In elke organisatie is het van belang om toegangsrechten vanaf het moment van indiensttreding tot en met de beëindiging van een contract te controleren. Autorisatiebeheer kan een lastige en tijdrovende klus zijn als je niet weet waar je moet beginnen. Autorisatiebeheer is het proces waarin toegangsrechten worden vastgelegd van de in gebruik zijnde systemen, ruimtes en/of gebouwen. De toegangsrechten worden gekoppeld aan de rol en verantwoordelijkheden die een medewerker heeft. Om het autorisatieproces goed in te richten, is het handig om een autorisatiematrix te gebruiken. Met een autorisatiematrix kun je inzien wie binnen de organisatie toegang heeft tot welke informatie en waarom. Met onderstaande tips kun je op een eenvoudige manier een autorisatiematrix opstellen.
1) Vooraf inventariseren
Je moet allereerst een inventarisatie maken van de applicaties, ruimtes en/of gebouwen. Breng in kaart wie toegang heeft tot welke systemen en hoe de beveiliging ervan is geregeld.
2) Gebruikersgroepen aanmaken
Maak nu per applicatie gebruikersgroepen aan en verdeel deze aan de hand van functies of afdelingen. Per applicatie geef je aan welke toegangsrechten nodig zijn, gebaseerd op het “need-to-know” principe. Zo krijg je inzichtelijk welke medewerkers toegang nodig hebben tot welke systemen en fysieke locaties.
3) Huidige toegangsrechten beoordelen
Het is erg belangrijk om de huidige rechten te beoordelen. Wie heeft welke rechten nodig voor de uitvoering van hun functie? Houd er rekening mee dat werknemers alleen toegang nodig hebben tot systemen en fysieke locaties die zij echt nodig hebben voor het uitvoeren van hun werk (‘need-to-know principe’). Zo heeft bijvoorbeeld een secretaresse niet dezelfde toegangsrechten nodig als een afdelingsleider.
4) Overeenkomsten
Bij deze stap breng in kaart welke rechten een gebruikersgroep nodig heeft en welke overeenkomsten er zijn. Je kunt de rollen bij de bijbehorende rechten koppelen.
5) Speciale toegangsrechten
Breng ook in kaart of er nog medewerkers zijn die speciale toegangsrechten nodig hebben. Zorg wel ervoor dat je deze speciale rechten alleen toekent aan een selecte groep medewerkers. Hoe meer medewerkers speciale rechten hebben, hoe kwetsbaarder de organisatie is voor datalekken.
6) Autorisatiematrix opstellen
Breng nu alle informatie samen in een autorisatiematrix. In je matrix geef je per gebruiker of rol aan welke rechten en groepen gekoppeld moeten worden. Een autorisatiematrix bestaat tenminste uit de volgende onderdelen:
7) Vaststelling
Het is van belang om de autorisatiematrix te laten controleren. Dit kun je vragen aan de verantwoordelijke van de betreffende applicatie(s) en/of de afdelingsmanager(s) als het om een afdelingsoverstijgende applicatie gaat.
8) Toepassing
Na controle en goedkeuring, kun je de rechten toekennen. Je moet de wijzigingen zowel in de applicatie als in de autorisatiematrix goed bijhouden.
9) Controle
Voer periodiek controles uit om te checken of de autorisatiematrixen nog actueel zijn. Zeker in grote organisaties vinden veel veranderingen plaats en is er veel wisseling van personeel. Als een werknemer een team/afdeling verlaat, moet er gecheckt worden of er iets aangepast moet worden als het gaat om zijn/haar rechten binnen een systeem of gebouw. Daarnaast moet bij een aanvraag voor toegang tot een systeem of gebouw ook goed gecheckt worden of iemand die toegang wel echt nodig heeft.
10) PDCA
Met de PDCA-cyclus kan je de kwaliteit van de autorisatiematrix verbeteren en naar een hoger niveau tillen. Evalueer tenminste één keer per jaar de autorisatiematrix, zodat het actueel blijft.
Cybercriminelen vormen een voortdurende dreiging in de digitale wereld en zoeken continu naar zwakke plekken om binnen te dringen. Vooral mkb-bedrijven lopen extra risico, omdat
Zorg- en welzijnsorganisaties verwerken dagelijks veel gevoelige informatie. Denk aan patiënt- of clientgegevens, behandelplannen of financiële dossiers. Deze data vraagt om zorgvuldige bescherming. Toch gebruiken
Organisaties verwerken dagelijks grote hoeveelheden persoonsgegevens. Die gegevens zijn vaak ook gevoelig en verdienen een goede bescherming. Iedereen moet zorgvuldig omgaan met persoonsgegevens. AVG stelt
