor alle mogelijke soorten gegevens (persoonlijk herleidbare informatie, vertrouwelijke informatie, intellectueel eigendom enzovoort). Deze beleidsregels worden vervolgens ingezet voor het inspecteren van gegevensgerelateerde activiteiten die mogelijk inbreuk maken op het beveiligingsbeleid. Voorbeelden van dergelijke activiteiten zijn het gebruik van , instant messaging, internet, FTP, SMTP, HTTP, het opslaan van gegevens op verwijderbare media, het afdrukken van bestanden en nog veel meer. De DLP-oplossing kan vervolgens overtredingen signaleren en direct de juiste actie ondernemen, zoals het blokkeren of in quarantaine zetten van activiteiten of het weergeven van een waarschuwing op het scherm van de gebruiker. De laatste kernfunctie van DLP is het koppelen van gevoelige informatie aan een specifieke identiteit. Het is goed om te weten dat bepaalde vertrouwelijke gegevens zijn opgevraagd en/ of gelekt, maar de werkelijke waarde schuilt in het vermogen om te achterhalen welke gebruiker daarvoor verantwoordelijk was. Zodra deze is geïdentificeerd, kan de organisatie de specifieke rollen en rechten van de gebruiker analyseren en waar nodig wijzigen. Virtuele en cloudomgevingen Cloud computing dienstverleners moeten extra beveiligingsmechanismen inbouwen om potentiële afnemers van clouddiensten veilig werken te kunnen bieden. Omdat aanbieders van cloud-computingdiensten moeten voorzien in de beveiligings- en compliancebehoeften van al hun klanten, moet hun cloudgebaseerde omgeving robuust, op standaarden gebaseerd en rigoureus getest zijn. Compliance krijgt bovendien een complexer karakter in cloud-omgevingen Nu steeds meer bedrijven een beroep doen op virtualisatie en (al dan niet private) cloud computing, wordt de beveiliging er alleen maar complexer op. Binnen een gevirtualiseerde omgeving kan ongemachtigde toegang tot het virtuele platform alle toepassingen op alle virtuele machines in gevaar brengen. Ook cloud computing brengt complexe beveiligingsproblemen met zich mee, doordat uiteenlopende klanten dezelfde fysieke hardwareomgeving gebruiken. Hierdoor bestaat de kans dat vertrouwelijke bedrijfs- en klantgegevens van uiteenlopende organisaties naast elkaar worden opgeslagen. Compliance krijgt bovendien een complexer karakter in cloudomgevingen. Daar zijn twee redenen voor. Ten eerste bevinden de gegevens zich mogelijk op de locatie van de cloudaanbieder, wat complexe uitdagingen oplevert voor de vertrouwelijkheid en beveiliging van deze gegevens. Dit geldt niet alleen voor buitenstaanders, maar ook voor de andere cloudklanten en ongemachtigde cloudbeheerders. Ten tweede moet de cloudaanbieder gebruikmaken van controlmechanismen die voldoende aansluiten op de eisen van de regelgeving die van toepassing zijn. Zo hanteren veel landen specifieke richtlijnen voor de vertrouwelijkheid van gegevens die binnen dat land worden opgeslagen. Als de vertrouwelijke gegevens van een klant zich in de cloud bevinden, moet hij dus weten waar deze zich fysiek bevinden en op welke manier ze worden beschermd. Conclusies Aan de basis van een effectieve compliancestrategie ligt een krachtige en geïntegreerde infrastructuur voor identiteits- en toegangsbeheer, die systemen, toepassingen, gegevens en pro- DECEMBER

7 cessen beschermt tegen gebruik en toegang door onbevoegden. De nieuwe eisen van wet- en regelgeving bieden naast uitdagingen ook nieuwe kansen om de bedrijfsprestaties te verbeteren. Zo kunnen de effectieve beveiligingsmechanismen die voor compliancedoeleinden worden ingezet, zowel risico s reduceren als belangrijke processen automatiseren. Daarmee kunnen de kosten dalen en het aantal menselijke Audits worden eenvoudiger met automatisch gegenereerde compliancerapporten fouten teruggedrongen worden. Audits worden eenvoudiger met automatisch gegenereerde compliancerapporten. Het is niet voldoende om alleen de identiteit van gebruikers en hun toegang tot de beschermde toepassingen en gegevens te bewaken. Voor effectieve beveiliging en compliance is het nodig om ook het gebruik van de gegevens waartoe gebruikers toegang hebben, te monitoren en te bewaken. Op deze manier wordt voorkomen dat vertrouwelijke bedrijfsgegevens en klanteninformatie misbruikt worden of uitlekken. Organisaties die gebruik maken van een geïntegreerd platform voor ICT-beveiliging en compliance zullen niet alleen kunnen profiteren van de voordelen van continue compliance met de huidige en toekomstige regelgeving, maar ook in staat zijn om: ~ de risico s te reduceren door het beschermen van bedrijfskritische ICT-bronnen en -informatie, ervoor te zorgen dat vertrouwelijke gegevens niet uitlekken en het verminderen van de kans op calamiteiten; ~ de efficiëntie te vergroten door het ontwikkelen van geautomatiseerde en geïntegreerde ICT- en bedrijfsprocessen die de productiviteit van het personeel en de werkdruk van de beheerders verlichten; ~ kostenreducties te realiseren door het automatiseren van complianceprocessen, het elimineren van overbodige zaken en het vergroten van de productiviteit; ~ de operationele effectiviteit te verbeteren dankzij een optimalisatie van de bedrijfsplanning en de strategische besluitvorming. Een krachtige beveiligings- en compliance-infrastructuur zorgt er namelijk voor dat gebruikers met de juiste bevoegdheden op snellere en eenvoudiger wijze toegang kunnen krijgen tot bedrijfsgegevens; ~ de zakelijke flexibiliteit te vergroten door de organisatie in staat te stellen om sneller te reageren op marktontwikkelingen en de concurrentie en effectiever in te springen op zakelijke kansen. Een geïntegreerd Content-Aware IAM-platform is van essentieel belang voor organisaties die willen profiteren van de voordelen van geautomatiseerde compliance. Een dergelijke oplossing biedt de mogelijkheid van kostenbesparingen en zorgt ervoor dat er minder inspanning nodig is om de gewenste compliancestatus te bereiken en behouden. Zonder automatisering van de complianceprocessen moet een bedrijf zijn toevlucht zoeken tot traditionele, handmatige controlmechanismen en blijft de effectiviteit van de internecontrolmechanismen beperkt. Met alle negatieve gevolgen voor het concurrentievermogen van de organisatie van dien. Dit artikel, verzorgd door Marco van Lieverloo, country manager Nederland bij CA Technologies, is gebaseerd op het whitepaper The Role of Identity and Access Management in Achieving Continuous Compliance van CA Technologies, leverancier van IT-managementsoftware en -diensten. Verplichte training: BEROEPSETHIEK VOOR ACCOUNTANTS IN BUSINESS Weet u in lastige situaties bij uw standpunt te blijven? En durft én kunt u altijd de juiste vragen stellen? Krijg inzicht in uw eigen ethiek en hoe u dit toepast in uw organisatie. De verplichte training Beroepsethiek voor Accountants in Business helpt u daarbij. o.a. 14 maart en 18 april 48 DECEMBER 2012