Ervaringen en bevindingen van een Information Security professional hoe die Varonis Datadvantage gebruik, in relatie tot het RBAC-model of oplossing.
Samenvatting
RBAC-oplossingen geven vrijwel geen inzicht in het gebruik van “sensitieve” data binnen het toegepaste RBAC-model of de daarbij behorende functierollen. Hier zijn ze oorspronkelijk ook niet voor bedoeld. Er zijn een aantal RBAC oplossingen die claimen dat zij dit inzicht wel kunnen verschaffen, echter in de praktijk heb ik dit nog niet werkend gezien.
Met behulp van Varonis Datadvantage, kan een onderneming inzicht krijgen in, welke medewerkers daadwerkelijk gebruik maken van gevoelige data, die via het RBAC-model/ de functierollen voor hen beschikbaar stellen.
Op basis van deze informatie kunnen er betere risicoanalyses en reviews (Role reviews, User Access reviews) gemaakt worden. Met als uitkomst dat een instelling op termijn aan een scherper, minder risicovol RBAC-model kan bouwen.
Uitleg
Vrijwel alle grote (financiële) instellingen binnen Europa maken gebruik van een RBAC-model. Het correct onderhouden van een RBAC-rollenmodel binnen grote organisaties kan veel tijd en geld kosten. Denk hierbij aan het uitvoeren van:
• User Access Reviews
• Role-Reviews
• Het bijhouden van Autorisatiematrixen
• Het periodiek uitvoeren /bijhouden van verschillende IAM gerelateerde Controls uit verschillende frameworks. (NIST, EBA etc..).
Wanneer deze werkzaamheden correct uitgevoerd worden, scoort een instelling volgens, de meeste Frameworks groen. Men is compliant. Hoewel de instelling op papier compliant is, is het nog maar de vraag of men in de praktijk daadwerkelijk controle/grip heeft over hun sensitieve data.
De praktijk
De praktijk leert dat na verloop van tijd, afdelingsmedewerkers steeds meer toegang krijgen tot, al dan niet vertrouwelijke data. Dit wordt veroorzaakt door:
• De meeste RBAC-oplossingen, geen inzicht kunnen verschaffen in het gebruik van data, waartoe een functierol toegang geeft.
• Organisaties door de snel veranderende wereld, via selfservice modellen, steeds meer verantwoordelijkheid bij de medewerkers zelf neerleggen, m.b.t. het aanvragen van hun rechten/toegang. Eenmaal aangevraagd, betekent het vaak dat deze meestal niet meer wordt teruggedraaid.
RBAC-oplossingen voeren over het algemeen dus geen analyses uit, op het gebruik van data, binnen een afdelingsrol.
Er zijn een aantal oplossingen die claimen dat ze dit kunnen. Of dat ze echter op hetzelfde niveau zitten als Varonis Datadvantage, betwijfel ik. In de praktijk heb ik het nog niet gezien.
Het analyseren van functierollen (Role-review) is in de meeste gevallen nog een semi-geautomatiseerde exercitie. Men beschikt helaas in de praktijk niet over feitelijke cijfers, waaruit men kan opmaken, of beschikbare data binnen een functierol daadwerkelijk gebruikt wordt door medewerkers.
Met behulp van Varonis Datadvantage kunnen wij, ons tot op een zeer gedetailleerd niveau, inzicht verschaffen in het gebruik van “gevoelige data” binnen het RBAC-model of de opgemaakte functierollen.
Datadvantage stelt ons in staat om gemakkelijk een aantal vragen te beantwoorden:
• Maken medewerkers daadwerkelijk gebruik van de data waar zij de beschikking over hebben?
• Hebben medewerkers deze toegang tot data eigenlijk wel nodig, gebaseerd op de cijfers/inzicht die Datadvantage ons verschaft?
• Welke risico’s lopen wij als bedrijf, omdat medewerkers toegang hebben tot data die zij mogelijk niet gebruiken?
• Kunnen wij het rollenmodel aanpassen/verbeteren waardoor wij de gevolgen van bijv. een data lek of Ransomware aanval kunnen verkleinen?
Op basis van feiten en cijfers, verkregen uit Varonis Datadvantage, worden organisaties in staat gesteld om meer grip uit te oefenen op hun (gevoelige) data, die binnen het RBAC-model, voor medewerkers beschikbaar is.
##