PAM, je hoort er steeds meer over. Iedereen moet het hebben.
Ik denk ook dat dat voor bijna elke organisatie zo is. Je moet iets hebben wat je risicovolle rechten bewaakt in deze tijden van weinig vertrouwen (0-trust), thuiswerken, flex-contracten, clouddiensten en steeds intelligentere automatisering. Maar wat je niet moet doen is ‘PAM’ kopen zonder dat je weet wat jouw organisatie echt nodig heeft. Te vaak heb ik gezien dat organisaties dure PAM-producten kopen, die installeren en er dan pas achter komen dat dat niet de oplossing voor hun vraagstuk is. Ook hier geldt het al oude adagium: ‘als je een probleem automatiseert, heb je daarna een geautomatiseerd probleem’.
Het eerste vraagstuk dat bij PAM oprijst is de term ‘PAM’. Iedereen heeft hier een andere definitie en een andere scope bij. Omdat dit niet wordt uitgesproken leidt dit tot teleurstellingen en conflicten. Mijn artikel Zonder PIM is PAM pet helpt bij het dempen van dit moeras.
PAM is een verzameling functies die ervoor zorgen dat het gebruik van rechten die een hoog risico met zich meebrengen zorgvuldig verloopt. Daarom is de tweede belangrijke stap - na het opheffen van begripsverwarring en het vaststellen van een gemeenschappelijke taal - een duidelijke risicoanalyse. Welke risico’s loopt de organisatie, die een verband hebben met het gebruik van rechten. Veelal is het een goed beginpunt om de volgende vragen te stellen:
- Wie wil er eigenlijk PAM?
- Waarom willen die personen PAM?
Dit geeft inzicht in de belanghebbenden en hun drijfveren. Verrassend genoeg worden deze vragen in de meeste PAM-trajecten die ik heb meegemaakt niet gesteld. Als ze wel gesteld worden, dan worden ze gesteld aan de verkeerde doelgroep: de gebruikers van heavy-duty risicorechten bij uitstek: de systeembeheerders. Dat is nu juist de groep die over het algemeen denkt er geen belang bij te hebben.
Als de ware reden voor het willen hebben van PAM boven water is gekomen is dat een prima uitgangspunt om de risicoanalyse op te zetten. Veelal is een aanpak vanuit de informatie een goede ondersteunende stap hierbij:
- Welke informatie vertegenwoordigt risico’s?
- Welke rechten kunnen deze informatie inzien, aanpassen en/of verwijderen?
- Wie hebben deze rechten?
- Waarom hebben ze deze rechten?
Dit is vaak een waardevolle toevoeging op de standaard speurtocht naar alle administrator-accounts waar de meeste PAM-trajecten mee beginnen. Niet zelden blijken de grootse risico’s niet bij deze administrator-accounts te liggen maar bij andere accounts waarvan de organisatie niet eens het besef heeft dat ze bestaan.
En vergeet niet steeds de vraag te stellen: ‘hoeveel risico kan mijn organisatie accepteren?’. Niet elk risico hoeft volledig weggewerkt te worden. Voor sommige risico’s staan de kosten voor de maatregel in geen verhouding tot de kosten van het in stand houden van het risico.
Een andere valkuil die hierop volgt is om de uit de risicoanalyse voortkomende punten op te lossen door een nieuw product aan te schaffen. Ik snap dat wel, een nieuw speeltje lijkt altijd leuker dan te moeten spelen met het oude, bekende speelgoed. Maar veelal kunnen, door het procedureel afdekken van bepaalde situaties en het beter gebruik te maken van reeds aanwezige middelen, veel verrassende resultaten behaald worden die significant kleinere organisatorische en financiële impact hebben dan het implementeren van een nieuw PAM-product.
Natuurlijk kan - en zal - een goedgekozen PAM-product veel toegevoegde waarde leveren aan uw organisatie. Maar alleen als het PAM-product de vragen beantwoordt die uw organisatie heeft en de rechten bewaakt die werkelijk risico voor u met zich meebrengen tegen een prijs die u ervoor wilt betalen.
Om u hierbij te helpen heeft Capitar Security, samen met Micro Focus, een checklist ontwikkeld die u door deze eerste fase van een PAM-traject heen kan helpen: PAM Checklist.
©Steven van der Linden, juni 2021