Autorisatiebeheer is een belangrijk onderdeel van informatiebeveiliging. Het is belangrijk dat de juiste personen de juiste toegang hebben tot de juiste gegevens en systemen. Een autorisatiematrix is een handig hulpmiddel om dit overzicht te houden.

In deze blogpost leggen we uit wat een autorisatiematrix is en hoe je er een kunt opstellen. Tevens laten we een voorbeeld zien van een autorisatiematrix. We geven ook enkele tips voor het optimaliseren van je autorisatiebeheer.

De 10 stappen voor het opstellen van een autorisatiematrix:

  1. Inventarisatie vooraf
  2. Inventarisatie gebruikersgroepen
  3. Rechten bepalen
  4. Rechten groeperen
  5. Inventarisatie speciale permissies
  6. Stel de autorisatiematrix op
  7. Controle en vaststelling autorisatiematrix
  8. Toepassen van de autorisaties
  9. Periodieke controles
  10. Reviews

Autorisatiematrix opstellen - twee vrouwen werken op laptop

Wat is een autorisatiematrix?

Een autorisatiematrix is een tabel waarin de rechten van gebruikers op verschillende systemen en gegevens worden weergegeven. De matrix maakt het mogelijk om snel te zien welke gebruikers wel en welke niet bepaalde rechten dienen te hebben.

Om de rechten - autorisaties - die gebruikers krijgen in verschillende applicaties overzichtelijk te houden worden deze per applicatie / systeem en per gebruikersrol (of functie) in een matrix - of tabel - gezet waarbij snel duidelijk is welke autorisaties een gebruiker dient te hebben op basis van zijn/haar functie(s) in de verschillende systemen. Deze matrix heet de autorisatiematrix en wordt gebruikt bij het uitgeven, wijzigen of intrekken van de rechten van een gebruiker.

Het opstellen van een autorisatiematrix kan een lastige klus zijn als u niet weet hoe u moet beginnen. Onder autorisatiebeheer valt veel meer dan slechts toegang tot bepaalde software applicaties. Denk bijvoorbeeld ook aan het verlenen van toegang tot bepaalde ruimtes of gebouwen, maar ook aan telefoons, laptops en tablets. Al deze elementen dienen te worden meegenomen in een autorisatiematrix.

10 stappen naar een autorisatiematrix

Het opstellen van een autorisatiematrix kan een tijdrovend proces zijn, maar het is de moeite waard om te doen. Hier zijn 10 stappen die je kunt volgen:

1. Inventarisatie vooraf

Voordat u aan de autorisatiematrix kunt beginnen, is het belangrijk om te weten wat de huidige stand van zaken is binnen uw organisatie. Inventariseer daarom de huidige informatiesystemen en -processen. Neem hierbij ook fysieke ruimtes mee en apparatuur.

2. Inventarisatie gebruikersgroepen

Inventariseer per informatiesysteem en -proces de gebruikersgroepen. Vaak hebben deze overeenkomsten met bedrijfsstructuren, zoals verschillende afdelingen of bepaalde functies. Zorg dat u voor uzelf duidelijk heeft welke gebruikersgroep welk informatiesysteem of -proces beheert.

3. Rechten bepalen

Bepaal per gebruikersgroep welke rechten zij nodig hebben. Deze rechten zijn vaak in te delen in:

  • Leesrechten van gegevens;
  • Mogelijkheden tot aanmaken van gegevens;
  • Mogelijkheden tot wijzigen van gegevens;
  • Mogelijkheden tot verwijderen van gegevens;
  • Uitvoeren van specifieke functies.

4. Rechten groeperen

Nu u weet van iedere gebruikersgroep welke rechten zij nodig hebben, kunt u de rechten groeperen in bepaalde rollen. In de meeste applicaties zijn deze rollen al aanwezig en hoeft u slechts de juiste rechten te koppelen aan de rol. In andere gevallen dient u de rol nog aan te maken.

5. Inventarisatie speciale permissies

Ga per informatiesysteem- en proces na welke speciale permissies (rechten) er zijn. Vaak hebben deze permissies te maken met beheerder- of administrator rechten. Een voorbeeld hiervan is het aanmaken en/of wijzigen van gebruikers. Voor deze permissies geldt dat deze aan zo klein mogelijke groepen of enkel aan specifieke personen toegewezen dienen te worden.

6. Stel de autorisatiematrix op

Leg alle gevonden informatie, gebruikersgroepen en rollen vast in een autorisatiematrix. Geef per rol aan welke rechten en welke groepen daar aan gekoppeld dienen te worden.

Autorisatiematrix voorbeeld:

autorisatiematrix voorbeeld

7. Controle en vaststelling autorisatiematrix

Laat de autorisatiematrix door de verantwoordelijke van ieder informatiesysteem en -proces controleren en goedkeuren. Pas vervolgens de matrix aan door de ontvangen feedback te verwerken. Zo weet u zeker dat u niets over het hoofd ziet.

8. Toepassen van de autorisaties

De vastgestelde autorisaties dienen uiteraard te worden toegepast. Vaak is de bestaande inrichting hier niet mee in overeenstemming. Daardoor dienen binnen de organisatie de benodigde aanpassingen te worden gedaan.

9. Periodieke controles

Binnen autorisatiebeheer kan regelmatig het een en ander veranderen. Daarom is het van belang om periodieke controles uit te voeren om te kijken of de autorisatiematrix nog in orde is. Hierbij kijkt u of de toegepaste rollen en autorisaties nog in overeenstemming zijn met de autorisatiematrix. De autorisatiematrix wordt toegepast in de verschillende systemen. Ook kijkt u of er wellicht aanpassingen nodig zijn. Voer deze aanpassingen direct door. Voer een periodieke controle minstens één keer per jaar uit, liefst vaker - bijvoorbeeld elke 3 maanden.

10. Reviews

Tot slot is het belangrijk om de autorisatiematrix zelf zo nu en dan te reviewen. Hierbij kijkt u of de matrix (als beleid) nog voldoet aan de wensen en behoeften. Na deze aangepast te hebben dient deze opnieuw vastgesteld en toegepast te worden (zie stappen 7 en 8). Een dergelijke review zou minimaal één keer per jaar uitgevoerd moeten worden, bijvoorbeeld voorafgaand aan de periodieke controle.

Tips voor het optimaliseren van je autorisatiebeheer

Naast de 10 stappen hierboven zijn er nog een aantal andere dingen die je kunt doen om je autorisatiebeheer te optimaliseren:

  • Gebruik een autorisatiebeheertool. Er zijn verschillende autorisatiebeheertools beschikbaar die je kunnen helpen bij het beheren van je autorisaties.
  • Automatiseer waar mogelijk. Veel taken met betrekking tot autorisatiebeheer kunnen worden geautomatiseerd.
  • Houd je documentatie up-to-date. Zorg ervoor dat je documentatie over je autorisaties up-to-date is.
  • Communiceer met gebruikers. Zorg ervoor dat gebruikers weten hoe ze autorisaties kunnen aanvragen en intrekken.
  • Train gebruikers. Train gebruikers in het gebruik van de autorisatiematrix.

Waarom autoriseren met een autorisatiematrix

Elke applicatie die niet vrij toegankelijk is voor iedereen of willekeurige personen moet een controle uitvoeren op de identiteit van de persoon, of gebruiker, die toegang wil tot de applicatie. Dit heet authenticatie en vindt veelal plaats op basis van een gebruikersnaam, wachtwoord, speciale code et cetera.

Binnen een applicatie hebben verschillende personen (of gebruikers) vaak verschillende rechten, zogeheten autorisaties. Met behulp van deze rechten kan bepaald worden wat een persoon mag zien en doen binnen de applicatie. Wanneer een persoon / gebruiker dergelijke rechten toegewezen krijgt heet dit 'autoriseren'.

Uw autorisatiebeheer verbeteren

Een autorisatiematrix is een belangrijk hulpmiddel voor het beheren van je autorisaties. Door een autorisatiematrix op te stellen en te onderhouden, kun je ervoor zorgen dat de juiste personen de juiste toegang hebben tot de juiste gegevens en systemen.

Ondanks dat u met de bovenstaande stappen een goede autorisatiematrix in handen hebt en houdt, komen toch vaak dezelfde problemen rondom autorisatiebeheer terug. Veel van deze fouten kunt u eenvoudig vermijden. Lees in ons blog alles over veelgemaakte problemen (en oplossingen) bij autorisatiebeheer.

Hebt u aan de hand van het stappenplan uw autorisatiematrix kunnen creëren? Of loopt u nog tegen problemen aan? Wij helpen u graag op het gebied van informatiebeveiliging. Neem vrijblijvend contact met ons op, wij staan graag voor u klaar.

 

Een autorisatiematrix opstellen doe je eenvoudig met Base27.

Wij helpen bedrijven met hun digitale veiligheid