Rechten van beheerders niet goed geregeld

23 oktober 2009

Bovendien zijn dergelijke accounts met meer rechten een belangrijk doelwit van computercriminelen. Hiermee krijgen ze immers heel makkelijk controle over grote delen van de IT-systemen van binnenuit.

Toegangscontroles bij dergelijke ‘privileged users’ gebeuren maar mondjesmaat via een geautomatiseerde tool. 60 procent van de Nederlandse organisaties doet dat handmatig, hoewel dit tijdrovend, onbetrouwbaar en zeer duur is. Dat blijkt uit een onderzoek van het Britse onderzoeksbureau Quocirca in opdracht van CA onder 270 IT-managers in vijftien Europese landen.

In bijna de helft van de Europese organisaties delen beheerders gebruikersaccounts met administrator-rechten. Voor Nederland geldt zelfs een nog iets hoger percentage van 53 procent. Daarmee is controle nauwelijks mogelijk. Bovendien is het delen van dergelijke gebruikersaccounts verboden volgens reguleringen als ISO 27001 en PCI/DDS.

Slechts een kwart van de respondenten werkt met een zogeheten PUM-tool (privileged user management); niet meer dan 20 procent is van plan er op termijn een aan te schaffen. Dat veel organisaties de toegangsrechten van dergelijke gebruikers niet geautomatiseerd beheren en monitoren, wijten de respondenten aan de kosten maar ook aan het feit dat het algemeen management zich niet bewust is van het probleem.

Bob Tarzey van Quocirca stelt dat de controle en het beheer van gebruikers met hoge toegangsrechten aangepakt moeten worden door “het business- en riskmanagement. Het is duidelijk dat hier sprake is van een kloof tussen IT en de organisatie. Het gaat hier in veel gevallen om IT’ers met hoge toegangsrechten. Die kunnen dit dus niet zelf aanpakken.”

CA presenteerde het onderzoek tijdens de RSA-conferentie in Londen deze week en annonceerde tegelijkertijd nieuwe versies en integraties van zijn oplossingen waarmee PUM mogelijk is. Daarbij kreeg vooral CA Access Control 12.5 een centrale rol. Hoewel er nog maar weinig gebruikgemaakt wordt van PUM-tools, zal de verkoop ervan niet onmiddellijk omhoogschieten.

“Er is nog wel een educatief proces nodig”, verwacht Tim Dunn, vicepresident CA Security Management EMEA. “Men lijkt de risico’s nu niet te onderkennen.” Hij verwacht dat het verbetert met de invoering van meer regels, zoals de Grante Privacy-wet, die medio december in Italië van kracht wordt.

Deze wet stelt heel duidelijk dat privileged users geen accounts mogen delen en bestraft dit met hoge boetes.

Tarzey van Quocirca verwacht dat die educatie nog wel enige tijd zal vergen. “Dat is de industrie wel gelukt op het gebied van de bewustwording van de gevaren van malware. Maar dit is wat minder eenvoudig uit te leggen.” Maar ook de IT-afdeling heeft er belang bij dat duidelijk wordt wie wat precies mag en doet, denkt Dunn. “Zij beseffen dat als het management het over een tijdje wel snapt, zij al snel als schuldigen worden aangewezen als er wat gebeurt. Als accounts worden gedeeld, is het ook niet te bewijzen dat jij iets níét gedaan hebt.”

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!