Security

Beleid voor IAA: Principes voor Autorisatie

Deze blog is de vierde in de reeks over beleid, uitgangspunten en principes voor identificatie, authenticatie en autorisatie. De derde is hier te vinden. De specifieke applicaties die hieronder worden vermeld hebben natuurlijk te maken met ons applicatielandschap. Die varieert natuurlijk van organisatie tot organisatie.

Autorisatie beperkt (terecht) de toegang tot informatie, echter soms is dit onwenselijk vanuit het oogpunt van transparantie. We onderscheiden daarom verschillende gebieden met elk hun eigen principes.

Extern publiek informeren: Openbaarheid

De informatie is openbaar en in te zien zonder autorisatie. Het gaat dan om informatie over onze opleidingen ten behoeve van werving, algemene informatie voor ouders en bedrijven, verantwoording over onze publieke taak en webcare. Deze is beschikbaar zonder dat bekend is wanneer een individu deze precies nodig heeft of wil opzoeken. Hij of zij kan deze ten allen tijde ophalen.

Intern publiek informeren: Transparantie

De autorisatie is gebaseerd op het lidmaatschap van een hoofdgroep (leerling, student, medewerker). Het gaat dan om ‘intranet-informatie’, zoals nieuws, evenementen, documenten van algemeen belang, rapportages of besluiten worden gedeeld met alle medewerkers.

Informele samenwerking: Zelf delen

De autorisatie is gebaseerd op het delen van informatie door een naaste collega. Dit kan op eigen initiatief zijn of iemand die hiervoor door zijn leidinggevende is aangewezen. Doorgaans bestaat dit uit Office documenten in een SharePoint Teamsite, een bibliotheek of Yammer (interne social media). De toegang mag laagdrempelig en ad-hoc zijn, en is niet centraal geregeld. Uitzonderingen hierop zijn bijvoorbeeld teamsites voor examens.

Formele samenwerking: Toegang vanuit je rol

De autorisatie is gebaseerd op iemands rol in een proces. Het beheer is centraal geregeld en vastgesteld. Dit geldt voor werken in kernsystemen zoals Afas, EduArte, Proquro, TopDesk en GP Untis. Hier gelden de principes:

Need-to-know, Time-to-know, Place-to-know

Personen krijgen alleen toegang tot functionaliteiten en informatie voor zover dit strikt noodzakelijk is voor het uitvoeren van de aan hen opgedragen werkzaamheden. In de praktijk mogen autorisaties geen belemmering vormen in het kunnen uitvoeren van een functie of procesrol, maar zijn ook geen vanzelfsprekendheid.

Personen krijgen niet langer dan strikt noodzakelijk toegang tot functionaliteiten en informatie voor het uitvoeren van de aan hen opgedragen werkzaamheden, in overeenstemming met hun rol. Autorisaties komen te vervallen bij het wijzigen van functie. Als dit niet automatisch kan, dan dient een kernsysteem hier een beheerproces voor in te richten.

Alle formele rollen worden vastgelegd in een autorisatie-matrix door de functioneel beheerder. In de praktijk is er een autorisatie matrix per applicatie waarin wordt vastgelegd wie (rol en/of context van de identiteit) wat mag (rol/autorisatie). De autorisatiestructuur van een kernsysteem sluit aan bij de goedgekeurde procesbeschrijvingen.

Gebruikers respecteren bij de toegang tot persoonsgegevens de privacy van de betrokkenen conform het IBP beleid en Privacy Reglement. Als toegang tot een ruimte ook toegang tot informatie geeft dan geldt:

  • De toegang tot ruimtes is gebaseerd op je rol en gekoppeld aan een zoneringsplan.
  •  De locatie beheerder ziet toe op de uitgifte en inname van zowel fysieke als digitale sleutels.

Functie-scheiding

Dit geldt zowel voor het beheer van de autorisaties als het gebruik ervan.

  • De aanvrager van autorisaties en de uitgever ervan zijn verschillende functionarissen (vier ogen principe)
  • De samenstelling van rollen/rechten combinaties en de toekenning van autorisaties is dusdanig dat er sprake is van passende functiescheiding voor de eindgebruiker.

BIV classificatie

Een rollen/rechten combinatie is risicovol als een gebruiker (strikt) vertrouwelijke gegevens kan raadplegen of handelingen kan uitvoeren waarmee aanzienlijke schade kan worden oplopen (financieel, tijd, imago, continuïteit). Daarom worden alle informatie houdende applicaties van de onderwijsinstelling aan de BIV classificatie onderworpen (Beschikbaarheid, Integriteit of Vertrouwelijkheid).

Applicaties met een score hoger dan “Midden” op het onderdeel “Vertrouwelijkheid” van de BIV kennen risicovolle rollen, rechten en/of combinaties daarvan. De applicatie-eigenaar stelt in samenwerking met de proceseigenaar vast welke deze zijn. Deze worden schriftelijk vastgelegd voor controle en verantwoording.

Mijn volgende blog zal gaan over de rollen voor IAA.

Beleid voor IAA: Principes voor Authenticatie

Deze blog is de derde in de reeks over beleid, uitgangspunten en principes voor identificatie, authenticatie en autorisatie. De tweede is hier te vinden.

Proportionaliteit

Hoe gevoeliger de gegevens zijn hoe meer we ons er van willen overtuigen dat de persoon werkelijk is wie hij zegt dat hij is. De laagste vorm van authenticatie gebruikt een sterk wachtwoord (conform de richtlijn voor wachtwoorden). Gevoelige (persoons)gegevens worden met een extra maatregel beveiligd (meervoudige authenticatie). Het gebruik van een wachtwoord is dan gecombineerd met bijvoorbeeld een pas, token, sms of een vingerafdruk. Ook bij het gebruik van accounts voor beheer en risicovolle rollen in applicaties met een score “Hoog” op het onderdeel ‘Vertrouwelijkheid’ van de BIV classificatie, wordt gebruikt gemaakt van meervoudige authenticatie.

Voor applicaties in het huidige applicatielandschap die geen meervoudige authenticatie ondersteunen maar dat wel nodig hebben wordt een alternatief gezocht of er worden aanvullende maatregelen getroffen om een gewenst beveiligingsniveau te bereiken.

Gebruiker is de bron

Het wachtwoord is verbonden aan de gebruiker zelf. Wij slaan deze niet zelf op noch mogen onze leveranciers hierover beschikken.

Single sign-on: 1x inloggen

Personen loggen niet apart in op onderdelen van de ICT infrastructuur van de onderwijsinstelling. Na inloggen op de ICT infrastructuur vindt authenticatie op het applicatielandschap verder zoveel mogelijk op de achtergrond plaats ter bevordering van het gebruiksgemak en productiviteit.

Single sign-on brengt een beveiligingsrisico met zich mee, maar weegt niet op tegen het bevorderd gebruiksgemak. Om het beveiligingsrisico te mitigeren worden maatregelen geformuleerd in de “Richtlijn voor wachtwoorden”. Verder worden in het BYOD-beleid en Reglement Verantwoord ICT-gebruik gebruik- en beveiligingsrichtlijnen opgenomen om het risico van gebruikersgedrag te minimaliseren.

Single-Sign-On vereist dat externe systemen koppelbaar zijn. Als dat niet het geval is, geldt het “Comply, or explain” principe. Er wordt dus aan de leverancier gevraagd te voldoen aan onze principes en zijn systeem koppelbaar te maken of anders uitleg te geven. Ons Architectenplatform adviseert in deze, om erna met belanghebbenden een afgewogen besluit mogelijk te maken.

Verantwoord gedrag

Elke gebruiker is verantwoordelijk voor het adequaat afschermen/beveiligen van zijn authenticatiemiddelen (account/wachtwoord, schoolpas, Yubikey). Een goede beveiliging met technische maatregelen vormt natuurlijk een basis, maar het effect ervan gaat grotendeels verloren als men bijvoorbeeld wachtwoorden doorgeeft.

Handhaving van het wachtwoordbeleid

De “Richtlijn voor wachtwoorden” (separaat, tactisch document) voor accounts binnen de ICT infrastructuur van de onderwijsinstelling wordt technisch afgedwongen.

Beheer van de ICT infrastructuur

Authenticatie voor het beheer en services in de ICT infrastructuur vereist strikte beveiligingsmaatregelen. Deze worden continue geactualiseerd conform de standaarden voor beveiliging van de ICT infrastructuur.

Mijn volgende blog zal gaan over de principes voor Autorisatie.

Migratie Joomla naar WordPress

joomla.pngwordpress-logo.png

Alhoewel ik Joomla super vind voor allerei soorten dynamische sites en vanwege alle beschikbare plug-ins, ga ik voor blogisch toch naar WordPress. Ik experimenteer al een tijdje met WordPress op de blog van onze dochter: www.noaniobe.nl en het bevalt me goed. Het voordeel van alle plug-ins van Joomla is voor bloggen een nadeel. Welke plugin voor commentaar, welke voor kalendering, welke voor imageviewing? WordPress is “out-of-the-box” al geschikter voor blogging.

De install is erg gebruiksvriendelijk en aan skins geen gebrek. Net als voor Joomla te vinden op www.themesbase.com.

 Nu nog oudere content over zetten…