Hoe regel je autorisatiebeheer binnen een organisatie?

Stappenplan inrichten en managen autorisatiebeheer

Informatiebeveiliging is van groot belang binnen organisaties. Om een bepaald type datalekken te voorkomen, moet toegang tot informatie en informatieverwerkende activiteiten beperkt worden. Dit doet u door middel van autorisatiebeheer. Autorisatiebeheer is het proces waarin een subject (een functionaris of functiegroep) rechten krijgt op het benaderen van een object (een bedrijfsmiddel). Welke stappen dient u te nemen om het autorisatiebeheer binnen uw organisatie zo optimaal mogelijk in te richten? Hieronder leest u wat u moet doen.

Stap 1 – Breng de gewenste situatie in kaart

Inventariseer het huidige IT-landschap en de gebruikte fysieke locaties van uw organisatie. Inventariseer dus wie toegang heeft tot welke interne en externe systemen, hoe deze toegang is beveiligd en hoe u dit kan verbeteren. Een Identity & Access Management-tool (IAM-tool) kan hierbij helpen. Dergelijke tools zien op processen binnen een organisatie die zich richten op het beheren van gebruikers en resources in het netwerk.

Het vastleggen van de inventarisatie is niet alleen van belang voor het verwerkingsregister persoonsgegevens, maar kan bij een juiste implementatie ook gebruikt worden als format voor verder beheer.

Stap 2 – Toepassen gewenste situatie en bewustwording

Zorg ervoor dat met de verantwoordelijke functionaris (meestal de manager of directie) de gewenste situatie afgestemd wordt en ingericht is voor de afgesproken datum. Verder is het periodiek verifiëren en evalueren van de gewenste situatie van belang. Ondersteunende activiteiten en processen moeten namelijk worden geüpdatet of ingericht om afwijkingen in de naleving van de autorisatiematrix te waarborgen en waar nodig aan te passen.

Stap 3 – Periodieke evaluatie autorisatiematrix

De verantwoordelijke functionarissen (gebruikers) dienen op periodieke basis hun autorisatiematrix te evalueren. Hiervoor is het aan te raden een instructie mee te geven die allereerst ziet op het doel en de vereisten van de controle en daarnaast een stappenplan bevat over de wijze waarop controle moet worden uitgevoerd.

Laat alle componenten van de autorisatiematrix controleren en houd in de gaten dat u een schriftelijke bevestiging krijgt van de betreffende functionarissen dat de evaluatie is uitgevoerd. Een tip is om een directievertegenwoordigende ISMS-beheerder (dus de persoon die verantwoordelijk is voor Information Security Management Systems) de functionaris ondersteuning te laten bieden bij de uitvoering en rapportage. Indien u niet over een interne ISMS-beheerder beschikt, kunt u tevens een externe partij inschakelen hiervoor.

Stap 4 – Rapportage aan directie

Vervolgens is het belangrijk om de output en de kwaliteit van de uitgevoerde controle te bespreken met de directie of het bestuur. Denk bij output van de controle aan vragen als welke processen praktische problemen opleveren voor het autorisatiebeheer en welke openstaande aanbevelingen er zijn. De kwaliteit van de controle ziet op de vragen of functionarissen zich houden aan de volledigheid en tijdigheid van de controle en wat de controle per functionaris opleverde aan output. Een onafhankelijke beoordeling van de directievertegenwoordigende ISMS-beheerder over de kwaliteit van de controle is een waardevolle toevoeging.

Stap 5 – Opvolging van de afwijkingen en verbetermogelijkheid

Nadat de directie of het bestuur opvolgacties heeft vastgesteld, dienen deze kenbaar gemaakt te worden binnen de organisatie. Tijdige opvolging van deze acties is belangrijk vanuit zowel informatiebeveiligingsperspectief als vanuit het oogpunt van effectiviteit. De effectiviteit van de controle moet intern te zien zijn, waardoor het draagvlak wordt vergroot.

Stap 6 – Periodieke herhaling

Stap 3 tot en met 5 moeten periodiek herhaald worden, zodat de organisatie grip houdt op het autorisatiebeheer. Door deze stappen op te nemen in een dergelijke PDCA-cyclus (‘Plan-Do-Check-Act’) zal de organisatie in control komen of blijven op het gebied van toegang tot informatie en informatieverwerkende faciliteiten.