Dat is een goede vraag. Het eerlijke antwoord is dat het varieert. Formeel antwoord is altijd checken bij security officer. Die meestal alleen bij de grotere bedrijven actief is…
Daarom toch wat praktische tips, zonder enige pretentie op kloppend of volledig:
Eerste stap is vaststellen wat het ambitieniveau is. Voor tot personen herleidbare gegevens (contactpersonen bijvoorbeeld) en niet-terugdraaibare financiële transacties (facturen inschieten en betaling accorderen) geldt vaak een hoog niveau, bijvoorbeeld met twee van de drie: kennis (bijvoorbeeld wachtwoord), locatie (bijvoorbeeld LAN achter gesloten deur) en bezit (bijvoorbeeld telefoon met TOTP-app of tokenreader).
Daarna kijken of dit ambitieniveau gerealiseerd kan worden en welke waarborgen er zijn. Denk aan de pilaren uit Basel 2 inclusief markttucht. Hebben ze zaakjes op orde bestaande uit functiescheiding, user controls (let er iemand op wat er gebeurt?), process controls (wordt software code nagekeken voordat die uitgeleverd wordt) en application controls (worden er automatisch acties uitgezet als er rare dingen gebeuren)? En als een partij iets erg doms doet, doet dat hun dan geen pijn (Exchange Server bug op dit moment) of juist veel pijn (Arthur Anderson of Diginotar).
In dit specifieke geval met vastleggen van credentials in Azure heb ik gemengde gevoelens.
Vrijwel iedere Power BI gebruiker legt credentials vast in Azure waarmee toegang te krijgen is tot bedrijfsvertrouwelijke gegevens. En aangezien Microsoft voor Azure zo’n pakweg 250.000 IP-adressen (locaties) opgeeft, is het ondoenlijk en ook zinloos om die nog te beschouwen als een gesloten deur: er zitten te veel andere partijen op.
De Nederland BI-markt zegt blijkbaar dat het voldoende is. Vanuit Invantive ben ik er als eindverantwoordelijke niet tevreden mee, maar we hebben de markt te volgen en proberen in ieder geval te zorgen dat onze oplossingen in ieder geval boven marktnorm liggen. Dat lijdt af en toe tot afhaken van prospects; dat accepteren we tot op gewisse hoogte als gevolg van wat strikter in de leer zijn.
Tenslotte: merk op dat Invantive Cloud geen Power BI-gateway nodig heeft (zie Heeft Invantive Cloud Power BI Gateway nodig?).