Autorisatie en toegang

Het goed inregelen van de toegang tot gegevens is een van de basismaatregelen van informatiebeveiliging. Zo hebben medewerkers toegang tot de informatie die nodig is voor hun werk, en oud-medewerkers niet meer. Onze adviseurs hebben ruime ervaring met het opstellen van toegangsbeleid, toegangsprocedures, checklists voor applicaties en autorisatiematrices.

Benieuwd wat BMC voor u kan betekenen? Lees dan verder of neem meteen contact met ons op.

Neem contact met ons

Op deze pagina:
Het need-to-know-principe
Wat is goed toegangsbeleid
Onze dienstverlening op het gebied van autorisatie en toegang
Praktijkcases en oplossingen
Adviseurs autorisatie en toegang

Actueel

Toon alles

Het need-to-know-principe

Datalekken bij de GGD tijdens de corona-epidemie hebben duidelijk gemaakt hoe groot de gevolgen kunnen zijn zodra medewerkers te brede toegang tot gegevens hebben. Als het gaat om persoonsgegevens en andere vertrouwelijke gegevens, geldt daarom het principe “need-to-know”. Dit betekent dat mensen alleen toegang hebben tot informatie als ze deze specifiek nodig hebben voor hun werk.  
 

Wat is goed toegangsbeleid?

Hieronder vindt u een aantal belangrijke componenten van goed toegangsbeleid:

  • het identificeren en inschrijven van nieuwe gebruikers, en het uitschrijven van oud-gebruikers. Bij het inschrijven hoort de uitgifte van accounts of gebruikersnamen om in te loggen. Daarbij wordt een onderscheid gemaakt tussen gebruikers-, beheer- en aantal andere typen van accounts. 

  • de authenticatie van gebruikers bij het inloggen. Met andere woorden: hoe laten gebruikers zien dat ze horen bij hun gebruikersnaam. Een wachtwoord is een veel gebruikte vorm, maar authenticatie met meerdere factoren wordt ook steeds vaker toegepast. Denk aan een wachtwoord in combinatie met een code uit een authenticator-app of SMS. In het betalingsverkeer wordt vaak gebruik gemaakt van authenticatie met een chipkaart of een telefoon in combinatie met een PIN. 

  • Autorisatie gaat over het toewijzen van het recht om informatie te bekijken of wijzigen. Binnen een informatiesysteem of applicatie heeft niet iedereen dezelfde rechten nodig. De ene afdeling hoeft immers niet bij alle gegevens van een andere afdeling. Bij functiescheiding is de combinatie van bepaalde rechten niet toegestaan. Het gaat daarbij bijvoorbeeld om het invoeren en het goedkeuren van een betaling.
    Deze toewijzing van rechten kan worden vastgelegd in een autorisatiematrix. Dit vormt een vertaalslag vormt de functie en/of rol van een gebruiker en de rechten die in de applicatie worden toegewezen. Met een conflictmatrix wordt vastgelegd welke rechten niet gecombineerd mogen worden.
     

Onze dienstverlening op het gebied van autorisatie en toegang

Advies en onderzoek

BMC beschikt over modelbeleid en ruime ervaring met het opstellen van toegangsbeleid. In dit beleid zijn relevante beheersmaatregelen uit de BIO, NEN7510 of ISO27001 verwerkt. Ook adviseert BMC over toegangsprocedures, checklists voor applicaties en autorisatiematrices. Daarnaast bieden we workshops aan. Zo kunnen applicatiebeheerders zelf aan de slag te gaan met het opstellen van autorisatiematrices en andere aspecten van toegangsbeleid.

 Meer over advies en onderzoek

Naast advies en onderzoek kunt u bij BMC ook terecht voor de werving van medewerkers en inhuur van professionals. Ook leveren wij persoonlijke opleidingstrajecten en in-company trainingen op maat. Deze trainingen worden afgestemd op de specifieke behoeften van uw organisatie. 

Adviseurs autorisatie en toegang

Meer weten over autorisatie en toegang? Neem dan contact op met onderstaande adviseur:

Julius Duijts
managing consultant, CMC CISSP CEH CIPP/E

"Mijn ambitie is om informatiebeveiliging en privacy op een praktische manier te implementeren, zodat het de kerntaken van de organisatie ondersteunt. Dat betekent aansluiten bij de besturing van de organisatie en vooral zeggen wat je doet, doen wat je zegt en dat samen regelmatig checken."

Neem contact op

Meer weten over informatiebeveiliging?

Deze expertise hoort bij Baseline Informatiebeveiliging Overheid, onder informatiebeveiliging binnen data en dienstverlening. Bekijk ook andere expertises binnen dit domein: 

Contact

Uw privacy is belangrijk voor ons. BMC gaat zorgvuldig om met uw persoonsgegevens, zie hierover meer in ons privacy statement