In het onderzoek (en door de wijze van uitvoeren van het onderzoek) zijn een aantal beperkingen aanwezig, waarmee een gebruiker van het ontwikkelde model rekening dient te houden. Deze beperkingen betreffen:
- Zoals in paragraaf 1.5 scoping beschreven, is autorisatie niet meegenomen in dit onderzoek. Dit is wel een onderdeel van het toegangscontroleproces. Aangezien dit deel niet belicht is, geeft het onderzoek geen volledig beeld van het
toegangscontroleproces, maar geeft het enkel conclusies over het onderdeel authenticatie en de hieraan gerelateerde identificatie.
- Bij het opstellen van het model op basis van theorie is getracht een zo uitgebreid en relevant mogelijke basis te krijgen om het model te onderbouwen. Er is echter een keuze gemaakt in literatuur en literatuur die gerelateerd is aan het onderzoek is sterk in ontwikkeling, waardoor mogelijk zienswijzen en onderbouwingen
ontbreken die het model verder kunnen verfijnen of die het model aanpassen. - Voor het valideren van het model is gekozen om ongestructureerde (diepte)
interviews te houden. Hieraan zitten zoals in paragraaf 5.3 en 5.5 beschreven een aantal belangrijke voordelen. Deze methode heeft echter ook beperkingen, in de zin dat mogelijk het interview door de interviewer is gestuurd, dat de interviewer een eigen interpretatie geeft aan antwoorden van de geïnterviewden en dat relevante onderwerpen niet of onvoldoende zijn belicht.
- De praktijktoets van het onderzoek is middels drie interviews en één casestudie uitgevoerd. De keuze voor dit aantal wordt onderbouwd in paragraaf 5.3 en 5.5. Het uitbreiden van het aantal interviews (en ook mogelijk de duur van de
uitgevoerde interviews) en het aantal casestudies zou ertoe bij kunnen dragen dat de praktijktoets verder versterkt wordt.
- Voor het hanteren van het ontwikkelde onderzoek model is inschatting door een deskundige (oftewel professional judgement) benodigd. Bij stappen twee (analyse systeeminrichting) en drie (risico inschatting) van het onderzoeksdoel wordt een kwantificering opgenomen. Deze kwantificering zelf is een inschatting door een deskundige. Ook het vertalen van de sterkte van systeeminrichtingen per niveau naar een risico inschatting per niveau van systeeminrichting is een oordeel door een deskundige. Deze koppeling is, zoals ook beschreven in hoofdstuk 6, niet op basis van een berekening te maken. De reden hiervoor is dat juist specifieke combinaties van verschillende sterke of zwakke systeeminrichtingen per niveau leiden tot een risico-inschatting door een gebruiker van het onderzoek model. Een voorbeeld hiervan is dat het ontbreken van encryptie op data at rest
gecombineerd met het ontbreken van SQL-injectie preventie op het niveau van systeembeveiliging, gezamenlijk kan leiden tot een zeer hoog ingeschat risico, ongeacht of overige systeeminrichtingen op het niveau van systeembeveiliging zeer sterk zijn. Het gevolg hiervan is dat het ontwikkelde model enkel gebruikt en geïnterpreteerd kan worden door een specialist in het uitvoeren van IT-audits (zoals een EDP-auditor of een ethical hacker). Bij het gebruik van het model is het aan te bevelen om overwegingen vast te leggen voor het inschatten van de
sterkte van systeeminrichtingen en hieruit volgend risico-inschattingen voor niveaus van systeeminrichting.
8.2 Implicaties van het ontwikkelde model voor de auditor
Dit onderzoek heeft geleid tot een model dat door een specialist in het uitvoeren van IT- audits gehanteerd kan worden. Het model kan in de praktijk verschillende toepassingen hebben:
- Het model is primair ontwikkeld voor een risicogerichte audit op authenticaties. Uit het onderzoek volgt een model dat een specifieke risico inschatting oplevert dat in verschillende soorten audits gebruikt kan worden. Het model heeft een flexibiliteit, dat het geschikt maakt voor een groot aantal soorten audits. Een auditor kan immers kiezen om op specifieke aanvallen uit het model te auditen en/of kan kiezen om geselecteerde niveaus van systeeminrichting in de scope van de audit op te nemen. Toepassingen van het model ten behoeve van audit kunnen bijvoorbeeld jaarrekeningcontroles, ISO 27001 certificeringen en ISAE 3402 audits zijn. Het model is passend om een invulling aan risico inschatting voor deze
opdrachten te geven.
- Voor adviesopdrachten kan het ontwikkelde model ook waardevol zijn. Zo kan het
model worden gehanteerd bij een kwetsbaarheidsscan (zoals in de casestudie gebruikt) of bij een nulmeting, waarbij een analyse wordt gemaakt van de huidige inrichting van systemen bij een klant. Hiermee kan advies worden gegeven over risico’s in de huidige systeeminrichting door verschillende soorten aanvallen.
8.3 Aanvullend onderzoek
In dit onderzoek is een model ontwikkeld voor het risicogericht analyseren van authenticatie. Het model is gevalideerd en getoetst, maar dient nog uitgebreid in de praktijk gebruikt worden. Aanvullende informatie over het ontwikkelde model kan verkregen worden nadat voldoende populatie van gebruik van het model ontstaat en de resultaten kunnen worden geanalyseerd en vergeleken met andere ontwikkelde
modellen.
Zoals aangegeven in paragraaf 7.2 zijn er sterke ontwikkelingen in onderwerpen van het onderzoek (m.n. authenticatie, aanvallen en systeeminrichtingen die hiertegen
beschermen). Middels aanvullend onderzoek dient het ontwikkelde model actueel gehouden te worden, zodat dit een juist en volledig beeld blijft geven van risico’s op aanvallen op authenticatie.
Het model kan hiernaast verder worden uitgebreid door hier autorisatie als het laatste deelproces van het toegangscontroleproces aan toe te voegen. Dit maakt het model vollediger in het kader van het maken van een risico inschatting.
Tot slot kan de mogelijkheid onderzocht worden om het model verder te automatiseren. In de huidige opzet wordt op basis van professional judgement een relatie gelegd tussen (een combinatie van) systeminrichtingen en de kwantificering van risico’s op aanvallen. Dit is niet geautomatiseerd omdat het onderbouwen van een geautomatiseerde koppeling hiertussen niet op een redelijke wijze uitvoerbaar bleek (zie paragraaf 6.1). Mogelijk kan met een gericht aanvullend onderzoek een geautomatiseerde koppeling tussen