Capitar Security

PAM Checklist

De vijf vragen vooraf

Veel PAM-trajecten beginnen bij de vraag: welk PAM-product zullen we aanschaffen? Om teleurstelling en onnodige kosten te voorkomen is het wijsheid om de onderstaande vragen door te lopen, en pas als laatste de vraag te stellen: welk PAM-product zullen we aanschaffen? Door eerst onderstaande vragen te beantwoorden begint u bij de basis en kan een expert u verder helpen met het maken van de juiste keuze.

Wat is de aanleiding?

Waarom wil de organisatie een PAM tool? Wat is de drijfveer? De meest voorkomende redenen:

  • Audit bevinding
  • Reactie op een incident (bij eigen organisatie of bij vergelijkbare organisatie)
  • Gevoel niet ‘in control’ te zijn
  • ‘De buurman heeft het ook’

Het belang van het definiëren van de drijfveren is het inzichtelijk krijgen wie er het grootse belang heeft bij een eventuele PAM-implementatie, en wie er dan ook betrokken moet worden bij de analyse en keuzes.

Wat zijn de risico’s?

Welke risico’s loopt uw organisatie die u middels PAM wil verlagen? Denk hierbij aan:

  • De waarde van de eigen informatie (PII, intellectueel eigendom, reputatieschade, boetes)
  • De betrouwbaarheid van de beheerpartners en de eigen beheerders
  • Het veiligheidsbewustzijn van de organisatie
  • De verschillende groepen personen die toegang krijgen (medewerkers, cliënten, klanten, et cetera)
  • Afhankelijkheid van Clouddiensten

Wat wordt er al gedaan?

Veelal zijn er al PAM-gerelateerd zaken die worden uitgevoerd, of middelen die worden gebruikt. Zoals:

  • Gescheiden accounts voor dagelijkse werkzaamheden en risicovolle handelingen
  • Een IAM-oplossing waarin aparte accounts voor Privileged Identities en functiescheidingsregels worden beheerd
  • Governance op toegangsrechten voor beheerders
  • Gedragscode voor beheerders waarin vastgelegd is hoe om te gaan met bepaalde zaken
  • Gedegen change management procedures
  • Monitoring en SIEM/SOC
  • Aandacht voor veiligheidsbewustzijn

Waarvoor zijn extra maatregelen nodig?

Uitgaande van de risico’s en de reeds genomen maatregelen kan worden gekeken waar de gaten zitten. Hierbij zit bij elk overgebleven risico de belangrijke afweging: is dit risico van een dusdanige aard dat ik maatregelen moet nemen of is het risico in deze staat te accepteren.

Wat kan met de huidige middelen?

Voor de risico’s die niet acceptabel zijn: Kijk in eerste instantie in hoeverre die, door inzet of verbetering van bestaande middelen, werkwijzen, procedures en beleid, te reduceren zijn tot een acceptabel niveau.

Welk PAM-product is het best passend

De risico’s die overblijven na deze vragen, dat zijn de risico’s die een eventueel aan te schaffen PAM-product zou kunnen afdekken. De meeste PAM-producten hebben een breed scala aan functies, welke niet altijd allemaal noodzakelijk zijn of toegevoegde waarde bieden. Een hulpmiddel hierbij is de PAM Selectie Matrix.

©Steven van der Linden, juni 2021