Neem contact met ons op
+31 (0) 88 000 54 00
info@divetro.nl
Volg ons op LinkedIn
DiVetro BV
Villa de Reehorst
Hoofdstraat 20A
3972 LA Driebergen-Rijsenburg
The Netherlands

Autorisatiebeheer: Heeft uw organisatie deze 5 problemen?

Ron Brouwer

Autorisatiebeheer, het correct toewijzen van toegangsrechten aan personen, is belangrijk. Zeer belangrijk. Autorisatiebeheer wordt wel eens ‘de spin in het web’ genoemd bij de levering van digitale producten en diensten. Beveiliging valt en staat vaak met goed autorisatiebeheer.

Goed autorisatiebeheer zorgt ervoor dat de juiste mensen op het juiste moment om de juiste redenen toegang krijgen tot de juiste middelen. Dit kunnen digitale producten zijn zoals bedrijfsgegevens, digitale diensten zoals de toegang tot fysieke ruimtes en gebouwen en fysieke producten zoals telefoons, tablets en laptops.

Ongeacht het belang van goed autorisatiebeheer zien wij nog vaak dezelfde fouten terugkomen. En deze fouten kunnen eenvoudig vermeden worden.

Autorisatiebeheer: 5 veelvoorkomende problemen en hoe ze te voorkomen

Probleem 1: Individuele toekenning van toegangsrechten

Wij zien vaak dat toegangsrechten niet per team, rol of functie worden toegekend; toegangsrechten worden vaak direct aan individuele medewerkers verleend op basis van een aanvraag.

Het probleem: De individuele toekenning van toegangsrechten maakt autorisatiebeheer onnodig complex, onvoorspelbaar, chaotisch en onbestuurbaar. Een dergelijke vorm van autorisatiebeheer maakt elke vorm van standaardisatie van functies, teams en rollen binnen een rechtenstructuur onmogelijk.

Een voorbeeld: Stel dat een teamleider van een ICT-afdeling een nieuwe functie binnen de HRM-afdeling van hetzelfde bedrijf krijgt. De teamleider krijgt voor deze nieuwe rol uiteraard weer nieuwe rechten. In zulke situaties zien we echter vaak dat de oude rechten niet ingetrokken worden. Hierdoor creëer je een opeenstapeling van rechten. Dit is vanuit een functiescheidingsoptiek onwenselijk en moeilijk controleerbaar.

De oplossing: De oorzaak voor dit probleem is vaak het ontbreken van een duidelijke autorisatiematrix. Daarom stellen wij voor om altijd een autorisatiematrix te maken die aangeeft welke permissies bij welke rollen (of een ander kenmerk) horen. Onze ervaring leert dat het handig is om de volgende zaken in acht te nemen:

  • Breng niet te veel differentiatie in rollen. Dit houdt alles overzichtelijk en beheersbaar.
  • Verleen toegangsrechten op basis van need to know, niet meer en niet minder dan strikt noodzakelijk.
  • Keep it simple. Verleen toegangsrechten op basis van eenvoudige en begrijpelijke businessregels. Maak geen uitzonderingen op regels, alleen in uiterste noodzaak.

Probleem 2: Belangrijke systemen zijn niet gekoppeld

Wij merken vaak dat belangrijke systemen binnen organisaties niet of nauwelijks gekoppeld zijn. Dit levert problemen voor autorisatiebeheer omdat identiteiten niet op elkaar kunnen worden afgestemd.

Het probleem: De persoonsgegevens in de verschillende systemen gebruiken niet dezelfde gegevensbron of zijn niet met elkaar gekoppeld waardoor deze informatie niet is gesynchroniseerd en er onderlinge verschillen in de systemen ontstaan.

Een voorbeeld: Stel dat de contractdatum van een flexwerker in het personeelssysteem wordt aangepast maar dat deze aanpassing niet in het zorgplanningssysteem wordt veranderd… Dan is het mogelijk dat de betrokken medewerker niet meer wordt ingezet in het primaire proces, dat de passen worden geblokkeerd etc. Dit leidt tot herstelwerkzaamheden, tijdverlies en frustraties binnen de organisatie.

De oplossing: Zorg voor overzicht over het gehele proces. Dan pas is het mogelijk om afhankelijkheden tussen informatieobjecten te begrijpen en om per informatieobject de gegevensattributen aan te geven en te synchroniseren. Dit gebeurt uiteraard bij voorkeur geautomatiseerd via een enterprise servicebus of een real-time koppeling van de systemen.

Probleem 3: Er ontbreekt een duidelijk loket voor autorisatievragen

Vaak ontbreekt er een duidelijk loket voor autorisatievragen waardoor aanvragen of meldingen op meerdere plaatsten in de organisatie belanden en regie ontbreekt. Het autorisatiebeheer is bijgevolg niet altijd even betrouwbaar.

Het probleem: Als het toewijzen van rechten of het aanvragen van (ICT-)middelen op meerdere plaatsen in een organisatie is belegd, dan weten aanvragers vaak niet waar ze moeten aankloppen en waar ze onder welke voorwaarden welke toegang kunnen verkrijgen.

Een voorbeeld: Het verwerken van aanvragen van een netwerk- en mailaccount is veelal een taak voor een centrale helpdesk of servicepunt. Deze taak wordt vaak automatisch opgestart wanneer een medewerker een arbeidscontract ondertekend heeft. Maar wanneer diezelfde medewerker toegang nodig heeft tot speciale informatiesystemen of gedeelde netwerkschijven dan moet hij vaak bij afzonderlijke functionele, applicatie- of technische beheerders aankloppen.

De oplossing: Zorg voor één loketstrategie voor de gehele organisatie, bij voorkeur in de vorm van een loket met selfservicefaciliteiten. Voorzie één portaal waar de hele organisatie terecht kan voor het aanvragen en het verwerken van autorisatie-gerelateerde verzoeken. Dit portaal moet beschikken over workflow faciliteiten om aanvragen geheel af te handelen (o.a. het goedkeuren van aanvragen) en waar nodig geautomatiseerd over te dragen naar derde partijen.

Probleem 4: Medewerkers beschikken vaak over meerdere accounts

Medewerkers beschikken vaak over meerdere accounts terwijl één account per persoon gewenst is. Goed autorisatiebeheer vereist één account dat vervolgens de toegang tot alle (en alleen die) applicaties en gegevens geeft die voor die medewerkers noodzakelijk zijn.

Het probleem: Wij zien nog vaak dat medewerkers in één systeem inloggen met een al dan niet verplichte keuze uit meerdere inlogaccounts. Een soort single sign-on dus, maar dan omgekeerd. Goed autorisatiebeheer vereist dat we medewerkers kunnen volgen vanaf het eerste moment van kennismaking met de organisatie tot en met het definitieve afscheid. Dit proces wordt uiteraard moeilijker wanneer medewerkers meerdere en vooral ook verschillende digitale gedaantes aan kunnen nemen.

Een voorbeeld: Wie kent dat niet? Je hebt net een netwerkaccount gekregen maar je kunt nog steeds niet bij de bedrijfsgegevens die je nodig hebt. Mis je dan een certificaat of software? Wie kan je daarbij helpen?

De oplossing: Op het moment dat een persoon kennismaakt met een organisatie wordt een digitaal account aangemaakt. Bij dat account worden enkele basiskenmerken en bij voorkeur ook biometrische persoonskenmerken vastgelegd zodat die ene persoon altijd goed geïdentificeerd kan worden en zodat de juiste rechten kunnen verleend worden.

Probleem 5: Gebrek aan adequate procedures bij instroom, doorstroom en uitstroom

Vaak ontbreken er adequate procedures bij de instroom, doorstroom en uitstroom van medewerkers en “klanten”. Dit is nadelig voor de efficiëntie en de betrouwbaarheid van het autorisatiebeheer.

Het probleem: Vaak zijn er afspraken die de afdeling overstijgen en die niet niet (meer) op elkaar aansluiten.

Een voorbeeld: Wij zagen onlangs nog dat in een zorginstelling de juiste afstemming tussen afdelingen ontbrak waardoor er fouten werden gemaakt en er onnodig tijdverlies ontstond bij het intrekken van autorisaties. Bovendien werden uitgeleende middelen vaak niet meer ingeleverd. Wat bovendien enige verwondering wekte was dat er een apart ‘mechanisme’ aanwezig was dat ‘tijdelijke noodvoorzieningen’ in het leven riep om knelpunten in de overdracht vanuit andere afdelingen te verhelpen.

De oplossing: Zorg voor een eenvoudige en eenduidige afdelingsoverstijgende werkwijze en automatiseer deze werkwijze vervolgens zoveel mogelijk met de juiste hulpmiddelen.

Vragen of informatie?

Vond u dit artikel interessant? Via de knoppen onderaan deze pagina kunt u het artikel met uw netwerk delen.

Heeft u verdere vragen of suggesties naar aanleiding van dit artikel? Wij vernemen het graag van u via het reactieformulier onderaan deze pagina of via info@divetro.nl

Herkent u deze problemen met autorisatiebeheer in uw organisatie? Wacht niet langer en neem contact met ons op. Wij helpen u graag om een eenduidig raamwerk voor autorisatiebeheer op te bouwen met een bijpassende geautomatiseerde ondersteuning.

DiVetro Team - Ron Brouwer

Goede dag, Ik ben Ron Brouwer en oplossingen bedenken voor Informatiebeveiligingsvraagstukken is echt mijn ding.  Zit jij met een uitdaging op het gebied van informatiebeveilingsbeleid, baselines of het definiëren of invoeren van maatregelen kun je mij bereiken via ron.brouwer@divetro.nl of maak even een afspraak via +31 (0) 88 000 54 00 . Tot gauw!

Hoe kunnen wij u helpen?

Villa de Reehorst
Hoofdstraat 20A
3972 LA Driebergen-Rijsenburg
Nederland

Stuur ons een bericht

  • Wij behandelen uw gegevens vertrouwelijk en vragen graag uw toestemming om u via e-mail informatie te bezorgen. Lees hier ons privacybeleid.