Autorisatiematrix binnen de norm ISO 27001

Sjoerd Marinussen – Business Consultant

Een autorisatiematrix wat is dat?

Een autorisatiematrix is simpel gezegd een overzicht wie binnen en buiten de organisatie toegang heeft tot welke systemen en informatie. Van de klantgegevens in het CRM-systeem, de achterkant van de website, de dagelijkse documenten op de Google drive tot aan de financiële gegevens in het ERP-systeem.

In een autorisatiematrix legt u vast wie of welke personen welke rechten binnen bepaalde systemen hebben. Eventueel aangevuld met afzonderlijke rechten binnen dat systeem. Bijvoorbeeld of mensen alleen informatie kunnen lezen of is het ook nodig dat ze gegevens kunnen wijzigen en opslaan.

 

Waarom is dat nodig?

Een autorisatiematrix en het segmenteren van de toegang is nodig om te voorkomen dat uw medewerkers overal bij kunnen. In kleine organisaties is dat door de omvang vaak niet zo’n probleem, maar bij grote organisaties kan dat vervelende praktijken opleveren. Kijk naar de recente situatie bij de GGD waar medewerkers persoonsgegevens konden downloaden om ze vervolgens te verkopen.

Ook zorgt het scheiden van de toegang ervoor dat onbevoegden, als ze eenmaal binnen zijn, niet eenvoudig overal bij kunnen.

 

Hoe zet u een autorisatiematrix op?

Het vertrekpunt is een risico-inventarisatie. U brengt alle systemen en ruimtes in kaart en bepaalt welke informatie opgeslagen/toegankelijk is. Daarbij kijkt u naar zaken als de bedrijfs- en privacygevoeligheid, de omvang en mate van beveiliging. Dat geeft u een beeld van de meest ‘belangrijke’ applicaties binnen uw organisatie.

Voor elk van de applicaties bepaalt u vervolgens de risico’s. Wat kan er mis gaan? In termen van toegang, verlies van gegevens, etc. inclusief de kans dat het gebeurt en de impact die het heeft als het gebeurt.

U weet dan wat de belangrijke systemen zijn en waar een zorgvuldig gekozen toegangsbeleid nodig is. Eventueel kunt u de applicaties indelen in risicogroepen. Dat maakt het latere toewijzen eenvoudiger.

Vervolgens bepaalt u welke mensen of groepen vanuit hun werkzaamheden toegang moeten c.q. mogen hebben tot die applicaties. Bij applicaties stelt u ook de vervolgvraag of dat alleen lezen is of dat aanpassen, toevoegen en verwijderen ook mogelijk moet zijn.

Dat legt u vast in de matrix en regelt u in binnen de systemen. Veelal zal het erop neer komen dat u gebruikersgroepen maakt en de bestaande rechten opnieuw toewijst.

Een eenvoudige Excel is een prima instrument hiervoor. Wordt het groots en omvangrijk dan zijn er verschillende softwareoplossingen in de markt.

Daarna begint het pas

De opzet van een autorisatiematrix vormt een belangrijke basis. Maar eigenlijk begint het daarna pas. Het bijhouden van de matrix is waar het echte werk zit. Nieuwe medewerkers, medewerkers die naar een andere afdeling gaan, iemand die er taken bij krijgt. Een nieuwe applicatie. Of een bestaande applicatie waar nieuwe functionaliteiten aan zijn toegevoegd.

Allemaal wijzigingen die vragen om aanpassingen in de autorisatiematrix en het operationeel toekennen/aanpassen/intrekken van toegang. Fysiek en elektronisch.

Nog wat tips

We geven u nog wat ervaringen mee die u helpen bij het opstellen en actueel houden van uw autorisatiematrix.

  • Werk met groepen en niet met individuele personen. U hoeft dan alleen een groep aan een persoon toe te kennen en alles is geregeld. Een eventuele autorisatie-aanpassing van de groep wordt direct doorgevoerd naar alle onderliggende personen.
  • Bewustzijn bij de organisatie. IT weet vaak goed wat ze doen. Maar met alle cloud-toepassingen is het voor een afdeling of persoon eenvoudig een systeem in te zetten dat buiten het zicht van IT blijft. Daar zit voor veel organisaties op dit moment een aanzienlijk risico. Informeer uw organisatie en vraag ze regelmatig welke systemen ze gebruiken. Het is niet erg, zolang ze maar niet buiten beeld zijn.
  • Regel vertrek, wijzigingen en aanvragen van extra autorisaties goed en zorgvuldig in. En voer de handelingen ook consequent uit in die situaties. Voor u het weet raakt u achterop en houden mensen toegang tot systemen terwijl ze al uit dienst zijn.
    Dat is met name een risico voor alle cloudoplossingen die eenvoudig via het internet – buiten uw IT-omgeving om – te benaderen zijn. Zorg dat u bij vertrek deze autorisaties intrekt.

Blog geschreven door Sjoerd Marinussen, Business Consultant

Deel dit bericht:

Uitnodiging Seminar Cyber Security 26-9-2024 in Utrecht

Volg onze Seminar over de nieuwe Cyber Securtiy eisen en zorg ervoor dat je bedrijf klaar is voor de nieuwe NIS2-richtlijnen.

Klaar om je security, privacy en continuity
binnen jouw organisatie te verbeteren?

Heb je een vraag over onze diensten?

Wij bellen je graag binnen 24 uur terug. Neem gerust en geheel vrijblijvend contact met ons op!