Category: Uncategorized

The Dangers Within – Your Key to Better Insider Threat Detection

Privileged Access: How Insiders Cause Damage

At least 60 percent of organisations allow third-party vendors to remotely access their internal networks, and just like employees, these external users can turn into exploited, unintentional and malicious insiders. Yet, these users are not managed by your organisation, which makes it difficult to secure and control their privileged access to your resources.

According to a recent survey by the Ponemon Institute, 49 percent of respondents admitted that their organisation has already experienced a data breach caused by a third-party vendor, and 73 percent see the problem increasing.

This white paper uncovers common misconceptions about insider threats, and provides new insight to help organisations better protect against these costly attacks. Read this eBook to learn the who, what, why and how of the insider threat to expose risks you may not be considering and gain guidance to help you prevent and detect these attacks.

Get your white paper here

About SecurIT

Founded in 1999, SecurIT has over 18 years of extensive experience of designing, implementing, maintaining large Identity Management/Governance infrastructures. With more than 30 specialists permanently employed in the Netherlands SecurIT offers its customers high quality consultancy, implementation, management and support services (24*7). 


ISAM: where we are today, and where we are heading to

On March 26th, we are holding an IBM Security Access Manager (ISAM) Session at the IBM headquarters in Amsterdam. 

Come and learn about all the exciting additions and exciting roadmap. At the same time, you can meet your peer users and learn about their experiences. Items we will cover in this session are:

  • ISAM: where we are today, and where we are heading to
  • ISAM & FIDO2
  • The role of ISAM for API protection
  • How to consume MFA from the cloud with ISAM
  • Cloud Identity to enable your VPN with MFA (RADIUS)
  • “Remember me” for Consumers with ISAM

Other candidate topics are Login password free via QR codes, Cloud Identity & integration with Microsoft, Governance from the cloud, Customer use cases and lessons learned and many more. 

A detailed agenda will follow closer to the event, but we can assure you it will be exciting and valuable. 

Feel free to forward to anyone you believe might find this invitation relevant! 

Register today!

Practical information

When: March 26th, 2019
Where: IBM Headquarters in Amsterdam
How late: 08.00 am – 16.00 pm

About SecurIT

Founded in 1999, SecurIT has over 18 years of extensive experience of designing, implementing, maintaining large Identity Management/Governance infrastructures. With more than 30 specialists permanently employed in the Netherlands SecurIT offers its customers high quality consultancy, implementation, management and support services (24*7). 

GDPR The journey to value

Creating a sustainable, governed data asset for GDPR and beyond

With the introduction of the General Data Protection Regulation (GDPR) and its enforcement from 25th May 2018, a new balance will be created between commercial interests and consumer rights around personal and sensitive data. All individuals possess personal data which needs to be shared with organisations – customers during transactions, employees at work, business partners under contract. Engaging positively and responsibly with these data subjects is the intended outcome of the Regulation and will ensure business is sustainable as well as capable of continued innovation.In the run-up to this new environment, much will be done to educate individuals about their new rights and the need for businesses to process their data. At the moment, awareness is low – just 10 per cent of consumers surveyed said they are fully aware of GDPR (Source: 'GDPR Impact 2017', DataIQ commissioned survey of 1,001 UK consumers conducted by Research Now, February 2017). But just as data security has become a mainstream issue, so will data protection. The difference is in the opportunity for demonstrating the upside of data sharing, rather than defending against the downsides of data breaches.Download the whitepaper to help you develop your GDPR readiness program.IBM can assist you with your GDPR readiness programme through a full end-to-end solution.

Get your whitepaper here

About SecurIT

Founded in 1999, SecurIT has over 18 years of extensive experience of designing, implementing, maintaining large Identity Management/Governance infrastructures. With more than 30 specialists permanently employed in the Netherlands SecurIT offers its customers high quality consultancy, implementation, management and support services (24*7). 


Need strong security? Go silent.

A strong security posture and a positive digital experience don't have to be mutually exclusive. You can achieve both with the silent, nonintrusive security of IBM identity and access management (IAM). This approach to IAM isn't hidden away—far from it. Silent security connects users, applications, and ultimately people to the information and applications they need—only standing in the way when it detects bad actors.Providing users access to the right applications and tools, at the right time, and for the right purposes must be done while offering customers a delightful experience. You need to make sure you are protecting information from theft and meeting ever-stricter regulatory requirements. Your IAM solution is integral to achieving these goals, yet it works best when your users don't even know it's there.IAM works best when users don’t even know it’s there.

Get your whitepaper here

About SecurIT

Founded in 1999, SecurIT has over 18 years of extensive experience of designing, implementing, maintaining large Identity Management/Governance infrastructures. With more than 30 specialists permanently employed in the Netherlands SecurIT offers its customers high quality consultancy, implementation, management and support services (24*7). 

SecurIT Europe: Our 2018 in review

2018 was a beautiful year for SecurIT in Europe.

  • We realized an 18% growth within our European resource pool 
  • Our innovation power was proven by completing over thirty certification pathways. 
  • With over 90 successful projects, we substantially extended our customer base. 
  • 2 new partnerships were added to our portfolio with market leader vendors in the Identity and Access Management (IAM) space: Okta and Omada 
  • Last but not least, we went global in 2018 by acquiring U.S. based Palmetto Security Group in Greenville, South Carolina almost doubling our staff and our services across the ocean 

Hard work pays off they say, by the end of 2018 SecurIT was ranked 2nd in the category security and 73rd overall in the MT1000, the most extensive survey among business decision makers on the quality and popularity of business service providers in the Netherlands.  

All of the above are exciting reasons for us to look back on a successful 2018!!  

Our growth  
18% growth of our resource pool 

Completed over thirty certification pathways 

New partnerships with Okta and Omada 

Project delivery  
Extension of customer base 

Delivered over 90 successful projects 

Going global  
Acquired U.S. based company, Palmetto Security Group

Next level Privileged Account Management Protect Privileged Accounts from hackers and insider threats

Round table IBM/SecurIT, 25 september 2018, Woerden

Privileged Accounts bieden vaak onbeperkte toegang tot systemen en data en dat brengt risico’s met zich mee. Volgens Forrester kunnen 80% van alle breaches gerelateerd worden aan Privileged Accounts. Succesvol Privileged Account Management (PAM) is daarmee een behoorlijke uitdaging.

Beheerders hebben Privileged Accounts nodig, bijvoorbeeld voor het installeren van software-updates en het resetten van wachtwoorden. Helaas zijn de gebruikers van Privileged Accounts steeds vaker het doelwit van cyberaanvallen. De beheerders zelf zijn meestal niet het probleem; het zijn hun gewilde inlogaccounts die niet altijd aan een persoon zijn gekoppeld, die een gevaar zijn. En als accounts onbeheerd blijven, kunnen onbevoegden volledige controle over computersystemen krijgen.

Veel organisaties kampen met dezelfde vragen op het gebied van Privileged Accounts. Tijdens de rondetafel in Woerden konden zij sparren en discussiëren met vakgenoten en hun kennis en ervaringen op dit gebied delen.

Privileged Account Management ontwikkelt zich snel. Is het efficiënt geregeld of is er ruimte voor verbetering?

Om de snelle ontwikkeling van Privileged Accounts Management toe te lichten, geeft SecurIT een presentatie. Doel: de belangrijkste problemen op dit gebied in kaart brengen.

De presentatie zorgt voor veel herkenning bij de deelnemers; verouderde wachtwoorden kent iedereen. Opgemerkt wordt ook dat het beveiligingsprobleem niet alleen speelt binnen het serverpark, maar zeker ook op werkstations van individuele kantoormedewerkers.

Iedereen is zich ervan bewust dat er veel ruimte voor verbetering is. Voor sommigen is de stap naar PAM gewoonweg nog te groot: “Alle processen eromheen: dat is gewoon teveel op dit moment.” Daarop wordt opbouwend gereageerd: “Als je weet wat de eerste stap is, is dat ook al heel wat.”

Diverse deelnemers hebben in hun eigen organisatie al analyses uitgevoerd om het probleem in kaart te brengen (en niet alleen op de OS-laag): bij clouddiensten, hosted services, in SAP-omgevingen. Er worden stappen gezet, proof of concepts opgezet, maar het afdwingen en naleven van policies, ook in samenspraak met externe leveranciers, blijft lastig.

Waar zit het grootste risico? Welke problemen zijn er?

Bij beveiliging is het altijd een afweging van risico’s, zo is de consensus. Zomaar alles aanwijzen als ‘insecure’ is niet werkbaar. Te strikte securitymaatregelen werken averechts. “Je moet aanmerken waarmee je echt onderuit kunt gaan. Met te strenge maatregelen maken ‘security-theoretici’ hun eigen zaak kapot. Soms is er alleen in theorie een probleem.”

Zo kun je nu eenmaal niet elke uitzendkracht die een lopende band in werking moet zetten, een eigen account geven. In zo’n geval kun je bijvoorbeeld zoneringen aanbrengen, zodat je jezelf beschermt tegen schades door buitenstaanders. Dat kan echter weer conflicten met beheerders veroorzaken, omdat zij niet via een beheerzone willen werken.

En soms, zo wordt gesteld, kun je dingen het best op een manier regelen die in theorie ‘niet klopt’, omdat bijvoorbeeld een productieproces niet stil mag komen te liggen. Dit kan zelfs zover gaan als geen wachtwoord toekennen, of het wachtwoord delen met collega’s.

Toegang geven en samenwerking met vendors is ander een heikel punt, zo onderkennen de deelnemers. Waartoe autoriseer je hen? Hoe bepaal je wanneer en waartoe zij toegang hebben? Sommige organisaties hebben te maken met honderden externe leveranciers waarvoor dit allemaal moet worden geregeld, bijvoorbeeld voor het doen van onderhoud.

Tijdens de discussie worden nog diverse andere problemen gesignaleerd, zoals:

  • Hoe ga je om met het aanvragen van rechten op software van externe leveranciers als je die echt nodig hebt? Vanuit de leverancier is vaak een domain-admin-account vereist, anders vervalt de support, terwijl zo’n account niet altijd technisch noodzakelijk is.
  • Eigenaarschap in de organisatie is een ander pijnpunt. Wie weet hoe je het wachtwoord kunt wijzigen? Als daar geen helder antwoord op is, wordt een wachtwoord niet gewijzigd, met alle risico’s van dien.
  • Hoe controleer je wat een externe persoon of organisatie op je netwerk heeft gedaan? Niet altijd worden bewegingen gelogd en de logfiles worden vaak ook niet lang bewaard.
  • Niet alle admin-accounts worden geregistreerd en meegenomen in het IAM-systeem, bijvoorbeeld SAP service accounts.
  • Multi-factor authenticatie is niet het ei van Columbus, maar het zorgt wel voor awareness bij medewerkers.
  • Een deel van de aanwezigen heeft problemen om PAM ingevoerd te krijgen in hun organisatie. Het blijkt voor een deel kennisafhankelijk. Zo goed mogelijk informeren blijkt een goede manier om PAM te stimuleren. Zichtbaar zijn en uitleggen ook, want: “Als je alleen maar iets afpakt, wordt het per definitie vervelend.”

Wat zou een best practice zijn voor Privileged Account Management?

Op deze open vraag komen na de koffie verschillende suggesties, waaronder:

  • Zonering in tiered service-modellen: ‘Dat hebben we samen met Microsoft gedaan en het werkt erg goed voor ons. Iedereen went er snel aan.’
  • Per systeem een eigen log-in.
  • ‘We zijn begonnen met terug te werken vanuit de end-points, omdat we de grootste risico’s zien in medewerkers die niet zijn opgeleid als IT’er.’
  • Ga ervan uit dat alle externe devices insecure zijn. Houd de toegang gewoon dicht.
  • Houd het klein, voer een POC (proof of concept) uit. En leer daarvan. Gaat het fout, doe het dan nog een keer.
  • Ook voor de fysieke wereld kunt je per zonering verschillende policies maken: Maak keuzes aan de hand van de verdeling open/kantoor/critical en businesscritical.
  • Zorg ervoor dat je al snel iets kunt laten zien, bijvoorbeeld een POC. Dat helpt bij het overtuigen van mensen.

Wat neem je mee naar huis?

Aan het einde van de bijeenkomst wordt de balans opgemaakt. Er zijn – uiteraard – veel verschillende maturity-levels. Niet te hard van stapel lopen, lijkt het devies: “Wees niet te ambitieus; kijk naar de fase waarin je organisatie zit en zet één stapje tegelijkertijd.” “Maak een tussenstap, of zet het op de roadmap 20-30.” Toch zijn diverse deelnemers ook gestimuleerd om met ‘echte’ PAM-tooling aan de slag te gaan: “Alleen een wachtwoordkluis is toch niet genoeg.”

Next-level PAM blijkt dus heel situatie-afhankelijk: Het hangt af van de organisatie en bestaande processen of een PAM-oplossing succesvol wordt, ook van hoe sterk de organisatie zich maakt voor implementatie. Vaak geven organisaties bij gebrek aan draagvlak en visie de volgende stap snel op. “PAM wordt als een bedreiging gezien, maar het is eerder een excuus om geen stappen te zetten.”

15 opvallende uitspraken:

  • ‘Bij een bedrijf van 2000 kantoormedewerkers vonden we 7371 Privileged Accounts op 343 servers. Ook waren er 833 PA-hashes en 43.787 administrator hashes. Dat was een eyeopener voor de klant.’
  • ‘Het password was al 11 jaar niet gewijzigd. Is dat erg?’
  • ‘Het begint bij het liquideren van het aantal domain-admins.’
  • ‘Het ligt vaak niet aan technische mogelijkheden tot ingrijpen, maar aan discipline binnen de organisatie.’
  • ‘We hebben er vier jaar over gedaan om een IAM-systeem in ons IT-landschap te brengen. Geen gedeelde accounts meer. Enorme ruzies zijn daarmee gepaard gegaan.’
  • ‘Het leek ons wel veilig om een account te hebben dat niet door PAM wordt gemanaged.’
  • ‘Uiteindelijk wordt het altijd fysiek, je moet naar die server toe en er moet een stekker in het netwerk.’
  • ‘Wij hebben bring your own device de nek omgedraaid.’
  • ‘Als je kwaad wilt, dan lukt dat. Altijd.’
  • ‘Een gevoelig account is niet per definitie een privileged account. Zo’n account kan weer heel andere beveiligingsmaatregelen vereisen, veel procesmatiger of fysieker.’
  • ‘Als je een laag risico hebt, ga je niet iets heel ingrijpends aan je organisatie opleggen.’
  • ‘Maakt geautomatiseerd beheer PAM minder bedreigend?’
  • ‘Beheerders van systemen zijn de moeilijkste groep om mee te krijgen met PAM: ze overschatten zichzelf en zijn zich niet bewust van alle problemen.’
  • ‘IAM wordt al langer gezien als een business enabler. Dat zal PAM ook worden, maar daar zijn we nog niet.’
  • ‘Ik heb nog nooit in de praktijk integratie van IAM- en PAM-tooling werkend gezien.’

SecurIT acquires Palmetto Security Group to form a new global player in the Identity and Access market

Amsterdam, Greenville SC, July 24, 2018. SecurIT B.V. announces the acquisition of the Greenville, South Carolina based Palmetto Security Group, LLC (PSG). Both companies focus on the Identity and Access Management (IAM) challenges that all organizations face today. In this fast-changing, specialized domain of the security industry, in-depth and broad knowledge of available solutions, technologies and standards makes the difference. With the combined, unrivaled expertise of SecurIT and PSG a new global player arises that will be able to help global customers with both advisory services as well as implementation and support services for IAM solutions of industry leading vendors like IBM, CyberArk, TrustBuilder, Ping, Omada and Okta.

SecurIT and PSG are announcing the merger of their business operations to offer Identity and Access Management (IAM) solutions organizations globally. SecurIT has acquired the PSG assets, talent and customer contracts and the merged business will operate under the SecurIT brand.

PSG, founded in 2005, delivers IAM expertise that empowers large organizations to make business critical applications available to their IT users with ease, while maturing their security posture. Its rich heritage in IAM and combined with long-standing partnerships with IBM provided a market leading proposition.

Rob Bus, CEO/Owner of SecurIT commented “With this acquisition we not only expand geographically, but we also substantially enlarge our offerings, skillset and customer base, creating evident benefits and opportunities for all stakeholders. We are very proud that the specialists of PSG join our team. Combined we will form a team of over 60 specialists in this fascinating security domain.”

“PSG offers an exciting opportunity for SecurIT to continue growing as the market globally” explains Terrah Carawan, CEO of PSG. “With this expansion of talent and solution offerings, the acquisition of PSG enables a single business partner to mature the Identity and Access Management of global organizations as they face security challenges in this technology advanced era”.

SecurIT is an IAM solutions provider and systems integrator based in Amsterdam, Netherlands with customers throughout Europe and the US. It has been solely focused on advancing the IAM capabilities for organizations since the year 1999. Since its inception, SecurIT’s business and service offerings have evolved to meet the growing security demands of the dynamic and maturing enterprise market. To be the market leading systems integrator in IAM solutions, SecurIT has made client partnership the central element to everything that it does.

Contact info:
Name: Rob Bus, CEO
Organization: SecurIT B.V.
Address: Overschiestraat 184-K, 1062 XK Amsterdam, The Netherlands
Phone: +31 (0)20 408 44 27

Name: Terrah Carawan, VP Worldwide Business Development
Organization: SecurIT USA, Inc.
Address: 10 Patewood Drive, Suite 250, Greenville, SC 29615
Phone: + 1 (866) 310-9540

Okta Named a Leader in the Gartner Magic Quadrant for Access Management

This week, Gartner released its second Magic Quadrant for Access Management, Worldwide, and Okta was once again named a Leader. They placed highest in “ability to execute” in the report, a recognition Okta also held last year.

Gartner’s recognition follows continued momentum for Okta, including its recent customer conference, Oktane18, where the company launched Sign In with Okta, Project Onramp, API Products for One App and ThreatInsight. At Oktane18, Okta also unveiled new partnerships with VMware’s Workspace ONE and Workplace by Facebook. Okta also continues to expand globally, recently announcing that it will be doubling the size of its San Jose office and opening new offices in Washington, D.C., Paris and Stockholm.

According to Gartner, “Access management applies to technologies that use access control engines to provide centralized authentication, single sign-on (SSO), session management and authorization enforcement for target applications in multiple use cases (e.g., B2E, B2B and B2C). Target applications may have traditional web application architectures, native mobile architectures or hybrid architectures. Increasingly, target systems include APIs. Smart or constrained devices with or without human operators may be incorporated as well. Applications may run on the customers’ premises or in the cloud.”

You can read the details and download the full report here.

Gartner Magic Quadrant Access Management 2018

Privileged Account Management is #1 Security Project in 2018 for CISO’s says Gartner

At the beginning of this month Gartner had their annual Security & Risk Management Summit. The event is always a valuable opportunity to learn from top CISOs and security and risk management professionals, to explore leading-edge research and to discuss emerging cyber security trends.

Although there were a number of excellent presentations throughout the week, one in particular stood out based on its pragmatic guidance and actionable takeaways. Also, organizations have long term strategic security programs, but they need to demonstrate quick wins along the way.

In his talk, “Top 10 Security Projects for Security and Risk Management Organizations,” Gartner VP and Distinguished Analyst Neil MacDonald outlined the top 10 security projects for 2018, based upon a number of criteria: the emerging technologies that support the project are not yet mainstream; the project helps deliver against the CARTA (continuous adaptive risk and trust assessment) approach; and the project has high risk reduction versus resources required as compared to alternatives.**  MacDonald identified privileged account management (PAM) as the #1 focus for organizations.

In our opinion, strategic privileged account management projects should be expanded into a longer term program. Comprehensive privileged account management that extends protections to other users and applications across the enterprise, in the cloud, at the endpoint and throughout the DevOps pipeline, will take an integral project to the next level.

Ready to get started?  Start by prioritizing the implementation of controls for protecting privileged credentials to drive tangible results quickly. A CyberArk report, “Rapid Risk Reduction: A 30-Day Sprint to Protect Privileged Credentials,” outlines a proven framework for an intensive sprint of approximately 30 days to help reduce risk and achieve quick wins.

Don’t stop there. After demonstrating the value of protecting privilege across high-risk areas to key stakeholders, it’s time to take a phased approach to expand coverage to new areas, evolving these projects into long-term, business-critical cyber security programs.  For guidance, we encourage you to download the CyberArk  Privileged Access Security Hygiene whitepaper.

*Gartner, Smarter with Gartner, Gartner Top 10 Security Projects for 2018, June 6, 2018

**Gartner, Gartner Security & Risk Management Summit 2018 agenda,


SecurIT’s participation at Heliview IAM congress 2018

We look back at a successful day at the Heliview IAM congress 2018 . A combination of inspiring sessions about what’s hot in the IAM landscape. The day was divided in three different themes: Getting the basics right and get in control, IAM scalability and flexibility in different IAM infrastructures (hybrid, cloud and on-prem), Future ready IAM. For our presentation we focused on the second theme.

Peter Giervield, Security Architect at SecurIT was one of the speakers. Our presentation was about “Getting the Cloud under control” and SecurIT’s Best Practices. SecurIT’s best practices (SBP) is a method we use to help our clients with the whole IAM project. It’s basically a basic installation based of all the previous expertise, where 90% is preset and 10% can be customized. It speeds up the process to get to the first actual production deployment. It’s optional, custom projects will always be possible, they just require more time.

He also talked about the cloud, and how “the cloud” doesn’t exist, as in one single cloud. There are many different cloud solutions such as Private, Public or Hybrid clouds. But also, IaaS/PaaS/SaaS/FaaS/MSaaS and XaaS with all kinds of different deployment models. Currently we notice that clients mostly look at the following vendors: Amazon (AWS), Google (Google Cloud), Microsoft (Azure), IBM (IBM Cloud), Digital Ocean etc.

On the exhibition floor there were many different IAM solution providers pitching their solutions. We were able to tell people about our company as implementation partner of different IAM solutions. And how we differentiate ourselves from other implementation partners. Mainly by having a permanent staff in a business where knowledge sharing is key and the 18 years experience we bring with us.

We hope to see you at our next events. Got any questions? Give us a call.