Identificatie

Beleid voor IAA: Kwaliteit

Deze blog is de laatste in de reeks over beleid, uitgangspunten en principes voor identificatie, authenticatie en autorisatie. De zesde is hier te vinden.

Het schrijven van beleid voor IAA zette mij aan het denken. Wanneer is ‘beleid’ goed? Zonder compleet te willen zijn, beleid leek mij goed als:

  • Het goede doelen dient:
    Wat een goed doel is bepaal ik natuurlijk niet zelf of alleen, maar is gekoppeld aan onze strategische doelen als organisatie.
  • Het concreet is:
    Dat blijf ik een uitdaging vinden omdat concreetheid snel kan leiden tot te ‘gedetailleerd’, te ‘smal’, te ‘waan-van-de-dag’ of te ‘operationeel’. Uiteindelijk poog ik om generieke beginselen op te schrijven, die nog uitwerking qua inrichting en dagdagelijks werk behoeven. Terwijl ze wel handreikingen bieden voor anderen om besluiten weloverwogen te nemen.
  • Het realistisch is:
    Ik zoek altijd de balans tussen ‘dogmatisch’ en ‘pragmatisch’ zijn. Beleid mag best een ‘wettisch’ tintje hebben (Gij zult …), maar als je niet uitkijkt diskwalificeer je de huidige situatie compleet. Andersom, als het te pragmatisch is, dan vertrek ik alleen vanuit de huidige situatie en accepteer ik teveel onwenselijke situaties.
    Dus voor mij mag beleid best prikkelen en kan het verandering in gang zetten, mits er dan ook maar oog is voor de verandering zelf.

Voor het IAA beleid hebben we daarom gekeken naar:

Geschiktheid

Dit beleid is getoetst en akkoord bevonden door de Functionaris Gegevensbescherming. Daarnaast is het ter review aangeboden bij ons Architectenplatform en een vertegenwoordiging van Functioneel Beheerders. Tot slot heeft het College van Bestuur het aangenomen als bestuursbesluit.

Koppelbaarheid

Beleid moet niet rondzweven als het ware en is op zijn beurt weer onderlegger voor andere documenten. Deze relaties expliciet benoemen helpt in een later stadium weer de borging van het beleid.

  • Aan wetgeving:
    Dit beleid geeft uitvoering aan de algemene verordening gegevensbescherming (EU-AVG- 2016/679).
  • Aan strategische en tactische documenten: 
    • Het IBP Beleid en Normenkader.
    • Onze Richtlijn voor gebruikersnamen: volgens welke conventies we een uniek account bepalen.
    • De richtlijn voor wachtwoorden: welke eisen we aan sterke wachtwoorden stellen.
    • Het Reglement “Verantwoord Netwerkgebruik”
    • De procedure “Autorisatie tot netwerk en kernsystemen”.
  • Aan operationele documenten:
    • Beheerdocument per kernsysteem: deze bevat een overzicht van de autorisatiematrix van het specifieke kernsysteem en het beheerproces hierop (en nog veel meer natuurlijk).
    • De werkinstructies van de processen.

Sommige van deze documenten zijn er nog niet of zijn niet volledig. Beleid schrijven is leuk maar leidt dus altijd tot nog meer werk, merk ik zo.

Onderhoudbaarheid

Dit beleid wordt jaarlijks onderhouden met de volgende cyclus.

  • Oktober: Peiling stand van zaken realisatie.
  • December: Evaluatie met stakeholders.
  • Februari: Concept nieuwe versie bepalen.
  • April: Vaststelling nieuwe versie.

Beleid voor IAA: Rollen

Deze blog is de vijfde in de reeks over beleid, uitgangspunten en principes voor identificatie, authenticatie en autorisatie. De vierde is hier te vinden.

Er zijn meerdere belanghebbenden betrokken bij het IAA proces. Dit kan bekeken worden vanuit drie perspectieven: het proces, het systeem en het team. Daarnaast zijn er ook rollen voor beleid en controle daar op. De uitwerking hieronder verondersteld dat een organisatie werkt met proceseigenaren en -begeleiders (een soort inhoudelijke expert).

Inrichting van het proces

Tijdens het inrichten van het proces wordt er bepaald welke activiteiten uitgevoerd moeten worden. Dit is afhankelijk van het doel van het proces, wet- en regelgeving en praktische aspecten. De volgende twee rollen zijn daar van belang, voor autorisaties.

  • De proces-eigenaar: Deze is verantwoordelijk voor het vaststellen van het proces en daarin te beleggen proces-rollen.
  • De proces-begeleider: Beschrijft de taken, bevoegdheden, verantwoordelijkheden van elke rol. Handelingen in detail worden beschreven in de werkinstructies. Deze dienen later als basis voor het bepalen welke functionaliteiten in een systeem gebruikt moeten kunnen worden.

Inrichten van het systeem

Tijdens het inrichten van het systeem wordt bepaald welke onderdelen geconfigureerd moeten worden. De volgende twee rollen zijn daar van belang, voor autorisaties:

  • De systeem-eigenaar: Deze is verantwoordelijk voor de applicatie inrichting en de bijbehorende autorisaties vereist voor proces-rollen en koppelingen.
  • De functioneel beheerder: Bundelt de rechten in een systeem tot een systeemrol en volgt procedures conform het inrichting- of beheerdocument voor die applicatie. De rechten op functionaliteiten en specifieke data worden vastgelegd in de autorisatiematrix. Op verzoek van leidinggevenden worden deze rollen aan specifieke medewerkers toegekend.

Inrichten van het team

Tijdens het inrichten van het team wordt bepaald wie welke werkzaamheden verricht. Dit is afhankelijk van de samenstelling van het team en de aanwezige competenties. De volgende twee rollen zijn daarbij van belang, voor autorisaties:

  • De lijnmanager: Deze is verantwoordelijk voor het fiatteren van aanvragen voor de toekenning van formele rollen en rechten aan zijn/haar medewerkers. De leidinggevende is goed op de hoogte wat deze autorisaties inhouden en welke risico’s er zijn. De leidinggevende neemt bij het fiatteren de regels in acht die de applicatie-eigenaar heeft gesteld.
  • De medewerker: Weet vanuit zijn rol wat hij/zij moet doen en weet als gebruiker van het systeem welke functionaliteiten ter beschikking staan. Deze is daarom verantwoordelijk voor het juiste en veilige gebruik van de aan hem/haar toegekende autorisaties.

We gebruiken voor het bovenstaande het volgende model:

20181116AutorisatiesPosterLageResolutie

Steeds is aangegeven welke ‘pet’ je op hebt, wie de hamer heeft (dus de besluiten neemt), wie de pen heeft (dus uitvoert, inricht of beschrijft) en in welke documenten dit terugkomt.

Hoge resolutie is hier te vinden.

Inrichten van de controle

Tijdens het controle werk wordt gepeild in hoeverre alle uitgegeven autorisaties voldoen aan het beleid:

  • De Informatiemanager: Is verantwoordelijk voor dit IAA beleid en de jaarlijkse verversing ervan.
  • Coördinator Informatiebeveiliging: Geeft advies voor de applicatie inrichting en toetst deze aan de autorisatie-procedure. Daarnaast voert hij de controles uit.

Mijn volgende blog zal gaan over het borgen van het beleid.

Beleid voor IAA: Principes voor Identificatie

Deze blog is de tweede in de reeks over beleid, uitgangspunten en principes voor identificatie, authenticatie en autorisatie. De eerste is hier te vinden.

We verankeren onze identiteiten.

Het uitgeven van een digitale identiteit is altijd gebaseerd op een externe autoriteit die we vertrouwen:

  • De manieren voor digitale identificatie die wij zelf bieden (account) zijn verankerd in het tonen van een identiteitsbewijs zoals deze is uitgegeven door een overheid. Dit vindt plaats vóór het aanmaken ervan.
  • De middelen voor digitale identificatie die zijn uitgegeven door andere organisaties vertrouwen we indien deze zijn aangesloten bij dezelfde federaties als wijzelf. De eisen voor toegang tot de federatie dienen als waarborg.
  • De middelen voor digitale identificatie van geautomatiseerde processen (het domein van een server) zijn verankerd in het proces van certificering. Partijen die deze certificaten uitreiken kunnen dit alleen als ze voldoen aan de Telecommunicatiewet en aan specifieke eisen. De Autoriteit Consument en Markt ziet hier op toe en vormt zo een waarborg voor ons.

We onderhouden één Identiteit.

Een natuurlijke persoon heeft één identiteit. Het HR systeem (medewerker) of de deelnemersregistratie (cursisten, studenten en leerlingen) geldt als bronsysteem. Uitzonderingen kunnen gemaakt worden voor personen die zowel student als medewerker zijn.

Het aangewezen bronsysteem van een identiteit geldt als bron voor de levenscyclus. Zodra de persoon niet meer actief is bij de onderwijsinstelling wordt zijn/haar identiteit gedeactiveerd (incl. alle autorisaties). De bewaartermijn van (gedeactiveerde) identiteiten, accounts en autorisaties wordt bepaald door de applicatie-eigenaar in samenwerking met de proces-eigenaar. Wetgeving is hierin altijd leidend.

We onderhouden één account.

Een identiteit beschikt over één account voor onze ICT infrastructuur. Een uitzondering wordt gemaakt voor test-, beheer- en service-accounts, die echter wel te herleiden zijn naar een natuurlijk persoon of specifiek systeem.

Accounts voor applicaties worden geautomatiseerd aangemaakt en verwijderd. Voor risicovolle applicaties worden accounts direct gedeactiveerd. Indien dit niet geautomatiseerd kan, dan wordt dit conform een procedure handmatig ingeregeld.
Er worden geen ‘algemene’ accounts gebruikt, die niet gekoppeld zijn aan een persoon.

Context bepaalt autorisatie

De context van een identiteit bepaalt in eerste instantie de autorisatie. Voorbeelden zijn iemands functie en organisatieonderdeel, op basis waarvan basale autorisaties (account uitgifte en autorisaties binnen applicaties) worden toegekend. Naarmate er meer eigenschappen bekend worden (voor strikt organisatorische doeleinden), wordt het verlenen en muteren van autorisaties verder verfijnd en geautomatiseerd.

We gebruiken pseudoniemen in de educatieve contentketen

Om de persoonsgegevens van onze deelnemers te beschermen, als zij gebruik maken van digitaal lesmateriaal of digitale examens bij externe leveranciers, werken we op basis van pseudoniemen. Wij weten bij welke natuurlijke persoon het pseudoniem hoort, de leverancier echter niet.

Mijn volgende blog zal gaan over de principes voor Authenticatie.

 

Beleid voor IAA: Zeker weten wie wat mag

Afgelopen tijd heb ik samengewerkt met onze Functionaris Gegevensbescherming aan het IAA-beleid. Deze formuleert uitgangspunten en principes voor identificatie, authenticatie en autorisatie. Het bleek dat we best nauwkeurig mensen rechten geven binnen applicaties, maar zonder een onderlegger voor onze functioneel beheerders en zonder breed afgesproken standpunten. Komende blogs ga ik hier op in en deze is dus de eerste in de reeks.

Wat verstaan we onder IAA?

Identificatie, Authenticatie en Autorisatie zijn stappen in het proces voor toegangscontrole. Dit is het proces om toegang te krijgen tot ons netwerk, onze applicaties en functionaliteiten daarbinnen. Het ziet er op toe dat de juiste personen toegang hebben tot gegevens.

Identificatie

Identificatie is het kenbaar maken van de identiteit van een persoon of een systeem. Om de identiteit op een zinvolle manier te kunnen gebruiken, is het noodzakelijk dat elke toegepaste identiteit uniek is. In de regel gebeurt dat door aan iedere gebruiker van onze ICT-omgeving en aan elk geautomatiseerd proces een unieke gebruikersnaam toe te kennen.

Authenticatie

Authenticatie is het vaststellen van de juistheid van de opgegeven identiteit. Dat kan een persoon of systeem aannemelijk maken met:

  • Iets wat alleen jij kent (een wachtwoord).
  • Iets wat alleen jij hebt (een certificaat, een sleutel, een mobiel of token voor extra code, een pasje met een chip).
  • Iets wat alleen jij bent (biometrische kenmerken zoals vingerafdruk of iris).

Als een combinatie van bovenstaande manieren gebruikt wordt, dan spreekt men van sterke of meervoudige authenticatie. Idealiter wordt hier pas om gevraagd als er binnen een applicatie gevoelige gegevens opgeroepen worden of waardevolle transacties gedaan worden.

Bijvoorbeeld: het bekijken van een rooster van een student kan al na inloggen met alleen een wachtwoord, maar voor het bekijken van zijn begeleidingsdossier zou een extra code gevraagd worden. Dit wordt ‘step-up’ authenticatie genoemd.

Autorisatie

Autorisatie is het uitdelen van een recht op functionaliteit om met een set gegevens iets te doen: toegang om ze te lezen, te wijzigen of te beheren (het recht om rechten uit te delen). Bij dit proces hoort ook het muteren of intrekken van zo’n recht. In de praktijk worden deze rechten gekoppeld aan rollen en krijgt een individu een rol met de daarbij behorende rechten toegewezen.

Zie onderstaand model aan de hand van het motto: “Je identiteit kenbaar maken, aantonen en gebruiken.”

20181111IAAPosterLageResolutie

In hoge resolutie hier te downloaden.

Wat verwachten we van IAA nu en straks?

We verwachten nu al:

  • Dat IAA de vertrouwelijkheid van de informatie kan borgen en ervoor moet zorgen dat alleen de personen voor wie de informatie bedoeld is er toegang toe hebben. Hiermee wordt tevens het vertrouwen in de ICT-omgeving vergroot en in het geval van persoonsgegevens helpt het privacy realiseren.
  • Dat IAA beleid en de afgeleide richtlijnen gecontroleerde toegang tot applicaties en gegevens daarbinnen waarborgt. Soms impliceert dit ook toegangscontrole tot fysieke locaties (bijvoorbeeld het datacenter, ruimtes met netwerkcomponenten en stroomvoorziening, examenlokalen of de kantoren waar examens opgeslagen zijn).
  • Dat IAA hoge eisen stelt aan de houding en gedrag van onze medewerker.

We verwachten dat in de toekomst:

  • Het gebruik van pseudoniemen voor onze deelnemers toe zal nemen. Dit zijn lange reeksen karakters die uniek zijn per deelnemer en inschrijving. Als school weten wij welk pseudoniem bij welke deelnemer hoort. Externe partijen echter werken alleen met het pseudoniem zonder dat ze weten welke ‘persoon’ er achter zit. Tegelijkertijd hebben ze wel de zekerheid dat het een deelnemer van ons is. Deelnemers kunnen zo digitaal lesmateriaal gebruiken of examens maken zonder dat de leverancier ervan teveel persoonsgegevens krijgt.
  • We steeds strikter toezien op de naleving van het IAA-beleid. De bewustwording dat het onbeperkt gegevens verzamelen en koppelen negatieve gevolgen kan hebben voor een individu en dus de maatschappij, motiveert steeds meer om formeel om te gaan met IAA.
  • Dat we in breder verband meer diensten zullen leveren aan personen met een digitale identiteit van een andere organisatie. Nu doen we dat al voor externe studenten door ze te voorzien van wifi, middels Eduroam of ze in de regio op weg te helpen, middels Route35. Een ander voorbeeld is toegang tot onze publieke taken voor andere EU burgers.
  • Dat sterke authenticatie de standaard inlogmethode zal worden voor netwerktoegang en voor applicaties die geen ‘step-up’ authenticatie ondersteunen.

Scope van IAA

Dit beleid is van toepassing op alle toegang tot informatie. Doorgaans wordt informatie digitaal opgeslagen, maar dit beleid is ook van toepassing op papieren (analoge) informatie. De scope is daarom:

  • Alle applicaties en systemen van de onderwijsinstelling of diensten die informatie bevatten of transporteren. De applicatielijst zoals deze bij ons in TopDesk beheerd wordt middels de softwarekaarten geldt in deze als bron.
  • Alle ruimtes waar informatie bewaard wordt, aangezien soms fysieke toegang tot een ruimte impliciet toegang geeft tot (analoge) informatie.

Mijn volgende blog zal gaan over de principes voor Identificatie.