Zero Trust: Identity & Access Management (IAM)

Zero Trust: Identity & Access Management (IAM)

Zero Trust: Identity & Access Management (IAM)

Met Identity & Access Management (IAM) draait het om het controleren van wie er waar en wanneer toegang heeft tot welke resources. Dit omvat onder andere authenticatie, autorisatie en audit trails (AAA model).

Authenticatie – identiteit verifiëren

De eerste stap van IAM is het verifiëren van de identiteit van de gebruiker die toegang probeert te krijgen. Vroeger gebeurde dat op basis van een gebruikersnaam & wachtwoord, tegenwoordig is daarbij minimaal MFA (Multi-Factor Authentication) bij nodig maar ook conditional access zodat niet vanaf elke willekeurige machine ingelogd kan worden.

Autorisatie – toegang beperken

Nadat vastgesteld is dat de identiteit van de gebruiker is geverifieerd moet er worden bepaald of de gebruiker bij de opgevraagde resource mag. Dit is niet alleen maar een rechtenkwestie maar bevat ook factoren zoals locatie, tijdstip of status van het apparaat. Bij sommige resources is het essentieel dat alleen beheerde devices die aan hoge standaarden voldoen toegang krijgen. Belangrijk hierbij is ook dat er een least privilege model gehanteerd wordt waarbij men alleen de noodzakelijke rechten krijgt.

Audit trails – Logboek vastleggen

Of de hierboven genoemde stappen nou succesvol zijn of niet, het is essentieel om hier een logboek van bij te houden.
Zo kan er altijd een audit trail worden opgesteld in het geval van bijvoorbeeld een datalek of digitale inbraak.
Natuurlijk is het in zo’n audit trail ook belangrijk dat het 100% betrouwbaar is en dat de records binnen de logs niet aangepast kunnen worden, door wie dan ook.

Meer weten of benieuwd hoe we jouw organisatie kunnen verbeteren?

Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten. Ook met de resultaten van een simulatie kunnen we altijd helpen.

Meer weten? Neem contact met ons op!

Meer artikelen

  • Sterke toename van ‘ClickFix’-aanvallen
    De digitale wereld is continu in beweging, en helaas geldt dat ook voor cybercriminelen. In 2025 zien we een opvallende toename van een nieuwe vorm van social engineering: ClickFix.
  • Eén op de vier ransomware-slachtoffers krijgt data niet terug na betaling
    Uit een rapport van cybersecuritybedrijf Delinea is gebleken dat één op de vier slachtoffers van ransomware de data niet of niet helemaal terug heeft gekregen na het betalen van het losgeld.
  • Politie haalt veelgebruikte malware-tool offline
    De politie heeft de malware-testdienst AVCheck offline gehaald, waarmee cybercriminelen hun software onzichtbaar maakten voor antivirusprogramma’s. Deze actie, onderdeel van een internationale operatie, verstoort de verspreiding van malware en voorkomt nieuwe slachtoffers.
  • Microsoft maakt nieuwe accounts standaard wachtwoordloos
    Microsoft maakt nieuwe accounts standaard wachtwoordloos, waarbij gebruikers inloggen via passkeys, biometrie of verificatiecodes.
  • Amerikaanse overheid stopt financiering van MITRE
    De Amerikaanse non-profit organisatie MITRE, vooral bekend van het CVE-programma (Common Vulnerabilities & Exposures) wat één van de steunpilaren van de cybersecurity-industrie is heeft bekend gemaakt dat met ingang van 16 april de Amerikaanse overheid stopt met het financieren van dit programma.