Need to know – nice to know

april 4, 2010 at 9:45 pm (Achtergrond, Oplossingen) (, , , )

Lang niet alle informatie binnen een bedrijf of organisatie is voor iedereen bestemd. Denk aan de personeelsdossiers, R&D afdeling of de financiële gegevens. Binnen applicaties, zoals een management informatiesysteem, geldt hetzelfde. Lang niet alle gegevens mogen of hoeven voor iedereen beschikbaar te zijn. Meestal is daar wel iets voor geregeld en hebben gebruikers een account met daaraan gekoppeld de rollen die bepalen waar iemand inzage heeft. In een iets betere situatie is aan die account een wachtwoord gekoppeld, zodat een aanvaller net wat meer informatie nodig heeft voordat hij bij de vertrouwelijke gegevens van de organisatie kan komen.

Bedrijven en organisaties die wat langer hebben nagedacht over gegevens en toegang beschikken over een autorisatiematrix. Hierin staan rollen, rechten en functies aangegeven. Uit dit schema moet blijken dat een gebruiker geen conflicterende rechten heeft, zoals zowel goedkeuringsrechten als betaalrechten voor facturen.

Het komt veel voor dat de autorisatiematrix bestaat en van origine goed is ingeregeld. Dat er later bij een audit negatieve bevindingen worden afgegeven heeft alles te maken met onvoldoende of geen beheer van de autorisatiematrix. Vaak gaat dit al fout doordat de accounts van vertrokken of overgeplaatste medewerkers niet worden verwijderd. Mensen die hun carrière binnen het bedrijf hebben gemaakt verzamelen in de loop van de tijd veel aanvullende rechten. Regelmatig komt het voor dat een nieuwe medewerker een kopie van de rechtenverzameling van zijn voorganger krijgt, zodat hij in ieder geval genoeg rechten heeft om zijn werk te kunnen doen. Nadeel van deze werkwijze is dat er binnen de kortste keren geen overzicht meer is van de rechtenstructuur. De autorisatiematrix is nutteloos geworden en de organisatie loopt risico’s bij zijn informatiebeheer.

Om de zaak weer in de hand te krijgen moet een onevenredig grote inspanning worden verricht. Eerst moet worden bepaald aan welke functies welke rollen moeten zijn gekoppeld, daarna moeten de rechten per rol worden vastgesteld en tot slot moeten de rechten en rollen door de beheerders worden toegekend. Als klap op de vuurpijl moet het beheer worden ingeregeld.

Deze werkzaamheden kan een organisatie voorkomen door een goed beheer van de autorisatiematrix, het tijdig verwijderen van overbodige accounts en het intrekken van rechten bij functiewijzigingen.

Zo gaat een organisatie met zijn informatiebeheer van nice to know naar need to know.

Advertenties

1 reactie

  1. Tweets that mention Informatiebeheer en de autorisatie matrix: -- Topsy.com said,

    […] This post was mentioned on Twitter by christien janson. christien janson said: Informatiebeheer en de autorisatie matrix: http://bit.ly/9iqZK4 […]

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s

%d bloggers liken dit: