Stappenplan: Inrichten & managen autorisatiebeheer

Bovenstaande doet men natuurlijk niet alleen: op basis van interviews met middenmanagement en directie kan men bovenstaande tabel (of een variant hierop) invullen. Benader hiervoor bijvoorbeeld reeds bekende proces-/risico-/asset-owners.

Enkele begrippen uit bovenstaand schema uitgelegd:

• Owner: De verantwoordelijke functionaris (veelal: manager/directie) voor betreffend systeem van betreffende autorisatiematrix.
• Functionaris: Medewerkers welke een specifiek functieprofiel toegekend hebben gekregen. Het kan hier ook om een functiegroep gaan (verschillende functieprofielen van 1 of meerdere afdelingen). Sommige organisaties gaan soms nog een laag verder dan functionarissen, door ook rollen te benoemen die ingevuld worden door medewerkers.
• Speciale rechten: Het kan zijn dat er behoefte is om een onderscheid te maken v.w.b. het toegangsniveau voor kritieke systemen/applicaties/locaties ingegeven door het risicoprofiel. Denk bijvoorbeeld aan een grote interne beheerdersafdeling waarvan slechts een aantal functionarissen beheer mogen doen op kritieke infrastructurele componenten.
• Wanneer verstrekt: het kan zijn dat men ervoor gekozen heeft bepaalde toegangsrechten niet direct bij de start van het dienstverband uit te delen.
• Risicoprofiel: Op basis van een eenvoudige checklist (BIA) komt men tot een risicoprofiel van betreffend systeem/applicatie/locatie. Denk hierbij bijvoorbeeld aan de impact van onbeschikbaarheid van betreffend systeem of locatie, danwel de gevolgen van een datalek m.b.t. betreffend systeem aan de hand van de hier in verwerkte data.

Uiteraard zijn er tal van IAM-tools die bij bovenstaande inventarisatie (en verder in het proces) kunnen helpen. Ook is het belangrijk te vermelden dat de vastlegging van de inventarisatie niet alleen belangrijke input kan zijn voor het verwerkingsregister persoonsgegevens, maar bij een deugdelijke implementatie (afwijkend op bovenstaande) via één en hetzelfde format vastgelegd en beheerd zou kunnen worden.

• Ervoor zorgdragen dat de afgestemde gewenste situatie (voor vastgestelde datum) ingericht is.
• De gewenste situatie periodiek dienen te verifiëren en evalueren.
• Verantwoordelijkheid nemen de huidige situatie te handhaven en daarmee: afwijkingen op (incidentmelding) en mutaties binnen de naleving van de autorisatiematrix borgen en wanneer benodigd actualiseren.

Om dit te realiseren zullen ondersteunende activiteiten of hieraan gerelateerde processen ingericht/geüpdatet moeten worden:

• Verstrekken van autorisaties aan personeel (bijv. naar aanleiding van nieuw aangenomen personeel, nieuwe functies).
• Wijzigen van autorisaties bestaand personeel (bijv. naar aanleiding van functiewijzigingen, promotie of demotie).
• Intrekken van autorisaties naar aanleiding van vertrekkend personeel.
• Aankopen van locaties, systemen of applicaties bij desbetreffende aanbieders.

Let op: waar ‘personeel’ staat, kan ook ‘ingehuurde derden’, bedoeld worden.

• Laat de volledige autorisatiematrix en dus alle componenten controleren (m.b.t. de voorbeeldtabel: alle kolommen).
• Het valt zeker te verantwoorden om een shift te maken in de te controleren autorisaties o.b.v. het geïdentificeerde risico-profiel.
• Lever de ‘Owners’ een beknopte uitdraai van het huidig personeelsbestand aan, dit kan de kwaliteit van de controle aanzienlijk verbeteren.

Denk eraan schriftelijke bevestiging te krijgen van de ‘Owner’ dat de evaluatie is uitgevoerd, met bijbehorende output van deze evaluatie. Denk aan: wijzigingen aan de autorisatiematrix (gewijzigde toepassing m.b.t. autorisaties), doorgevoerde correcties, (vermoedelijke) oorzaken van benodigde correcties (processen/activiteiten welke niet goed verlopen) en openstaande aanbevelingen voor directie.

Als het de eerste keer wordt voor de ‘Owner’ om deze evaluatie uit te voeren: laat de directievertegenwoordigende ISMS-beheerder de ‘Owner’ ondersteunen bij uitvoering en rapportage van deze evaluatie.

Tip: De BIO heeft voor bovenstaande activiteit nog een uitgebreide set aan controles welke meegenomen zouden kunnen worden. 

• Output van de controle
  • Welke processen leveren in de praktijk problemen op v.w.b. het autorisatiebeheer van de organisatie? Denk aan: instroom, doorstroom, uitstroom personeel of aanschaf nieuwe applicaties.
  • Welke openstaande aanbevelingen zijn door de ‘Owners’ aangegeven om een beslissing over te nemen?

• Kwaliteit van de controle: een onafhankelijke beoordeling van de directievertegenwoordigende ISMS-beheerder over de kwaliteit van uitvoering van de controle is een waardevol sluitstuk op deze activiteit. Denk aan:
  • Houden ‘Owners’ zich aan de gewenste volledigheid en tijdigheid van de controle?
  • Wat leverde deze controle per ‘Owner’ aan output op?

Bovenstaande zou separaat, danwel optioneel in een directiebeoordeling besproken kunnen worden. Hoe dan ook, deze meeting levert besluiten tot bijsturing op.

Gewaarborgd dient te worden dat deze tijdig opgevolgd worden. Dit uiteraard vanuit het informatiebeveiligingsperspectief, maar ook zodat de effectiviteit van de controle intern zichtbaar wordt en daarmee het draagvlak zal worden verhoogd.