Draagplicht van toegangspassen

april 7, 2010 at 9:14 am (Achtergrond, Oplossingen, Problemen, Techniek) (, , , )

Regelmatig duikt de discussie op over de draagplicht van toegangspassen in een bedrijf of organisatie. Uitgangspunt hierbij is wel dat een organisatie deze passen al heeft en dat ze zijn voorzien van een pasfoto. Het voordeel van dergelijke passen is dat ze – mits regelmatig onderhouden – een goed intern identificatiemiddel vormen en vaak van meerdere functies zijn voorzien. De betaalfunctie (chipknip) is daar een voorbeeld van. Nadelen zijn er ook. Deze passen zijn verhoudingsgewijs duur en hebben een infrastructuur nodig om goed te kunnen werken. Daarbij moet er eveneens beheer worden uitgevoerd wat het nodige kost.

Een bedrijf dat besluit de draagplicht in te voeren voor toegangspassen wordt direct geconfronteerd met allerlei weerstanden. Veel mensen vinden of voelen dat zij in hun persoonlijke levenssfeer worden geraakt. Dat is een verzwarende factor bij de controle op naleving van het beleid.

De kans dat een dergelijke maatregel gaat werken is nog het grootst in een strak geleide hiërarchische organisatie waar men overwegend in bedrijfskleding loopt en werkt. Zelfs dan is zichtbaar commitment van het management nodig om van deze maatregel een succes te maken. De herkenbaarheid van bezoekers zal alleen goed werken als de draagplicht strikt gehandhaafd wordt. Natuurlijk moet bij het invoeren van deze maatregel nadrukkelijk gekeken worden naar de beoogde veiligheidsopbrengst. Het management en de afdeling informatiebeveiliging dienen goed in beeld te hebben wat er met deze zware maatregel beschermd moet worden.

Mocht een volledige draagplicht niet haalbaar zijn, dan zijn er enkele compenserende maatregelen mogelijk waardoor het vereiste beveiligingsniveau alsnog benaderd kan worden. Hierbij kun je denken aan het steeds begeleiden van bezoekers en het afschermen van ruimtes met (bijvoorbeeld) vertrouwelijke informatie. Deze ruimtes zijn dan niet te betreden met een bezoekerspas. Verder moet in alle ruimtes met vertrouwelijke informatie een cleandesk policy van kracht zijn, waardoor informatielekkage wordt bemoeilijkt. Om meelifters (piggy-backing) bij het betreden van een vertrouwelijke zone tegen te gaan kun je denken aan de invoering van mantraps of eenpersoons sluizen.

Voorkomen van misbruik van passen die toegang geven tot de vertrouwelijke zones is een ander fenomeen. Je kunt dit beheersen door aanvullende eisen te stellen aan de bezoeker. Bijvoorbeeld het vragen van een pincode of gebruikmaken van biometrische identificatie. Alweer, de kosten van de beveiliging moeten in balans zijn met de waarde van hetgeen beschermd wordt.

De sterkste maatregel die een organisatie in kan zetten wordt gevormd door het eigen personeel. Als iedereen het belang begrijpt van cleandesk, het begeleiden van bezoekers en onbekenden durft aan te spreken, dan is de kans op ongewenst bezoek het kleinst.

Daar kan geen draagplicht tegenop.

Advertenties

Permalink Geef een reactie

Need to know – nice to know

april 4, 2010 at 9:45 pm (Achtergrond, Oplossingen) (, , , )

Lang niet alle informatie binnen een bedrijf of organisatie is voor iedereen bestemd. Denk aan de personeelsdossiers, R&D afdeling of de financiële gegevens. Binnen applicaties, zoals een management informatiesysteem, geldt hetzelfde. Lang niet alle gegevens mogen of hoeven voor iedereen beschikbaar te zijn. Meestal is daar wel iets voor geregeld en hebben gebruikers een account met daaraan gekoppeld de rollen die bepalen waar iemand inzage heeft. In een iets betere situatie is aan die account een wachtwoord gekoppeld, zodat een aanvaller net wat meer informatie nodig heeft voordat hij bij de vertrouwelijke gegevens van de organisatie kan komen.

Bedrijven en organisaties die wat langer hebben nagedacht over gegevens en toegang beschikken over een autorisatiematrix. Hierin staan rollen, rechten en functies aangegeven. Uit dit schema moet blijken dat een gebruiker geen conflicterende rechten heeft, zoals zowel goedkeuringsrechten als betaalrechten voor facturen.

Het komt veel voor dat de autorisatiematrix bestaat en van origine goed is ingeregeld. Dat er later bij een audit negatieve bevindingen worden afgegeven heeft alles te maken met onvoldoende of geen beheer van de autorisatiematrix. Vaak gaat dit al fout doordat de accounts van vertrokken of overgeplaatste medewerkers niet worden verwijderd. Mensen die hun carrière binnen het bedrijf hebben gemaakt verzamelen in de loop van de tijd veel aanvullende rechten. Regelmatig komt het voor dat een nieuwe medewerker een kopie van de rechtenverzameling van zijn voorganger krijgt, zodat hij in ieder geval genoeg rechten heeft om zijn werk te kunnen doen. Nadeel van deze werkwijze is dat er binnen de kortste keren geen overzicht meer is van de rechtenstructuur. De autorisatiematrix is nutteloos geworden en de organisatie loopt risico’s bij zijn informatiebeheer.

Om de zaak weer in de hand te krijgen moet een onevenredig grote inspanning worden verricht. Eerst moet worden bepaald aan welke functies welke rollen moeten zijn gekoppeld, daarna moeten de rechten per rol worden vastgesteld en tot slot moeten de rechten en rollen door de beheerders worden toegekend. Als klap op de vuurpijl moet het beheer worden ingeregeld.

Deze werkzaamheden kan een organisatie voorkomen door een goed beheer van de autorisatiematrix, het tijdig verwijderen van overbodige accounts en het intrekken van rechten bij functiewijzigingen.

Zo gaat een organisatie met zijn informatiebeheer van nice to know naar need to know.

Permalink 1 reactie