In veel bedrijven is niet helemaal duidelijk wie waar toegang tot heeft. Misschien herken je de volgende praktijksituatie wel: als iemand van functie wisselt dan gaat er een ticket of e-mail naar de servicedesk met het verzoek om de toegang tot bepaalde systemen, documenten of andere zaken te regelen. In het gros van de gevallen wordt niet gevraagd of er misschien ook zaken zijn die ingetrokken kunnen worden. Dat heeft immers niet per se de aandacht van de servicedesk. Terwijl het in praktijk, ook kijkend naar risicobeheersing, wél handig is om niet meer licenties en toegangen uit te geven dan nodig. Wanneer je dit wil veranderen zul je niet alleen het serviceproces aan moeten passen, maar ook de bewustwording rondom dit onderwerp. Bijvoorbeeld door uit te leggen waarom het belangrijk is om bepaalde rechten op te heffen als deze niet langer meer van belang zijn voor de functie. Dus in plaats van kort een signaal op te volgen waarin gevraagd wordt om bepaalde rechten aan te passen, zou het gesprek veel meer moeten gaan over de functie die iemand heeft en of daar al een helder functieprofiel voor geschreven is. Mét bijbehorende rechten uiteraard.
Stel de juiste vragen bij het aanpassen van rechten
Wanneer je op die manier met elkaar kijkt naar het ‘even aanpassen van autorisaties’ dan ontstaat er meer grip op de oude en nieuwe rechten van medewerkers. Als je deze werkwijze goed aan wil passen dan worden er vragen gesteld over de huidige functie, want misschien dienen er bepaalde rechten nog behouden te worden. En er wordt stilgestaan bij de functionele rollen die er binnen en organisatie zijn: feitelijk zou niemand een functie moeten bekleden die nog niet in een profiel is vastgelegd. Het gaat ook om definiëren van wat er binnen een bepaalde rol past, ook op toegangsgebied. We kennen allemaal de voorbeelden van de medewerkers die al 10 jaar of meer bij het bedrijf werken en in de loop der jaren tientallen rollen en autorisaties toebedeeld hebben gekregen. Wat zijn de risico’s als er een datalek plaatsvindt? Is dat bijvoorbeeld in beeld binnen jouw organisatie? En klopt je verhaal en de manier waarop het intern geregeld is dan echt?
Kies voor een duidelijke organisatiestructuur
Door het beter inzichtelijk en gestructureerd maken van deze rollen stap je over van individueel zaken aanpassen naar een duidelijke organisatiestructuur waarin mensen een rol hebben en op basis van die rol een functieprofiel (met bijpassende autorisaties) krijgen toebedeeld. Wanneer iemand bepaalde rechten houdt die eigenlijk niet meer relevant zijn, dan kan dat ook security-technisch ongewenste gevolgen hebben. Zeker nu we, als gevolg van de coronacrisis, meer en blijvend thuiswerken waardoor er minder zicht op cyberveiligheid is. Want ook daar ligt een uitdaging: hoe zorg ik ervoor dat mijn mensen ook thuis vanaf hun eigen werkplek voldoen aan de juiste securityvereisten?
Van operationeel naar strategisch
Zorg dat je in- en uitstroom goed geregeld is en schakel een betrouwbare partner in die in staat is om op strategisch niveau mee te denken hierin. Wanneer binnen jouw bedrijf de vertaling van het beleid richting IT ontbreekt, dan is er een kans dat de zaken risico-technisch niet op orde zijn. Wij kunnen je daarbij helpen. Vraag bijvoorbeeld de gratis demo aan of neem contact met ons op voor een vrijblijvend advies.
