MFA maakt gebruik van een extra identificatiemiddel, te gebruiken als aanvulling op het wachtwoord, om met veel meer zekerheid te kunnen vaststellen dat jij inderdaad degene bent die inlogt op je Radboudaccount.
Het programma herinrichting Informatiebeveiliging-organisatie (IB-organisatie) heeft als doel om een IB-organisatie te ontwikkelen die adequaat omgaat met de risico’s voor de Radboud Universiteit op het gebied van informatieveiligheid. De herontwikkeling is gebaseerd op een roadmap waarin rollen, maatregelen en projecten in relatie tot elkaar geïmplementeerd worden. In het afgelopen jaar zijn stappen gezet, waaronder het ontwikkelen van de IB-organisatie en het nemen van maatregelen. Een belangrijke maatregel is het implementeren van Multi-Factor Authenticatie (MFA). Op een aantal systemen (invoer van toetsresultaten, IT-beheerprocessen) is MFA al geïmplementeerd. Voor de andere systemen en toepassingen is dit nog niet het geval. Het doel van dit deelproject is om dit te realiseren.
MFA maakt gebruik van een extra identificatiemiddel, te gebruiken als aanvulling op het wachtwoord, om met veel meer zekerheid te kunnen vaststellen dat jij inderdaad degene bent die inlogt op je Radboudaccount. Zo’n extra identificatiemiddel is een app op je mobiele telefoon die éénmalig gekoppeld moet worden aan je gebruikersnaam. Dit proces wordt “vetting” genoemd.
Dit is dezelfde MFA-techniek waar iedereen nu al mee bekend is voor Microsoft 365 applicaties van de Radboud Universiteit. Dat kan alleen voor applicaties waarop je inlogt met het nieuwe Radboud-account (volledigenaam [at] ru.nl (volledigenaam[at]ru[dot]nl)) in plaats van inloggen met je U-/S-/E-nummer. Dit is een groot project (genaamd account consolidatie) dat al loopt en randvoorwaardelijk is voordat MFA geïmplementeerd wordt.
Aanpak
Momenteel zijn er honderden applicaties die in aanmerking komen voor MFA. Om focus te behouden wordt eerst MFA ingevoerd voor een toplijst aan applicaties waarvoor de bescherming door MFA het meest urgent is. Daarna volgt de rest. Op dit moment zijn alle applicaties van Microsoft 365 (Teams, OneDrive, e-mail) al voorzien van MFA.
De toplijst bestaat uit:
Datawarehouse, Bass, CRM-systeem Dynamics 365, Topdesk, Identity&Accessmanagementsysteem, Werkplek voor beheer, Termtime, e-mailsysteem officesuite, KMS, Osiris, Cirrus (wordt ANS), Brightspace, Metis, RDR, Corsa en eduVPN.
Doelstellingen
- De introductie van een voor alle gebruikers en informatiediensten geschikte vorm van Multifactor Authenticatie bij de standaard accounts van de Radboud Universiteit.
- MFA wordt de standaard voor (vrijwel) alle applicaties binnen de Radboud Universiteit.
- Het inrichten van de mogelijkheid van vetting van alle gebruikers, gekoppeld aan hun MFA-enabled account, teneinde een hogere zekerheid van de identiteit van de gebruikers te krijgen dan nu het geval is.
- Het ontwerpen en inrichten van procedures voor MFA lifecycle management.
- Het bewaken van de juiste balans tussen gebruiksgemak en beveiliging van je online informatie.