Wat is een autorisatiematrix?
In een autorisatiematrix zijn de toegangsrechten vastgelegd van de in gebruik zijnde systemen. Deze rechten worden gekoppeld aan de rol die een medewerker heeft en zijn meestal gebaseerd op het “need-to-know” principe. Om te zorgen dat (persoons)gegevens binnen je school alleen kunnen worden verwerkt door degenen die dat vanuit hun functie nodig hebben (AVG-vereiste), helpt een autorisatiematrix bij het vastleggen en beheren van de toegangsrechten. Meestal is deze opgenomen als bijlage in het informatiebeveiligingsbeleidsplan.
Een eenvoudige autorisatiematrix kan als volgt opgesteld worden:
- Neem de meest actuele versie van het verwerkingsregister;
- Neem een actuele beschrijving van alle functieprofielen;
- Maak een Excel-bestand aan;
- Zet op de X/Y-as de persoonsgegevens (volgens het register) die door de organisatie worden verwerkt;
- Zet op de andere as de functieprofielen;
- Ga aan de hand van de beschrijving van de functieprofielen na welke persoonsgegevens noodzakelijk zijn voor de uitoefening van elke functie en zit een kruisje in de kolom waar nodig;
- Effectueer de autorisatiematrix in de IT-systemen.
Download hier het template voor het opstellen van een autorisatiematrix.
Stappenplan inrichten en managen autorisatiebeheer
Informatiebeveiliging is van groot belang binnen organisaties. Om een bepaald type datalekken te voorkomen, moet toegang tot informatie en informatieverwerkende activiteiten beperkt worden. Dit doet u door middel van autorisatiebeheer. Autorisatiebeheer is het proces waarin een subject (een functionaris of functiegroep) rechten krijgt op het benaderen van een object (een bedrijfsmiddel). Welke stappen dient u te nemen om het autorisatiebeheer binnen uw organisatie zo optimaal mogelijk in te richten? Hieronder leest u wat u moet doen.
Stap 1 – Breng de gewenste situatie in kaart
Inventariseer het huidige IT-landschap en de gebruikte fysieke locaties van uw organisatie. Inventariseer dus wie toegang heeft tot welke interne en externe systemen, hoe deze toegang is beveiligd en hoe u dit kan verbeteren. Een Identity & Access Management-tool (IAM-tool) kan hierbij helpen. Dergelijke tools zien op processen binnen een organisatie die zich richten op het beheren van gebruikers en resources in het netwerk.
Het vastleggen van de inventarisatie is niet alleen van belang voor het verwerkingsregister persoonsgegevens, maar kan bij een juiste implementatie ook gebruikt worden als format voor verder beheer.
Stap 2 – Toepassen gewenste situatie en bewustwording
Zorg ervoor dat met de verantwoordelijke functionaris (meestal de manager of directie) de gewenste situatie afgestemd wordt en ingericht is voor de afgesproken datum. Verder is het periodiek verifiëren en evalueren van de gewenste situatie van belang. Ondersteunende activiteiten en processen moeten namelijk worden geüpdatet of ingericht om afwijkingen in de naleving van de autorisatiematrix te waarborgen en waar nodig aan te passen.
Stap 3 – Periodieke evaluatie autorisatiematrix
De verantwoordelijke functionarissen (gebruikers) dienen op periodieke basis hun autorisatiematrix te evalueren. Hiervoor is het aan te raden een instructie mee te geven die allereerst ziet op het doel en de vereisten van de controle en daarnaast een stappenplan bevat over de wijze waarop controle moet worden uitgevoerd.
Laat alle componenten van de autorisatiematrix controleren en houd in de gaten dat u een schriftelijke bevestiging krijgt van de betreffende functionarissen dat de evaluatie is uitgevoerd. Een tip is om een directievertegenwoordigende ISMS-beheerder (dus de persoon die verantwoordelijk is voor Information Security Management Systems) de functionaris ondersteuning te laten bieden bij de uitvoering en rapportage. Indien u niet over een interne ISMS-beheerder beschikt, kunt u tevens een externe partij inschakelen hiervoor.
Stap 4 – Rapportage aan directie
Vervolgens is het belangrijk om de output en de kwaliteit van de uitgevoerde controle te bespreken met de directie of het bestuur. Denk bij output van de controle aan vragen als welke processen praktische problemen opleveren voor het autorisatiebeheer en welke openstaande aanbevelingen er zijn. De kwaliteit van de controle ziet op de vragen of functionarissen zich houden aan de volledigheid en tijdigheid van de controle en wat de controle per functionaris opleverde aan output. Een onafhankelijke beoordeling van de directievertegenwoordigende ISMS-beheerder over de kwaliteit van de controle is een waardevolle toevoeging.
Stap 5 – Opvolging van de afwijkingen en verbetermogelijkheid
Nadat de directie of het bestuur opvolgacties heeft vastgesteld, dienen deze kenbaar gemaakt te worden binnen de organisatie. Tijdige opvolging van deze acties is belangrijk vanuit zowel informatiebeveiligingsperspectief als vanuit het oogpunt van effectiviteit. De effectiviteit van de controle moet intern te zien zijn, waardoor het draagvlak wordt vergroot.
Stap 6 – Periodieke herhaling
Stap 3 tot en met 5 moeten periodiek herhaald worden, zodat de organisatie grip houdt op het autorisatiebeheer. Door deze stappen op te nemen in een dergelijke PDCA-cyclus (‘Plan-Do-Check-Act’) zal de organisatie in control komen of blijven op het gebied van toegang tot informatie en informatieverwerkende faciliteiten.
