Multi-Factor Authenticatie en Single Sign-On voor werken vanuit huis

Nu enorme aantallen werknemers van bedrijven en organisaties – evenals leerlingen, studenten en personeel van onderwijsinstellingen – vanuit huis inloggen, is het belangrijker dan ooit tevoren om Single Sign-On (SSO) en Multi-Factor Authenticatie (MFA) te gebruiken.

Hoe langer mensen een open verbinding hebben met het internet, des te meer mogelijkheden cybercriminelen hebben om accounts te hacken en zich toegang te verschaffen tot het hele netwerk van een bedrijf of onderwijsinstelling.
En dit probleem zal nog wel even aanhouden, want werken vanuit huis zal de komende tijd de norm zijn. Dat betekent dat het implementeren van Multi-Factor Authenticatie (MFA) cruciaal is om de beveiliging op peil te houden. En om ervoor te zorgen dat eindgebruikers niet al te geïrriteerd raken over het inlogproces is het ook belangrijk om Single-Sign On te gebruiken.

In dit artikel presenteren we eerst een uitgekiende strategie voor het implementeren van MFA en vervolgens enkele aandachtspunten bij het gebruik van SSO. Door deze maatregelen te nemen, kunt u – nu vrijwel iedereen noodgedwongen via wifi werkt of onderwijs volgt – ervoor zorgen dat persoonlijke gegevens en digitale bedrijfsmiddelen beschermd zijn tegen cybercriminelen.

MFA op strategische wijze inzetten
Het is niet mogelijk om MFA in één keer te implementeren voor uw hele netwerkinfrastructuur en het is ook geen eenmalig project met een vaste einddatum. Het is een doorlopend beveiligingsprogramma waar uw IT-team en uw gehele organisatie zich aan moeten houden.

Maar door onderstaande strategie toe te passen, kunt u het proces wel efficiënter laten verlopen:
• Hanteer een 'inside-out' benadering – voordat u MFA invoert voor gebruikers, moet u eerst een veiligheidsanalyse uitvoeren op uw gehele infrastructuur: hardware, apparaten en applicaties, zowel op kantoor als in de cloud. Vervolgens kunt u prioriteiten toekennen: welke systemen moeten het eerst beschermd worden met MFA? Het kan zijn dat u oude systemen tegenkomt die MFA niet ondersteunen. Voor deze systemen moet u een update uitvoeren of het risico nemen dat ze een gegevenslek kunnen opleveren. Het kan ook zijn dat u toegang tot bepaalde apparaten of systemen moet beperken.
• Overtuig uw medewerkers – communiceer waarom u MFA gaat implementeren. Alle medewerkers moeten goed beseffen dat ze de organisatie kwetsbaarder maken voor aanvallen, nu iedereen vanuit huis werkt. Maar u wilt ook de boodschap overbrengen dat MFA zowel hun persoonlijke gegevens als die van de organisatie beschermt.
• Leef mee – uw IT-team moet accepteren dat mensen zonder technische aanleg MFA zien als extra werk en het daarom als een last ervaren. Ze moeten eraan gewend raken om een beveiligingssleutel of een apparaat met een verificatietool bij de hand te hebben, tenzij biometrische herkenning mogelijk is op hun apparaat.
• Training en ondersteuning – stuur medewerkers video's en schriftelijke aanwijzingen waarin helder uitgelegd wordt hoe uw MFA-proces werkt. Voor mensen die vertrouwd zijn met MFA is het heel eenvoudig. Maar mensen die hier niet bekend mee zijn, kunnen al snel ontmoedigd raken door de extra stappen – zeker als ze daardoor niet in kunnen loggen. Zorg er dus voor dat er technische ondersteuning beschikbaar is.
• Eerst testen, dan implementeren – ga te werk zoals u bij elke andere applicatie zou doen: test MFA op elk systeem met een kleine groep, voordat u het voor het hele bedrijf implementeert. Zo weet u zeker dat MFA werkt en dat gebruikers niet al te veel moeite hebben om toegang tot uw systemen te krijgen.
• Ken prioriteit toe aan bepaalde gebruikers – begin met uw beheerdersaccounts en andere medewerkers met extra toegangsrechten tot het netwerk. Als hun accounts gehackt worden, vormen zij namelijk het grootste risico voor uw digitale bedrijfsmiddelen. Andere eindgebruikers die mogelijk een hoge prioriteit kunnen hebben, zijn leden van de directie, gevolgd door uitvoerend personeel op de financiële en HR-afdeling. Door deze groepen eerst te helpen, kunt u de invoering nogmaals testen en eventuele problemen oplossen voordat MFA op de hele organisatie wordt toegepast.
• Houd registraties bij – tijdens het invoeren van MFA moet u controleren of iedereen zich geregistreerd heeft en vastleggen voor welke verificatiemethode elke gebruiker gekozen heeft. Hoe langer een gebruiker wacht, des te meer tijd hebben hackers om in te breken op zijn of haar account.

Nadat het implementeren van MFA is voltooid, meet u de impact op de beveiliging en de productiviteit. Hiertoe behoort ook het vragen om feedback en het analyseren van helpdeskaanvragen. Het is ook belangrijk om mislukte aanmeldingen, phishingaanvallen en escalaties van gevallen van geweigerde toegang te monitoren. Uiteraard is het doel van MFA om uw digitale bedrijfsmiddelen te beschermen, maar als werknemers moeite hebben om hun gewone werk te kunnen doen, kan het nodig zijn om uw beleid of MFA-strategie aan te passen.

SSO gebruiken om de druk op MFA te verlichten
Hoewel er bepaalde kritieke applicaties kunnen zijn die een eigen uniek MFA-proces vereisen, kunt u de belasting op het algehele MFA-programma verminderen door MFA voor bepaalde groepen applicaties te integreren met Single Sign-On (SSO). Dankzij SSO kunnen gebruikers dan, nadat ze zich eenmalig aangemeld hebben met MFA, toegang krijgen tot meerdere diensten.
SSO kan bijvoorbeeld worden gebruikt om toegang te verlenen tot Microsoft Office-applicaties, en tot warehouse- en marketingapplicaties – allemaal via één MFA-aanmeldsessie. Maar als medewerkers toegang willen tot het ERP- of CRM-platform, moeten ze zich wel voor elke applicatie apart aanmelden.

Bij het zoeken naar een SSO-oplossing die voor uw bedrijf goed werkt, moet u ervoor zorgen dat zo'n oplossing gemakkelijk te integreren is met uw MFA-methodes en -protocollen. Controleer ook voor welke applicaties de SSO-oplossing gebruikt kan worden. Sommige on-premises oplossingen bieden bijvoorbeeld wel SSO voor web- en bedrijfsapplicaties, maar niet voor VDI- en SaaS-applicaties. Er zijn echter ook providers die SSO wel voor cloud- en SaaS-applicaties leveren, maar niet voor on-premises applicaties.

Verwacht het onverwachte
Als MFA en SSO eenmaal zijn geïmplementeerd, moeten de medewerkers van uw bedrijf op onverwachte situaties voorbereid zijn. Naast verwarring onder gebruikers en systemen waarvoor de MFA- en SSO-processen niet correct geconfigureerd zijn, kan het hierbij gaan om verloren apparaten en vergeten wachtwoorden – de gebruikelijke problemen die uw helpdesk hoofdbrekens opleveren.

Het is cruciaal om uw ondersteunend personeel hierop voor te bereiden en daar zo mogelijk extra middelen voor uit te trekken. Na verloop van tijd zult u uw systemen aanpassen en gebruikers doen er gaandeweg ervaring mee op. U zult waarschijnlijk merken dat ze de voordelen van MFA en SSO kunnen waarderen. Ze zullen het dan zien als een kleine extra stap die nodig is om hun eigen gegevens en die van de organisatie te beschermen tegen cybercriminelen.