Volwassenheidsmodel voor wachtwoordbeheer

Organisaties die de beveiliging willen versterken door een organisatiebrede wachtwoordbeheerder te implementeren, kunnen hun weerbaarheid vergroten door met het volgende volwassenheidsmodel voor wachtwoordbeheer de belangrijkste verbeterpunten te beoordelen. Dit framework helpt organisaties inzicht te krijgen in hun volwassenheidsniveau voor wachtwoordbeheerders — op basis van hun huidige activiteiten — en te bepalen welke stappen nodig zijn om hun bestaande classificatie te verbeteren.

Organisaties in de categorie niveau 1 hebben geen organisatiebrede wachtwoordbeheerder geïmplementeerd. Het ontbreken van een gecentraliseerd systeem voor wachtwoordbeheer vergroot het risico op gecompromitteerde wachtwoorden, omdat medewerkers zonder goed toezicht zwakke of hergebruikte wachtwoorden kunnen gebruiken. In plaats daarvan hanteren medewerkers een geïsoleerde, ad-hocbenadering om bedrijfswachtwoorden te beveiligen. Dit kan inhouden dat ze gebruikmaken van browsergebaseerde wachtwoordbeheerders, Excel-spreadsheets, wachtwoorden delen via Slack, of ze op papier en sticky notes schrijven. Zo’n omgeving bevordert waarschijnlijk geen sterke beveiligingscultuur en legt weinig nadruk op best practices op het gebied van beveiliging. Bedrijfsbrede training is zeldzaam of bestaat niet. Wat de algehele technische volwassenheid betreft, is de kans groot dat gevoelige of kritieke gegevens, wanneer ze worden gedeeld, niet versleuteld zijn en risico lopen. 

• Implementatie van wachtwoordbeheerders: Een organisatie op niveau 1 heeft geen processen voor wachtwoordbeheerders ingericht, waardoor medewerkers op hun eigen gewoonten zijn aangewezen.

• Beveiligingscultuur: Een organisatie op niveau 1 legt geen nadruk op best practices op het gebied van beveiliging en heeft minimaal beveiligingsbewustzijn. 

• Technische volwassenheid: Een organisatie op niveau 1 deelt gevoelige informatie op een onveilige manier, vaak zonder versleuteling.

Organisaties op niveau 1 beginnen helemaal vanaf de basis, met volop kansen voor snelle verbeteringen via eenvoudige acties die de beveiliging direct kunnen versterken. De belangrijkste volgende stap voor een bedrijf om de beveiliging te verbeteren, is om één team — doorgaans IT — te verplichten een wachtwoordbeheerder te gebruiken en vervolgens een plan te maken voor een grootschalige uitrol.

Niveau 2 wijst op een iets volwassenere, maar nog steeds groeiende aanpak van sterke wachtwoordbeveiliging en wachtwoordbeheer. Organisaties in deze fase gebruiken geen organisatiebrede wachtwoordbeheerder, en praktijken voor wachtwoordbeveiliging zijn gedecentraliseerd, waarbij medewerkers vertrouwen op een combinatie van browsergebaseerde wachtwoordbeheerders en andere ingebouwde tools voor wachtwoordbeheer. Sommige organisaties beginnen mogelijk met een gratis wachtwoordbeheerder voordat ze overstappen op een meer gecentraliseerde oplossing. Best practices op het gebied van beveiliging krijgen vluchtige aandacht tijdens de onboarding van medewerkers, maar vormen geen consistent aandachtspunt voor de organisatie. De technische volwassenheid op dit niveau wordt gekenmerkt door een mix van versleutelingspraktijken — sommige informatie is versleuteld, andere niet — en tweefactorauthenticatie wordt slechts beperkt gebruikt voor betere identiteitsverificatie. Organisaties die van niveau 2 naar niveau 3 willen groeien, moeten zich richten op meer bewustwording en educatie om fundamentele beveiligingspraktijken voor inloggegevens ten minste deels te verankeren.

• Implementatie van wachtwoordbeheerders: Bij bedrijven op niveau 2 is wachtwoordbeheer gedecentraliseerd of worden ingebouwde wachtwoordbeheerders ad hoc gebruikt, zoals Apple Sleutelhanger of wachtwoordbeheerders in browsers.

• Beveiligingscultuur: Bedrijven op niveau 2 leggen beperkte nadruk op best practices voor wachtwoordbeveiliging.

• Technische volwassenheid: Bij bedrijven op niveau 2 is de aanpak voor het delen van versleutelde informatie en het gebruik van multifactorauthenticatie (2FA) inconsistent.

Bedrijven op niveau 2 leggen iets meer nadruk op gegevensbeveiliging, maar de algehele praktijk blijft gedecentraliseerd. De directe volgende stap om de beveiliging te verbeteren is het selecteren van een gecentraliseerde, platformonafhankelijke wachtwoordbeheerder die op alle apparaten van medewerkers werkt, en beginnen met een gefaseerde uitrol.

De stap van niveau 2 naar niveau 3 betekent een belangrijke vooruitgang in het beveiligen van je bedrijf. Beperkte teams binnen de organisatie vertrouwen op een losstaande wachtwoordbeheerder, maar de algehele implementatie blijft minimaal. Beveiligingstrainingen zijn frequenter en consistenter, en medewerkers krijgen vaker waarschuwingen bij duidelijk en potentieel risicovol beveiligingsgedrag. Vanuit het oogpunt van technische volwassenheid hebben medewerkers die gezamenlijk een oplossing voor wachtwoordbeheer gebruiken dekking op alle door het bedrijf verstrekte apparaten en kunnen ze wachtwoorden en andere gevoelige informatie veilig delen. Het gebruik van een versleutelde wachtwoordkluis kan de beveiliging aanzienlijk verbeteren door gevoelige informatie veilig op te slaan. De mogelijkheid om gegevens veilig met collega’s te delen, betekent een duidelijke stap weg van niveau 2.

• Implementatie van wachtwoordbeheerders: Bedrijven op niveau 3 hebben enige vorm van gecentraliseerd wachtwoordbeheer, waarbij een of twee teams zelfstandige wachtwoordbeheerders gebruiken in plaats van ingebouwde tools.

• Beveiligingscultuur: Bedrijven op niveau 3 leggen meer nadruk op beveiligingscultuur, maar hebben geen tools of systemen voor concrete verantwoordelijkheid.

• Technische volwassenheid: Teams op niveau 3 die een gecentraliseerde wachtwoordbeheerder gebruiken, profiteren van platformonafhankelijke dekking op apparaten en veilig delen tussen medewerkers.

Bedrijven op niveau 3 bewegen zich in een meer gecentraliseerde, zij het fragmentarische, richting bij het prioriteren van gegevensbeveiliging. De volgende stap om de beveiliging te verbeteren is het uitbreiden van de dekking van wachtwoordbeheer van een gefaseerde uitrol naar een bedrijfsbrede uitrol.

Niveau 4 kenmerkt zich door de universele adoptie van een bedrijfsbrede wachtwoordbeheerder, met een implementatie die in de hele organisatie wordt gestart. Het is cruciaal om een sterk hoofdwachtwoord aan te maken om de wachtwoordbeheerder te beveiligen. Alle medewerkers worden aangespoord om de bedrijfswachtwoordbeheerder te gebruiken om wachtwoorden aan te maken, op te slaan en te delen met andere teamleden. Daarnaast is beveiligingstraining genormaliseerd en geaccepteerd door de hele organisatie, waarbij het management deelname volgt en stimuleert via gedetailleerde trainingsmodules. Technische volwassenheid op niveau 4 duidt op bedrijfsbreed wachtwoordbeheer met integratie van directoryservices en single sign-on. Integratie met directoryservices (zoals Active Directory/Entra, Google Workspace of OneLogin) synchroniseert gebruikers en groepen vanuit een externe directory naar de wachtwoordbeheerder. Integratie met single sign-on stelt organisaties in staat hun bestaande identiteitsprovider te gebruiken om gebruikers te authenticeren bij hun bedrijfswachtwoordbeheerder.

• Implementatie van wachtwoordbeheerder: Bedrijven op niveau 4 hebben in de hele organisatie een zelfstandige wachtwoordbeheerder geïmplementeerd, waarbij teams sterk worden aangemoedigd om volledig af te zien van ingebouwde tools en ad-hocpraktijken.

• Beveiligingscultuur: Bedrijven op niveau 4 bieden regelmatig beveiligingstraining aan en stimuleren aanwezigheid met deelnamestatistieken.

• Technische volwassenheid: Bedrijven op niveau 4 hebben wachtwoordbeheerders geïntegreerd met IT-workflows, waaronder directoryservices en single sign-on (SSO).

Bedrijven op niveau 4 hebben een veel uniformere, concretere aanpak van gegevensbeveiliging gekozen, met de focus op het waarborgen van universele dekking. De volgende stap om de beveiliging te verbeteren is het verplicht stellen van bedrijfsbreed wachtwoordbeheer in de hele organisatie. Zodra dat loopt, schakel dan wachtwoordloze authenticatie in en vereis multifactorauthenticatie (2FA) voor alle teams.

In deze fase heeft een organisatie een bedrijfsbrede wachtwoordbeheerder volledig ingevoerd en geïntegreerd in de organisatorische workflows. Deze wachtwoordkluis wordt gebruikt voor het veilig opslaan en beheren van gevoelige informatie, waaronder wachtwoorden, creditcardgegevens en persoonsgegevens. Bedrijfsbrede adoptie van wachtwoordbeheer is verplicht gesteld, met beperkingen op alternatieve methoden voor wachtwoordopslag. Ondernemingen in deze fase bieden medewerkers gezinsabonnementen voor wachtwoordbeheer aan om een 360°-beveiligingscultuur te stimuleren, met nadruk op persoonlijke en professionele gewoonten rond wachtwoordbeheer. Beveiligingstraining is verplicht voor de hele organisatie en medewerkers worden aangemoedigd om verdachte cyberbeveiligingsactiviteiten te melden. Technische volwassenheid wordt gekenmerkt door uitgebreide dekking en rapportage. De bedrijfsbrede wachtwoordbeheerder maakt wachtwoordloze opties mogelijk, van biometrie tot passkeys, terwijl ontwikkelaars API's gebruiken voor integratie met andere tools, zoals SIEM, om een effectieve beveiligingsstack te waarborgen. Geautomatiseerde scripting met API's wordt gebruikt om administratieve controle te verbeteren en complexe workflows te vereenvoudigen.

• Implementatie van wachtwoordbeheerder: Bedrijven op niveau 5 verplichten alle medewerkers een zelfstandige wachtwoordbeheerder te gebruiken.

• Beveiligingscultuur: Bedrijven op niveau 5 hebben verplichte beveiligingstraining ingevoerd, waarbij medewerkers zelf het initiatief nemen om verdachte activiteiten bij de IT-afdeling te melden.

• Technische volwassenheid: Bedrijven op niveau 5 hebben een bedrijfsbrede wachtwoordbeheerder omarmd die wachtwoordloze authenticatie biedt, multifactorauthenticatie (2FA) vereist en ontwikkelaars aanmoedigt om API's te gebruiken voor integratie met andere tools.

Bedrijven op niveau 5 hebben een uitgebreid, geavanceerd, bedrijfsbreed systeem voor wachtwoordbeheer ingericht. Bedrijven die verder willen groeien dan dit punt, zouden tools voor secrets management moeten verkennen die infrastructuur en machinegeheimen beveiligen.