Beleid voor IAA: Zeker weten wie wat mag

Afgelopen tijd heb ik samengewerkt met onze Functionaris Gegevensbescherming aan het IAA-beleid. Deze formuleert uitgangspunten en principes voor identificatie, authenticatie en autorisatie. Het bleek dat we best nauwkeurig mensen rechten geven binnen applicaties, maar zonder een onderlegger voor onze functioneel beheerders en zonder breed afgesproken standpunten. Komende blogs ga ik hier op in en deze is dus de eerste in de reeks.

Wat verstaan we onder IAA?

Identificatie, Authenticatie en Autorisatie zijn stappen in het proces voor toegangscontrole. Dit is het proces om toegang te krijgen tot ons netwerk, onze applicaties en functionaliteiten daarbinnen. Het ziet er op toe dat de juiste personen toegang hebben tot gegevens.

Identificatie

Identificatie is het kenbaar maken van de identiteit van een persoon of een systeem. Om de identiteit op een zinvolle manier te kunnen gebruiken, is het noodzakelijk dat elke toegepaste identiteit uniek is. In de regel gebeurt dat door aan iedere gebruiker van onze ICT-omgeving en aan elk geautomatiseerd proces een unieke gebruikersnaam toe te kennen.

Authenticatie

Authenticatie is het vaststellen van de juistheid van de opgegeven identiteit. Dat kan een persoon of systeem aannemelijk maken met:

  • Iets wat alleen jij kent (een wachtwoord).
  • Iets wat alleen jij hebt (een certificaat, een sleutel, een mobiel of token voor extra code, een pasje met een chip).
  • Iets wat alleen jij bent (biometrische kenmerken zoals vingerafdruk of iris).

Als een combinatie van bovenstaande manieren gebruikt wordt, dan spreekt men van sterke of meervoudige authenticatie. Idealiter wordt hier pas om gevraagd als er binnen een applicatie gevoelige gegevens opgeroepen worden of waardevolle transacties gedaan worden.

Bijvoorbeeld: het bekijken van een rooster van een student kan al na inloggen met alleen een wachtwoord, maar voor het bekijken van zijn begeleidingsdossier zou een extra code gevraagd worden. Dit wordt ‘step-up’ authenticatie genoemd.

Autorisatie

Autorisatie is het uitdelen van een recht op functionaliteit om met een set gegevens iets te doen: toegang om ze te lezen, te wijzigen of te beheren (het recht om rechten uit te delen). Bij dit proces hoort ook het muteren of intrekken van zo’n recht. In de praktijk worden deze rechten gekoppeld aan rollen en krijgt een individu een rol met de daarbij behorende rechten toegewezen.

Zie onderstaand model aan de hand van het motto: “Je identiteit kenbaar maken, aantonen en gebruiken.”

20181111IAAPosterLageResolutie

In hoge resolutie hier te downloaden.

Wat verwachten we van IAA nu en straks?

We verwachten nu al:

  • Dat IAA de vertrouwelijkheid van de informatie kan borgen en ervoor moet zorgen dat alleen de personen voor wie de informatie bedoeld is er toegang toe hebben. Hiermee wordt tevens het vertrouwen in de ICT-omgeving vergroot en in het geval van persoonsgegevens helpt het privacy realiseren.
  • Dat IAA beleid en de afgeleide richtlijnen gecontroleerde toegang tot applicaties en gegevens daarbinnen waarborgt. Soms impliceert dit ook toegangscontrole tot fysieke locaties (bijvoorbeeld het datacenter, ruimtes met netwerkcomponenten en stroomvoorziening, examenlokalen of de kantoren waar examens opgeslagen zijn).
  • Dat IAA hoge eisen stelt aan de houding en gedrag van onze medewerker.

We verwachten dat in de toekomst:

  • Het gebruik van pseudoniemen voor onze deelnemers toe zal nemen. Dit zijn lange reeksen karakters die uniek zijn per deelnemer en inschrijving. Als school weten wij welk pseudoniem bij welke deelnemer hoort. Externe partijen echter werken alleen met het pseudoniem zonder dat ze weten welke ‘persoon’ er achter zit. Tegelijkertijd hebben ze wel de zekerheid dat het een deelnemer van ons is. Deelnemers kunnen zo digitaal lesmateriaal gebruiken of examens maken zonder dat de leverancier ervan teveel persoonsgegevens krijgt.
  • We steeds strikter toezien op de naleving van het IAA-beleid. De bewustwording dat het onbeperkt gegevens verzamelen en koppelen negatieve gevolgen kan hebben voor een individu en dus de maatschappij, motiveert steeds meer om formeel om te gaan met IAA.
  • Dat we in breder verband meer diensten zullen leveren aan personen met een digitale identiteit van een andere organisatie. Nu doen we dat al voor externe studenten door ze te voorzien van wifi, middels Eduroam of ze in de regio op weg te helpen, middels Route35. Een ander voorbeeld is toegang tot onze publieke taken voor andere EU burgers.
  • Dat sterke authenticatie de standaard inlogmethode zal worden voor netwerktoegang en voor applicaties die geen ‘step-up’ authenticatie ondersteunen.

Scope van IAA

Dit beleid is van toepassing op alle toegang tot informatie. Doorgaans wordt informatie digitaal opgeslagen, maar dit beleid is ook van toepassing op papieren (analoge) informatie. De scope is daarom:

  • Alle applicaties en systemen van de onderwijsinstelling of diensten die informatie bevatten of transporteren. De applicatielijst zoals deze bij ons in TopDesk beheerd wordt middels de softwarekaarten geldt in deze als bron.
  • Alle ruimtes waar informatie bewaard wordt, aangezien soms fysieke toegang tot een ruimte impliciet toegang geeft tot (analoge) informatie.

Mijn volgende blog zal gaan over de principes voor Identificatie.