Bij autorisatiebeheer draait het om het toewijzen van de juiste (toegangs-)rechten aan de juiste personen. Er zijn verschillende mogelijkheden of principes om dit uit te kunnen voeren. Zo is het mogelijk om personen aan een functie of rol te koppelen zodat slechts de daarbij behorende informatie zichtbaar is. Het is ook mogelijk om autorisatie andersom te beheren: informatie is niet beschikbaar tenzij anders aangegeven.

Het goed uitvoeren van autorisatiebeheer is zeer belangrijk. De informatiebeveiliging staat of valt met goed autorisatiebeheer. Onder autorisatiebeheer valt meer dan slechts toegang geven tot een bepaalde software/applicaties. Ook andere bedrijfsgegevens en digitale diensten of de toegang tot fysieke ruimtes en gebouwen vallen hieronder. Daarnaast ook devices zoals telefoons, laptops en tablets.

Verlies niet je grip op de vele en vaak complexe aspecten van informatiebeveiliging. Krijg eenvoudig ondersteuning via e-mail. Meld je aan en ontvang direct het whitepaper 'De 7 principes van Privacy by Design' gratis.

 

Ondanks dat goed autorisatiebeheer zeer belangrijk is, komen toch vaak dezelfde problemen terug. Deze fouten of problemen kunnen eenvoudig vermeden en opgelost worden:

  1. Te veel kijken op applicatieniveau
  2. Wildgroei aan rollen en groepen
  3. Speciale permissies over het hoofd zien
  4. Verantwoordelijkheden zijn onvoldoende belegd
  5. Het niet uitvoeren van periodieke controles
  6. Geen reviews doen

Lees verder onder de afbeelding.

autorisatiebeheer - man werkt op laptop

1. Te veel kijken op applicatieniveau

Autorisatiebeheer omvat veel meer dan slechts toegang tot applicaties. Door te veel te kijken op applicatieniveau wordt het autorisatiebeheer te specifiek en foutgevoelig. De structuur wordt al snel complex en omvangrijk, waardoor er gemakkelijk fouten gemaakt kunnen worden. Daarnaast is het controleren van autorisaties erg lastig of zelfs niet meer mogelijk. Oftewel, het paard wordt achter de wagen gespannen. 

Oplossing

Voor een zo overzichtelijk mogelijk autorisatiebeheer is het vaak beter om op hoger niveau te kijken, bijvoorbeeld vanuit processen. Informatiesystemen zijn een soort tussenvorm waarbij u niet één applicatie, maar alle informatie-houdende zaken met betrekking tot een bepaald proces meeneemt.

2. Wildgroei aan rollen en groepen

Wanneer uw organisatie geen beleid heeft op het gebied van autorisatiebeheer, wordt er van alles toegevoegd en vaak nooit meer verwijderd. Denk aan medewerkers met meerdere accounts, terwijl slechts één account per persoon gewenst is. In de loop van de tijd zijn er dan veel rollen toegevoegd aan het systeem. Elk met diverse specifieke rechten. Er zijn soms zo veel rollen toegevoegd, dat er totaal geen overzicht meer is. Uiteraard is het overzicht te behouden met een autorisatiematrix, maar controle en naleving zijn moeilijk vanwege de omvang.

Oplossing

Om het grote aantal rollen en groepen overzichtelijk te houden, is het noodzaak om deze af en toe samen te voegen en op te schonen. Hierdoor krijgen mogelijk enkele gebruikers iets meer rechten dan strikt noodzakelijk, maar dit is vaak beter dan de hierboven omschreven wildgroei van rollen en groepen. Uiteraard is dit een belangrijke afweging.

Daarnaast is het ook zaak om de toegewezen rollen en groepen regelmatig te controleren en op te schonen. Zo blijft de toegewezen autorisatie actueel.

3. Speciale permissies over het hoofd zien

Wanneer het overzicht in autorisatiebeheer zoek is, is het ook makkelijker om speciale permissies over het hoofd te zien. Diverse medewerkers, vaak IT beheerders, hebben aanzienlijk meer mogelijkheden dan de normale medewerkers, met de nodige risico’s van dien. Speciale permissies zijn bijvoorbeeld beheerfuncties (denk aan gebruikers beheer) en management-functies (denk aan autorisatie van betalingen). Permissies waar een enkeling met deze speciale rechten al veel kwaad kan doen. Hierdoor wordt het risico met betrekking tot informatiebeveiliging aanzienlijk groter.

Oplossing

Het is verstandig om het aantal gebruikers met speciale permissies te beperken. In sommige gevallen is het beter om een extra rol met bepaalde speciale permissies te creëren, dan alle speciale permissies in één rol te combineren. Dit lijkt het tegenovergestelde van het probleem rondom de wildgroei, echter beperkt u in deze situatie het aantal personen en niet de rollen. Het aantal speciale rollen is uiteindelijk altijd beperkt omdat u maar één beperkt aantal medewerkers een speciale rol zult toewijzen.

4. Verantwoordelijkheden zijn onvoldoende belegd

Theoretisch gezien zou de proces-/systeemeigenaar verantwoordelijk moeten zijn voor het  autorisatiebeheer. Echter is dit in de praktijk vaak anders. Daar is het vaak zo dat het autorisatiebeheer in handen is van de IT en dat zij alle rollen en permissies zonder goede beoordeling goedkeuren/toepassen. 

Oplossing

Om het autorisatiebeheer overzichtelijk te houden, is het verstandig om de procesverantwoordelijken de controle in handen te geven. Zij dienen hun goedkeuring te geven wanneer andere medewerkers een rol of specifieke rechten toegewezen willen krijgen. Hierin kunnen zij wel ondersteund worden door de IT afdeling.

periodieke controles - man schrijft op papier

5. Het niet uitvoeren van periodieke controles

Veel organisaties en bedrijven voeren geen periodieke controles uit op het  autorisatiebeheer. Het kan zijn dat dit wordt vergeten of dat het bedrijf vertrouwt op de techniek. Hierdoor ontstaan fouten in de inrichting van applicaties. Deze fouten worden niet opgemerkt en blijven daardoor lang bestaan. 

Voorbeeld: Een medewerker gaat uit dienst, maar doordat niemand het autorisatiebeheer in de gaten houdt, heeft hij nog heel lang toegang tot bepaalde applicaties. Ook kan het zijn dat een medewerker van functie veranderd, maar dat dit niet wordt doorgevoerd in de applicatie(s).

Oplossing

De controle op autorisatiebeheer blijft nodig, ook wanneer dit centraal geregeld wordt met behulp van Active Directory / IAM oplossingen. Om fouten te voorkomen dient er minimaal jaarlijks, maar bij voorkeur iedere 3 of 6 maanden, een controle uitgevoerd te worden.

6. Geen reviews doen

Er worden geen reviews gedaan van tijd tot tijd. De organisatie verandert en daarmee ook wat mensen doen of moeten kunnen. In applicaties wordt dit vaak wel doorgevoerd maar in de afspraken niet. Als het dan mis gaat, bijvoorbeeld bij een datalek, dan is niet meer aan te tonen wie wat heeft gedaan en blijft de organisatie dus in gebreke.

Oplossing

Het is belangrijk om regelmatig een review te doen van de afgesproken autorisaties om onduidelijkheden te voorkomen. Een review is gemakkelijk te combineren met een periodieke controle, minimaal één keer per jaar. Zo vangt u direct twee vliegen in één klap. Doe de review voorafgaand aan de controle om fouten en onjuistheden te ontdekken. Daarnaast is het belangrijk om een review uit te voeren op het moment dat er belangrijke wijzigingen plaats vinden.

Uw autorisatiebeheer op orde

Hebt u aan de hand van de oplossingen bij de bovenstaande zes problemen uw autorisatiebeheer op orde kunnen krijgen? Of loopt u nog tegen problemen aan? Wij helpen u graag op het gebied van autorisatiebeheer en informatiebeveiliging. Neem vrijblijvend contact met ons op, wij staan graag voor u klaar.

 

Benieuwd welke editie het beste bij uw organisate past?

Wij helpen bedrijven met hun digitale veiligheid