Beleid voor IAA: Borging

Deze blog is de zesde in de reeks over beleid, uitgangspunten en principes voor identificatie, authenticatie en autorisatie. De vijfde is hier te vinden. Hieronder volgen onze afspraken om te zorgen dat het beleid wordt nageleefd. Het veronderstelt dat een organisatie werkt met proces-eigenaren, procesbegeleiders, een beveiligingsfunctionaris en architecten.

Omgaan met uitzonderingen

Applicatie-eigenaren moeten expliciet toestemming verlenen bij ondergenoemde autorisatie-aanvragen:

  • Toekennen van rechten die breder zijn dan behorende bij de procesrol of functiebeschrijving.
  • Toekennen van rechten die afwijken van het ontwerp van het proces of de applicatie.
  • Aanbrengen van mutaties in de autorisatiematrices, in zoverre deze niet door de leverancier aangepast worden bij nieuwe versies van de applicatie.

De functioneel beheerder:

  • contacteert de applicatie-eigenaar.
  • legt deze goed- of afkeuring vast (voor controle en verantwoording).
  • voert de autorisatie door in de applicatie (voor zover dit niet geautomatiseerd plaatsvindt).

Omgaan met verbeteringen

De balans vinden tussen strikte toegang tot gegevens en het praktisch kunnen uitvoeren van iemands rol is een uitdaging. Ontevredenheid over autorisaties ontstaat soms vanuit de beleving dat ze het dagdagelijkse werk in de weg zitten, tot onnodig vertraging leiden of anderszins de productiviteit in de weg zitten. De volgende vragen helpen de situatie analyseren:

  • Kan iemand echt zijn werk niet doen of mist de medewerker de vaardigheden of kennis?
  • Kan iemand zijn werk niet doen omdat de rol die hierbij hoort in het plaatselijke team anders wordt ingevuld dan de standaard?
  • Zijn de autorisaties niet correct ingericht of mist het systeem functionaliteit?

Om tot overeenstemming te komen worden de volgende stappen voorgesteld:

  1. De functioneel beheerder en procesbegeleider maken samen de afweging.
  2. Indien nodig wordt het proces aangepast en stelt de proces-eigenaar deze vast.
  3. Indien nodig worden de autorisaties aangepast en stelt de systeem-eigenaar deze vast.
  4. Als overeenstemming niet mogelijk is analyseert het architectenplatform het probleem en stelt de oplossingsrichting vast.

Controle

Voor applicaties met een BIV classificatie score hoger dan “Midden” op de onderdelen integriteit en vertrouwelijkheid geldt dat de applicatie-eigenaar verantwoordelijk is voor het onafhankelijk laten controleren (minimaal 2 maal per jaar) van het volgende:

  • Zijn de autorisaties juist toegekend?
  • Is er een goedkeuring van de lijnmanager voor alle accounts die voorzien zijn van risicovolle autorisaties?
  • Is er een goedkeuring van de applicatie-eigenaar voor alle accounts die afwijken van het ontwerp?
  • Zijn de autorisatie matrices juist: Is de actuele autorisatiematrix zoals overeengekomen met de applicatie-eigenaar. De applicatie-eigenaar is verplicht de autorisatieprocedure te laten toetsen door de beveiligingsfunctionaris.

Het is de verantwoordelijkheid van de locatiebeheerder om 1x jaar de rapportage van uitgegeven (digitale) sleutels en de rol gebaseerde toegang te controleren en voor te leggen aan de beveiligingsfunctionaris.

Rapportage

De controle en verantwoording van autorisaties wordt zoveel als mogelijk ondersteund door rapportages. Dit zijn praktische overzichten wie met welke rol toegang heeft tot een applicatie. Periodiek worden deze aan leidinggevenden voorgelegd ter controle.

Consolidatie

Na de controle worden autorisaties geconsolideerd. Autorisaties zonder verantwoording (verleend buiten de autorisatie matrices en zonder fiat van leidinggevende) worden ingetrokken.

Mijn volgende en laatste blog zal gaan over de kwaliteit van het beleid.