Opbouw van een autorisatiematrix
Een bedrijf dat groot genoeg is om controle van de boeken te krijgen, met meerdere werknemers in dienst, heeft een autorisatiematrix nodig. Dit kan al een heel eenvoudig lijstje zijn:
| Inboeken | Uitboeken | Factureren | Accorderen | Betalen | |
| Jan | V | X | X | X | V |
| Piet | X | V | X | X | X |
| Kees | X | X | V | X | X |
| Clara | X | X | X | V | X |
Het doel van een autorisatiematrix moet zijn inzicht te krijgen (en te houden) in de rollen die een medewerker heeft. Dit doe je bijvoorbeeld om mogelijke frauduleuze handelingen te voorkomen. Iemand zowel de rechten geven op het accorderen als het betalen van facturen vertoont grote gelijkenis met het verhaal van de vastgebonden kat op het spek.
In grotere organisaties geldt dat het moeilijk is om overzicht te houden over het aantal en de soort uitgegeven rechten. Door rechten aan rollen te koppelen knip je het probleem al in kleine stukken. Medewerkers kunnen een of meer rollen vervullen en hebben daardoor automatisch rechten. In de autorisatiematrix zorg je ervoor dat rollen geen conflicterende rechten hebben en dat rollen zelf niet met elkaar in conflict mogen zijn. Je houdt de autorisatiematrix alleen in stand als je er een goed beheerproces omheen bouwt.
Medewerkers veranderen van functie binnen een bedrijf, maar het komt zelden voor dat de rechten (autorisaties) van deze medewerkers worden aangepast. Een andere veel voorkomende bron van vervuiling is dat een nieuwe medewerker een kopie van het profiel van zijn voorganger krijgt. Zeker als deze voorganger een rijke historie binnen het bedrijf heeft, zal de nieuwe medewerker veel extra rechten krijgen die hij niet nodig heeft voor het uitvoeren van zijn functie.
De meest zekere methode om te voorkomen dat een medewerker teveel rechten heeft is om zijn rechten af te nemen als hij een nieuwe functie gaat vervullen. Daarna kunnen hem de rechten worden toegekend die bij zijn nieuwe functie horen.
Als je dit verder uitwerkt ben je al aardig op weg in de richting van een RBAC (Role Based Access Control) traject.
Informatiebeveiliging 
Dennis said,
februari 28, 2014 bij 10:03 am
interessant stuk. ik wil dit graag intern oppakken en ben hiervoor op zoek naar een lijst met standaard/algemene bedrijfsprocessen per afdeling om zo de koppeling met autorisaties/informatiesystemen te leggen. Denk aan de standaard bedrijfsprocessen bij een afdeling P&O, ICT en Facilitaire zaken. Heb je misschien een goede bron hiervoor? Ik weet dat deze informatie ook binnen de afdeling zelf geïnventariseerd kan worden, maar ik wil ze de juiste richting op sturen.