Beleid voor IAA: Rollen

Deze blog is de vijfde in de reeks over beleid, uitgangspunten en principes voor identificatie, authenticatie en autorisatie. De vierde is hier te vinden.

Er zijn meerdere belanghebbenden betrokken bij het IAA proces. Dit kan bekeken worden vanuit drie perspectieven: het proces, het systeem en het team. Daarnaast zijn er ook rollen voor beleid en controle daar op. De uitwerking hieronder verondersteld dat een organisatie werkt met proceseigenaren en -begeleiders (een soort inhoudelijke expert).

Inrichting van het proces

Tijdens het inrichten van het proces wordt er bepaald welke activiteiten uitgevoerd moeten worden. Dit is afhankelijk van het doel van het proces, wet- en regelgeving en praktische aspecten. De volgende twee rollen zijn daar van belang, voor autorisaties.

  • De proces-eigenaar: Deze is verantwoordelijk voor het vaststellen van het proces en daarin te beleggen proces-rollen.
  • De proces-begeleider: Beschrijft de taken, bevoegdheden, verantwoordelijkheden van elke rol. Handelingen in detail worden beschreven in de werkinstructies. Deze dienen later als basis voor het bepalen welke functionaliteiten in een systeem gebruikt moeten kunnen worden.

Inrichten van het systeem

Tijdens het inrichten van het systeem wordt bepaald welke onderdelen geconfigureerd moeten worden. De volgende twee rollen zijn daar van belang, voor autorisaties:

  • De systeem-eigenaar: Deze is verantwoordelijk voor de applicatie inrichting en de bijbehorende autorisaties vereist voor proces-rollen en koppelingen.
  • De functioneel beheerder: Bundelt de rechten in een systeem tot een systeemrol en volgt procedures conform het inrichting- of beheerdocument voor die applicatie. De rechten op functionaliteiten en specifieke data worden vastgelegd in de autorisatiematrix. Op verzoek van leidinggevenden worden deze rollen aan specifieke medewerkers toegekend.

Inrichten van het team

Tijdens het inrichten van het team wordt bepaald wie welke werkzaamheden verricht. Dit is afhankelijk van de samenstelling van het team en de aanwezige competenties. De volgende twee rollen zijn daarbij van belang, voor autorisaties:

  • De lijnmanager: Deze is verantwoordelijk voor het fiatteren van aanvragen voor de toekenning van formele rollen en rechten aan zijn/haar medewerkers. De leidinggevende is goed op de hoogte wat deze autorisaties inhouden en welke risico’s er zijn. De leidinggevende neemt bij het fiatteren de regels in acht die de applicatie-eigenaar heeft gesteld.
  • De medewerker: Weet vanuit zijn rol wat hij/zij moet doen en weet als gebruiker van het systeem welke functionaliteiten ter beschikking staan. Deze is daarom verantwoordelijk voor het juiste en veilige gebruik van de aan hem/haar toegekende autorisaties.

We gebruiken voor het bovenstaande het volgende model:

20181116AutorisatiesPosterLageResolutie

Steeds is aangegeven welke ‘pet’ je op hebt, wie de hamer heeft (dus de besluiten neemt), wie de pen heeft (dus uitvoert, inricht of beschrijft) en in welke documenten dit terugkomt.

Hoge resolutie is hier te vinden.

Inrichten van de controle

Tijdens het controle werk wordt gepeild in hoeverre alle uitgegeven autorisaties voldoen aan het beleid:

  • De Informatiemanager: Is verantwoordelijk voor dit IAA beleid en de jaarlijkse verversing ervan.
  • Coördinator Informatiebeveiliging: Geeft advies voor de applicatie inrichting en toetst deze aan de autorisatie-procedure. Daarnaast voert hij de controles uit.

Mijn volgende blog zal gaan over het borgen van het beleid.