® 
IAM (Identity and Access Management)
Definitie
Identity and Access Management (IAM) is een raamwerk van processen en technologieen dat ervoor zorgt dat de juiste personen de juiste toegang hebben tot de juiste systemen. IAM beheert digitale identiteiten en hun toegangsrechten.
Identity and Access Management (IAM) is het raamwerk van technologieen, processen en beleidsregels dat ervoor zorgt dat de juiste personen, op het juiste moment, om de juiste redenen toegang hebben tot de juiste resources. Volgens Gartner rapporteert 75% van alle beveiligingsincidenten een identiteitsgerelateerde oorzaak.
Hoe werkt IAM?
IAM beheert de volledige levenscyclus van digitale identiteiten: van het aanmaken van een account bij indiensttreding tot het intrekken van alle toegangsrechten bij vertrek. De drie kernfuncties zijn authenticatie (wie ben je?), autorisatie (wat mag je?) en accounting (wat heb je gedaan?). IAM-systemen centraliseren identiteitsbeheer via een identity provider die als autoritatieve bron dient voor alle applicaties en systemen.
Componenten van IAM
Single Sign-On (SSO) stelt gebruikers in staat met een keer inloggen toegang te krijgen tot alle geautoriseerde applicaties. Multi-Factor Authenticatie (MFA) voegt extra verificatielagen toe naast het wachtwoord. Role-Based Access Control (RBAC) kent rechten toe op basis van functies en rollen. Privileged Access Management (PAM) beheert en bewaakt accounts met verhoogde rechten. Identity Governance and Administration (IGA) automatiseert het beheer van toegangsrechten, waaronder periodieke access reviews. Conditional Access past toegangsbeleid dynamisch aan op basis van context zoals locatie, apparaat en risicoscore.
Impact voor organisaties
Slecht identiteitsbeheer is een van de grootste aanvalsvectoren. Overmatige rechten, niet-ingetrokken accounts van vertrokken medewerkers en gedeelde serviceaccounts bieden aanvallers eenvoudige toegangspunten. NIS2 vereist adequate identiteits- en toegangsbeheersmaatregelen. ISO 27001 stelt uitgebreide eisen aan toegangscontrole. DORA benadrukt identiteitsbeheer als onderdeel van ICT-risicobeheer. Zero Trust-architectuur is onmogelijk zonder een solide IAM-fundament.
Bescherming
Implementeer SSO gecombineerd met MFA voor alle gebruikers. Pas RBAC en least privilege-principes toe. Automatiseer onboarding en offboarding van identiteiten. Voer regelmatige access reviews uit. Monitor alle authenticatiepogingen via SIEM. Implementeer conditional access policies.
Hoe DEFION helpt
DEFION evalueert IAM-implementaties als onderdeel van Security Assessments en pentests. Het team test of identiteitsbeheerprocessen kwetsbaarheden bevatten die aanvallers kunnen misbruiken. CISO-as-a-Service begeleidt bij het opzetten van een volwassen IAM-strategie.