Sjoerd Marinussen – Business Consultant
Een autorisatiematrix is simpel gezegd een overzicht wie binnen en buiten de organisatie toegang heeft tot welke systemen en informatie. Van de klantgegevens in het CRM-systeem, de achterkant van de website, de dagelijkse documenten op de Google drive tot aan de financiële gegevens in het ERP-systeem.
In een autorisatiematrix legt u vast wie of welke personen welke rechten binnen bepaalde systemen hebben. Eventueel aangevuld met afzonderlijke rechten binnen dat systeem. Bijvoorbeeld of mensen alleen informatie kunnen lezen of is het ook nodig dat ze gegevens kunnen wijzigen en opslaan.
Een autorisatiematrix en het segmenteren van de toegang is nodig om te voorkomen dat uw medewerkers overal bij kunnen. In kleine organisaties is dat door de omvang vaak niet zo’n probleem, maar bij grote organisaties kan dat vervelende praktijken opleveren. Kijk naar de recente situatie bij de GGD waar medewerkers persoonsgegevens konden downloaden om ze vervolgens te verkopen.
Ook zorgt het scheiden van de toegang ervoor dat onbevoegden, als ze eenmaal binnen zijn, niet eenvoudig overal bij kunnen.
Het vertrekpunt is een risico-inventarisatie. U brengt alle systemen en ruimtes in kaart en bepaalt welke informatie opgeslagen/toegankelijk is. Daarbij kijkt u naar zaken als de bedrijfs- en privacygevoeligheid, de omvang en mate van beveiliging. Dat geeft u een beeld van de meest ‘belangrijke’ applicaties binnen uw organisatie.
Voor elk van de applicaties bepaalt u vervolgens de risico’s. Wat kan er mis gaan? In termen van toegang, verlies van gegevens, etc. inclusief de kans dat het gebeurt en de impact die het heeft als het gebeurt.
U weet dan wat de belangrijke systemen zijn en waar een zorgvuldig gekozen toegangsbeleid nodig is. Eventueel kunt u de applicaties indelen in risicogroepen. Dat maakt het latere toewijzen eenvoudiger.
Vervolgens bepaalt u welke mensen of groepen vanuit hun werkzaamheden toegang moeten c.q. mogen hebben tot die applicaties. Bij applicaties stelt u ook de vervolgvraag of dat alleen lezen is of dat aanpassen, toevoegen en verwijderen ook mogelijk moet zijn.
Dat legt u vast in de matrix en regelt u in binnen de systemen. Veelal zal het erop neer komen dat u gebruikersgroepen maakt en de bestaande rechten opnieuw toewijst.
Een eenvoudige Excel is een prima instrument hiervoor. Wordt het groots en omvangrijk dan zijn er verschillende softwareoplossingen in de markt.
De opzet van een autorisatiematrix vormt een belangrijke basis. Maar eigenlijk begint het daarna pas. Het bijhouden van de matrix is waar het echte werk zit. Nieuwe medewerkers, medewerkers die naar een andere afdeling gaan, iemand die er taken bij krijgt. Een nieuwe applicatie. Of een bestaande applicatie waar nieuwe functionaliteiten aan zijn toegevoegd.
Allemaal wijzigingen die vragen om aanpassingen in de autorisatiematrix en het operationeel toekennen/aanpassen/intrekken van toegang. Fysiek en elektronisch.
We geven u nog wat ervaringen mee die u helpen bij het opstellen en actueel houden van uw autorisatiematrix.
Blog geschreven door Sjoerd Marinussen, Business Consultant
Volg onze Seminar over de nieuwe Cyber Securtiy eisen en zorg ervoor dat je bedrijf klaar is voor de nieuwe NIS2-richtlijnen.