Waar je rekening mee moet houden voordat je Multi-Factor Authentication (MFA) implementeert

Elke dag vindt er wel een datalek plaats. Het dagelijkse nieuws omtrent gelekte en gehackte accounts zou genoeg moeten zijn om je over te halen om over te schakelen naar Multi-Factor Authentication (MFA). Want het inloggen met alleen een gebruikersnaam en wachtwoord is niet meer van deze tijd. Veel gebruikers zijn erg gemakzuchtig met het uitzoeken van hun wachtwoorden. De wachtwoorden zijn te eenvoudig en ze worden hergebruikt. Vaak worden wachtwoorden zelfs opgeschreven en liggen ze open en bloot op bureaus. En als er dan zo’n effectieve optie voor het beschermen van accounts beschikbaar is als Multi-Factor Authentication (MFA), waarom zou u deze dan niet meteen inzetten?

Het probleem is dat de inzet van MFA niet altijd even eenvoudig is. En uiteraard zijn er technische problemen die je kunnen tegenhouden, maar de mensenkant is waar je moet beginnen. Het uiteindelijke doel van een MFA-implementatie is om deze altijd in te schakelen voor al uw gebruikers op al uw systemen. Echter kunt u niet vanaf dag 1 MFA inschakelen voor uw gehele organisatie.

Om MFA succesvol uit te rollen, moet je eerst duidelijk zijn over wat je gaat beschermen, beslissen welke MFA-technologie je gaat gebruiken en begrijpen wat de impact op werknemers zal zijn. Anders kan uw MFA-implementatie tot stilstand komen te midden van klachten van gebruikers die problemen ondervinden, terwijl ze proberen hun werk gedaan te krijgen.

Dus voordat u aan de technische kant begint, moet u er rekening mee houden dat het implementeren van MFA in een bedrijf een taak is voor de hele organisatie, van het beveiligingsteam tot zakelijke stakeholders tot IT-afdelingen tot HR en bedrijfscommunicatie en nog veel meer, omdat het de hele onderneming moet ondersteunen applicaties, systemen, netwerken en processen zonder de workflow van de organisatie te beïnvloeden.

Campagne voeren en trainen

Behandel de overgang naar MFA als een marketingcampagne, waarbij u de werknemers het idee van MFA moet verkopen én tegelijkertijd opleidingsmogelijkheden moet bieden. Het is belangrijk voor het personeel om te begrijpen dat MFA er is om hen te ondersteunen en hun accounts en al hun gegevens te beschermen, omdat dat misschien niet hun eerste gedachte is wanneer ze geconfronteerd worden met veranderingen in de manier waarop ze zich aanmelden bij de tools die ze dagelijks gebruiken. Als u een effectieve interne communicatiecampagne voert die gebruikers duidelijk maakt wat ze moeten doen en, nog belangrijker, waarom ze dit moeten doen, vermijdt u dat zij MFA als een last zien of het aanzien als bemoeienis van het bedrijf in privé-zaken.

De sleutel is aandacht voor bewustzijn: Zorg dat u naast het verzenden van e-mails, bijvoorbeeld posters in de lift plaatst of banneradvertenties in uw gebouwen hangt, allemaal uitleggend waarom u de overstap naar MFA maakt. Richt u op het informeren van uw gebruikers en leg uit waarom u deze wijziging aanbrengt, waarbij u heel duidelijk maakt wat ze moeten doen en waar ze instructies, documentatie en ondersteuning kunnen vinden.

Zorg ook voor veelgestelde vragen en trainingsvideo’s, samen met optionele trainingssessies of mogelijkheden om u aan te melden voor een vroege pilotgroep (vooral als u hen vroegtijdige toegang kunt bieden tot een nieuwe softwareversie die hen de functies biedt die ze nodig hebben). Erken dat MFA meer werk voor hen is dan alleen het gebruik van een wachtwoord en dat ze zeer waarschijnlijk ongemak zullen ondervinden. Tenzij u biometrische gegevens op elk apparaat kunt gebruiken, moeten ze wennen aan het altijd bij zich dragen van een beveiligingssleutel of een apparaat met een authenticatie-app, dus u moet ze laten begrijpen waarom MFA zo belangrijk is.

Het is niet verwonderlijk dat gebruikers zich zorgen kunnen maken over een overstap naar MFA. MFA wordt namelijk soms slecht uitgevoerd bij consumenten-apps. Ze hebben verhalen gezien over sociale netwerken die telefoonnummers voor marketing-doeleinden misbruiken, die zijn ingevoerd voor beveiligingsdoeleinden of over gebruikers die zijn buitengesloten van hun accounts als ze op reis zijn en geen sms kunnen ontvangen. U moet gebruikers, die slechte ervaringen hebben gehad met MFA voor consumenten-apps geruststellen en openstaan voor feedback van werknemers over de impact van MFA-beleid. Zoals elke technische uitrol is dit een doorlopend proces.

Als u deel uitmaakt van een internationaal bedrijf moet u meer doen, omdat u rekening moet houden met wereldwijde activiteiten. Dat vereist een bredere buy-in en een groter budget, inclusief taalondersteuning als u training- en ondersteuningsdocumentatie moet vertalen. Als u niet weet waar u moet beginnen, biedt Microsoft communicatiesjablonen en gebruikersdocumentatie die u voor uw organisatie kunt aanpassen.

Begin met admin-accounts

U wilt op zijn minst MFA gebruiken voor al uw beheerders, dus begin met gebruikers met privilege. Admin accounts zijn uw belangrijkste doel en de meest urgente om te beveiligen, maar u kunt ze ook als een proof of concept voor bredere acceptatie beschouwen. Kijk wie deze gebruikers zijn en welke privileges ze hebben. Er zijn waarschijnlijk meer accounts dan je verwacht met veel meer privileges dan echt nodig zijn.

Kijk tegelijkertijd naar belangrijke bedrijfsrollen, waarbij het verliezen van toegang tot e-mail of het verzenden van ongeautoriseerde e-mails een grote beveiligingsimpact zal hebben. Uw CEO, CFO en andere senior leiders moeten naar MFA verhuizen om zakelijke communicatie te beschermen.

Gebruik wat u heeft geleerd om MFA uit te rollen naar belangrijke groepen om een pilotimplementatie te plannen, inclusief werknemers uit het hele bedrijf die verschillende niveaus van beveiligingstoegang nodig hebben, zodat uw uiteindelijke MFA-implementatie is geoptimaliseerd voor reguliere werknemers. Overweeg hoe u aannemers en partners die ook toegang nodig hebben, afdekt.

Plan voor bredere deployment

Begin met te kijken naar welke systemen u heeft, waarop gebruikers zich moeten aanmelden en die u kunt beveiligen met MFA. Vergeet niet dat dit on-premises systemen omvat, u kunt MFA in uw bestaande remote access opties opnemen, met behulp van Active Directory Federation Services (AD FS) of Network Policy Server en Azure Active Directory (Azure AD) Application Proxy gebruiken om applicaties voor cloud-toegang te publiceren.

Concentreer u op het vinden van netwerken of systemen waar de inzet van MFA meer werk vergt (bijvoorbeeld als SAML-authenticatie wordt gebruikt) en vooral op het ontdekken van kwetsbare apps die niets ondersteunen behalve wachtwoorden omdat ze verouderde of basisverificatie gebruiken. Dit omvat oudere e-mailsystemen die MAPI, EWS, IMAP4, POP3, SMTP, interne bedrijfsapplicaties en oudere client-applicaties gebruiken. Upgrade of update deze om waar mogelijk moderne authenticatie en MFA te ondersteunen. Waar dit niet mogelijk is, moet u ze beperken tot gebruik via het bedrijfsnetwerk, totdat u ze kunt vervangen, omdat kritieke systemen die gebruikmaken van verouderde authenticatie uw MFA-implementatie blokkeren.

Wees voorbereid om te kiezen welke applicaties u wilt prioriteren. Naast een inventaris van applicaties en netwerken (inclusief opties voor externe toegang), kijk je naar processen zoals on-boarding van medewerkers en goedkeuring van nieuwe applicaties. Test hoe applicaties werken met MFA, zelfs als u verwacht dat de impact minimaal zal zijn. Maak een nieuwe gebruiker zonder beheerderstoegang, gebruik dat account om in te loggen bij MFA en doorloop het proces van het configureren en gebruiken van de standaardset van applicaties die personeel zal gebruiken om te zien of er problemen zijn. Kijk hoe gebruikers zich registreren voor MFA en kies welke methoden en factoren ze moeten gebruiken en hoe u registraties bijhoudt en controleert. Mogelijk kunt u MFA-registratie combineren met self-service wachtwoordreset (SSPR) in een ‘one stop shop’, maar het is belangrijk om gebruikers snel te laten registreren, zodat aanvallers hun account niet kunnen overnemen door zich te registreren voor MFA, vooral als het gaat om een hoogwaardige toepassing die ze niet vaak gebruiken. Voor nieuwe medewerkers moet u MFA-registratie onderdeel van het onboarding-proces maken.

Maak MFA gemakkelijker voor werknemers

MFA zal altijd een extra stap zijn, maar u kunt MFA-opties kiezen met minder wrijving, zoals het gebruik van biometrische gegevens in apparaten of FIDO2-compatibele factoren zoals Feitan of Yubico-beveiligingssleutels. Vermijd het gebruik van sms indien mogelijk. Op telefoon gebaseerde authenticatie-apps zoals de Microsoft Authenticator-app zijn een optie en ze vereisen niet dat een gebruiker de controle over zijn persoonlijke apparaat overhandigt. Maar als u werknemers hebt die naar locaties reizen waar ze mogelijk geen connectiviteit hebben, kiest u OATH-verificatiecodes, die automatisch worden gegenereerd in plaats van pushmeldingen die meestal handig zijn, maar waarvoor de gebruiker online moet zijn. U kunt zelfs geautomatiseerde spraakoproepen gebruiken: gebruikers op een knop op het toetsenbord van de telefoon laten drukken is minder opdringerig dan hen een toegangscode geven om op het scherm in te typen.

Bied een keuze aan alternatieve factoren zodat mensen degene kunnen kiezen die het beste bij hen past. Biometrische gegevens zijn buitengewoon handig, maar sommige werknemers kunnen zich ongemakkelijk voelen bij het gebruik van hun vingerafdruk of gezicht voor zakelijke aanmeldingen en ontvangen liever een geautomatiseerd telefoongesprek.

Zorg ervoor dat u mobiele apparaten opneemt in uw MFA-oplossing en deze beheert via Mobile Device Management (MDM), zodat u voorwaardelijke en contextuele factoren kunt gebruiken voor extra beveiliging.

Maak MFA niet te zwaar; kies wanneer de extra authenticatie nodig is om gevoelige gegevens en kritieke systemen te beschermen in plaats van deze op elke interactie toe te passen. Overweeg het gebruik van voorwaardelijk toegangsbeleid en Azure AD Identity Protection, waarmee tweestapsverificatie kan worden geactiveerd op basis van risicodetecties, evenals pass-through-authenticatie en single-sign-on (SSO).

Als MFA betekent dat een gebruiker die toegang heeft tot een niet-kritieke bestand of agenda op het bedrijfsnetwerk vanaf een bekend apparaat met alle huidige OS- en antimalware-updates minder uitdagingen ziet en niet langer wordt geconfronteerd met de last van 90-daagse wachtwoordresets, dan u kunt de gebruikerservaring met MFA zelfs verbeteren.

Zorg voor een ondersteuningsplan

Besteed wat tijd aan het plannen van mislukte aanmeldingen en accountvergrendelingen. Zelfs met training zijn sommige mislukte aanmeldingen legitieme gebruikers die het fout hebben en u moet het voor hen gemakkelijk maken om hulp te krijgen.

Stel ook een plan op voor verloren apparaten. Als een beveiligingssleutel verloren gaat, moet het rapportageproces eenvoudig en zonder verwijten zijn, zodat werknemers u onmiddellijk op de hoogte stellen zodat u hun sessies kunt laten verlopen en de beveiligingssleutel kunt blokkeren en het gedrag van hun account kunt controleren (terug naar voordat ze u op de hoogte hebben gesteld van het verlies). Beveiligingssleutels die biometrie gebruiken, zijn misschien wat duurder, maar als ze verloren of gestolen zijn, kan een aanvaller ze niet gebruiken. Maak er, indien mogelijk, een eenvoudige, geautomatiseerde workflow van met behulp van uw servicedesk-tools.

Je moet ze ook snel op een andere manier verbinden, zodat ze weer aan het werk kunnen. We raden aan om meer dan één apparaat te registreren, zodat uw gebruikers een alternatieve inlogmethode hebben. Maak die tweede factor handig genoeg om te gebruiken dat ze hun werk niet kunnen doen, maar niet zo handig dat ze het blijven gebruiken en het verlies niet melden. Zorg er ook voor dat u bent ingesteld om rechten en factoren automatisch uit te stellen wanneer werknemers van functie veranderen of de organisatie verlaten.

Meten en bewaken

Terwijl u MFA implementeert, controleert u de implementatie om te zien welke impact dit heeft op zowel de beveiliging als de productiviteit en bent u bereid om beleidswijzigingen aan te brengen of te investeren in betere hardware om het succesvol te maken. Volg beveiligingsstatistieken voor mislukte inlogpogingen, phishing pogingen die geblokkeerd worden en escalaties van privileges die geweigerd worden.

Uw MFA-marketingcampagne moet ook tijdens en na de implementatie doorgaan, actief contact opnemen met het personeel en hen vragen deel te nemen aan polls en/of feedbacksessies. Begin met de pilotgroep en ga ermee door totdat iedereen MFA gebruikt.

Vertrouw niet alleen op feedback van gebruikers om u over problemen te informeren. Controleer helpdesktickets, logboeken en auditopties om te zien of het langer duurt voordat gebruikers in systemen komen, of dat ze belangrijke taken uitstellen omdat ze MFA moeilijk vinden, of dat beveiligingsapparaten vaker niet meer werken dan verwacht. Nieuwe applicaties en nieuwe afdelingen binnen het bedrijf betekenen ook dat de MFA-implementatie doorlopend moet zijn en dat u software-updates moet testen om te zien of ze MFA breken; je moet het onderdeel maken van het reguliere IT-proces.

Blijf gebruikers informeren over het belang van MFA, inclusief het uitvoeren van phishing-training en phishing van uw eigen werknemers (met meer training voor degenen die worden misleid om door te klikken naar nep-links).

MFA is geen schakelaar die u omschakelt; het maakt deel uit van een beweging naar continue beveiliging en evaluatie die tijd en inzet kost om te implementeren. Maar als u het op de juiste manier benadert, is dit ook de meest effectieve stap die u kunt nemen om de beveiliging te verbeteren.

Wilt u meer informatie over Multi-Factor Authentication (MFA)? Download dan onderstaand eBook.

Deel dit artikel

Download het gratis eBook:

Zero Trust: Een nieuw beveiligingstijdperk

    Ja, ik ga akkoord met het ontvangen van aan mij gerichte berichten over producten, evenementen en acties van OfficeGrip. OfficeGrip mag contact met mij opnemen via de kanalen die ik kies, zoals e-mail, telefoon of post.

    Geef een reactie

    Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *