Binnen elke bedrijfsapplicatie heb je tal van rollen, mogelijkheden, rechten en beperkingen. In elk scenario hebben sommige gebruikers meer rechten dan ze nodig hebben en andersom. Het recente datalek bij de GGD is daar een goed voorbeeld van. Te veel medewerkers hadden uitgebreid toegang tot alle informatie uit de gebruikte IT-systemen. Met als gevolg dat de privégegevens van miljoenen Nederlanders illegaal op internet zijn verhandeld. Hoe zorg je er nu voor dat het toegangsbeheer voor alle gebruikers actueel en op orde is? Wat is er nodig om gebruikers beter te beheren?

Gebruikersbeheer

Binnen elke bedrijfsapplicatie heb je tal van rollen, mogelijkheden, rechten en beperkingen. In elk scenario hebben sommige gebruikers meer rechten dan ze nodig hebben en andersom. Het recente datalek bij de GGD is daar een goed voorbeeld van. Te veel medewerkers hadden uitgebreid toegang tot alle informatie uit de gebruikte IT-systemen. Met als gevolg dat de privégegevens van miljoenen Nederlanders illegaal op internet zijn verhandeld. Hoe zorg je er nu voor dat het toegangsbeheer voor alle gebruikers actueel en op orde is? Wat is er nodig om gebruikers beter te beheren?

Effectief rollenbeheer binnen bedrijfstoepassingen zoals Documentum en Office365 is essentieel. Niet alleen voor de juiste toewijzing van toegangsrechten en controle van gebruikers, maar ook om ervoor te zorgen dat alles in overeenstemming is met het gegevensbeleid van jouw bedrijf en de wettelijke regels van het land over gegevensbescherming. Zoals de GDPR van de Europese Unie die we in Nederland kennen als de AVG-wetgeving.

Gegevensbescherming

De eeuwenoude uitdrukking ‘Kennis is macht’ kan op dit onderwerp worden toegepast. Of je nu een IT-engineer bent met toegang tot een HRM-applicatie of als hoofd van een afdeling met toegang tot een ECM-applicatie. Je krijgt meestal volledige toegang tot alle informatie die de applicatie bevat. Vraag jezelf bijvoorbeeld hier af: ‘heb je toegang nodig tot dit deel van de applicatie om je werk te doen?’ Zoals de GGD callcentermedewerkers van de testlijn. In het verleden kregen werknemers heel vaak toegang omdat ze specifieke stukjes informatie nodig hadden om hun werk te doen. Echter, nadat de klus is geklaard en de informatie niet langer nodig is, werd de toegang niet ingetrokken.

Het is van groot belang om steeds opnieuw te beoordelen wie welke informatie nodig heeft. Om er zo voor te zorgen dat na afloop van de klus, de toegang tot die informatie stopt. Als je dit negeert, ziet men dit als een enorm risico in jouw gegevensbescherming en in de naleving van beleid. Kennis over medewerkers, processen, projectresultaten en meer inzicht in het bedrijf waar je voor werkt, zonder op je rol te letten of je een externe of interne medewerker bent. Als je gebruikersbeheer niet up-to-date is, is dit beschikbaar voor medewerkers die dit hoogstwaarschijnlijk niet eens nodig hebben. Op deze manier zet je een bedrijfsstructuur uit van een Koninkrijk der Koningen: ze hebben allemaal toegang tot waardevolle en gevoelige informatie.

Role Base Acces Control

Bij het ontwerpen van systemen worden de toegangscontrolelijsten van gebruikers samengesteld en ontwikkeld om een rol-gebaseerde toegangscontrole (RBAC) op te zetten. RBAC is een methode om het autorisatiebeheer binnen een organisatie in te richten. Vaak genoeg wordt deze RBAC niet regelmatig onderhouden of bijgewerkt, waardoor jouw applicatie overstroomt met spookgebruikers en gebruikers die niet in jouw gebruikerslijst zouden moeten staan.

Effectief rolbeheer

Specifieke processen en tools die nodig zijn voor effectief rolbeheer bestaan uit rol-mining, specifiek rolontwerp en hercertificering van rollen en toegang. Controleer deze regelmatig om jouw toegangslijsten up-to-date te houden.

Extra werk en constant onderhoud voor een applicatie, is de nachtmerrie voor elke systeembeheerder en het bedrijf dat applicaties gebruikt. Daarom is het cruciaal om een herhalend proces te gebruiken om ervoor te zorgen dat jouw RBAC up-to-date is. Om er zo ook voor te zorgen dat rollen periodiek worden bijgewerkt op basis van de huidige zakelijke vereisten die in de loop van de tijd kunnen veranderen. Zoals we zien bij reorganisaties, fusies en overnames van een specifieke werknemer, afdeling of zelfs een heel bedrijf.

Een ontwikkeling van jouw bedrijf mag niet leiden tot een valkuil in jouw gebruikersbeheer en tot mogelijke risico’s voor gegevensbescherming. Producten van Documentum (inclusief xCP, D2) en Office 365 (inclusief Azure) bieden RBAC-oplossingen om risico’s te minimaliseren. Dit roept hoe dan ook de vraag op ‘hoe verbindt de ene softwareoplossing zich met de andere?’, zonder dat een gebruiker te veel rechten krijgt?

Voordelen van RBAC

Kunstmatige intelligentie heeft een lange weg afgelegd om jouw RBAC op orde te krijgen. Inclusief jouw totale gebruikersbeheer. De mutatie van een medewerker kan een proces starten waarmee de toegang van de gebruiker kan worden gewijzigd in zijn nieuwe rol. Niet alleen binnen een enkele applicatie, maar ook in de hele applicatiesuite waarmee de gebruiker werkt. Blockchain-technologie is voornamelijk in verband gebracht met financiële transacties, maar kan ook worden opgenomen in een ECM-omgeving. Een blockchain is een doorlopende lijst met records die door middel van cryptografie aan elkaar zijn gekoppeld.

De records die ‘blokken’ worden genoemd, komen allemaal overeen met een gedistribueerd grootboek dat de transacties up-to-date houdt. Elk blok bevat een tijdstempel en transactiegegevens, waardoor de inhoud wordt vergrendeld en ongeoorloofde wijziging wordt voorkomen. Blockchain kan ervoor zorgen dat jouw gebruikersbeheer van je applicatiesuite veilig en altijd up-to-date is. Kortom, zorg voor overzicht van toegangscontrole op basis van rollen. Dit helpt je de oprichting van een ‘koninkrijk der koningen’ te voorkomen en zorgt ervoor dat jouw gebruikersbeheer in overeenstemming is met jouw bedrijf en de gegevensnaleving van jouw land.

  • Toegangsbeheer gebruikers

About the Author: Ed Steenhoek

Ed is manager van de Business Solutions van Informed Group en neemt vanuit die rol deel aan het Management Team. Hij is tevens lid van het Leadership Team, de technische denktank van Informed Group. Daarnaast is Ed een zeer gewaardeerd lid van de AIIM Leadership Council.

Deel dit nieuws!

Archieven