Autorisatie en toegang
Het goed inregelen van de toegang tot gegevens is een van de basismaatregelen van informatiebeveiliging. Zo hebben medewerkers toegang tot de informatie die nodig is voor hun werk, en oud-medewerkers niet meer. Onze adviseurs hebben ruime ervaring met het opstellen van toegangsbeleid, toegangsprocedures, checklists voor applicaties en autorisatiematrices.
Benieuwd wat BMC voor u kan betekenen? Lees dan verder of neem meteen contact met ons op.
Op deze pagina:
Het need-to-know-principe
Wat is goed toegangsbeleid
Onze dienstverlening op het gebied van autorisatie en toegang
Praktijkcases en oplossingen
Adviseur autorisatie en toegang
Actueel
Toon allesHet need-to-know-principe
Datalekken bij de GGD tijdens de corona-epidemie hebben duidelijk gemaakt hoe groot de gevolgen kunnen zijn zodra medewerkers te brede toegang tot gegevens hebben. Als het gaat om persoonsgegevens en andere vertrouwelijke gegevens, geldt daarom het principe “need-to-know”. Dit betekent dat mensen alleen toegang hebben tot informatie als ze deze specifiek nodig hebben voor hun werk.
Wat is goed toegangsbeleid?
Hieronder vindt u een aantal belangrijke componenten van goed toegangsbeleid:
-
het identificeren en inschrijven van nieuwe gebruikers, en het uitschrijven van oud-gebruikers. Bij het inschrijven hoort de uitgifte van accounts of gebruikersnamen om in te loggen. Daarbij wordt een onderscheid gemaakt tussen gebruikers-, beheer- en aantal andere typen van accounts.
-
de authenticatie van gebruikers bij het inloggen. Met andere woorden: hoe laten gebruikers zien dat ze horen bij hun gebruikersnaam. Een wachtwoord is een veel gebruikte vorm, maar authenticatie met meerdere factoren wordt ook steeds vaker toegepast. Denk aan een wachtwoord in combinatie met een code uit een authenticator-app of SMS. In het betalingsverkeer wordt vaak gebruik gemaakt van authenticatie met een chipkaart of een telefoon in combinatie met een PIN.
-
Autorisatie gaat over het toewijzen van het recht om informatie te bekijken of wijzigen. Binnen een informatiesysteem of applicatie heeft niet iedereen dezelfde rechten nodig. De ene afdeling hoeft immers niet bij alle gegevens van een andere afdeling. Bij functiescheiding is de combinatie van bepaalde rechten niet toegestaan. Het gaat daarbij bijvoorbeeld om het invoeren en het goedkeuren van een betaling.
Deze toewijzing van rechten kan worden vastgelegd in een autorisatiematrix. Dit vormt een vertaalslag vormt de functie en/of rol van een gebruiker en de rechten die in de applicatie worden toegewezen. Met een conflictmatrix wordt vastgelegd welke rechten niet gecombineerd mogen worden.
Onze dienstverlening op het gebied van autorisatie en toegang
Advies en onderzoek
BMC beschikt over modelbeleid en ruime ervaring met het opstellen van toegangsbeleid. In dit beleid zijn relevante beheersmaatregelen uit de BIO, NEN7510 of ISO27001 verwerkt. Ook adviseert BMC over toegangsprocedures, checklists voor applicaties en autorisatiematrices. Daarnaast bieden we workshops aan. Zo kunnen applicatiebeheerders zelf aan de slag te gaan met het opstellen van autorisatiematrices en andere aspecten van toegangsbeleid.
Naast advies en onderzoek kunt u bij BMC ook terecht voor de werving van medewerkers en inhuur van professionals. Ook leveren wij persoonlijke opleidingstrajecten en in-company trainingen op maat. Deze trainingen worden afgestemd op de specifieke behoeften van uw organisatie.
Adviseur autorisatie en toegang
Meer weten over autorisatie en toegang? Neem dan contact op met onderstaande adviseur:
Julius Duijts 
partner informatiebeveiliging, CMC CISSP CEH CIPP/E
"Mijn ambitie is om informatiebeveiliging en privacy op een praktische manier te implementeren, zodat het de kerntaken van de organisatie ondersteunt. Dat betekent aansluiten bij de besturing van de organisatie en vooral zeggen wat je doet, doen wat je zegt en dat samen regelmatig checken."
Meer weten over informatiebeveiliging?
Deze expertise hoort bij Baseline Informatiebeveiliging Overheid, onder informatiebeveiliging binnen data en dienstverlening. Bekijk ook andere expertises binnen dit domein: