Skip to content
Gepubliceerd op: 23 september 2020
Type publicatie Blog
Gerelateerde onderwerpen
De periodieke review op autorisaties wordt gezien als een van de grootste uitdagingen in de verantwoording van de ENSIA-audit, of terwijl een van de moeilijke normen. Vrijwel geen enkele organisatie heeft een sluitend proces van het toekennen en intrekken van autorisaties. Hoe zorg je er voor dat ‘functies en gegevens uitsluitend beschikbaar worden gesteld aan diegenen waarvoor deze bedoeld zijn’. Dit is namelijk waar het om draait bij de periodieke review van autorisaties: zorgen dat de applicatie veilig is.

 

Er zijn echter nogal wat risico’s als het gaat om autorisatie:

  • Teveel medewerkers wordt de toegang verleend

  • Niet alleen applicatiebeheerders kunnen gebruikers aanmaken

  • Gebruikers hebben te veel rechten

  • Medewerkers die uit dienst zijn gegaan, zijn niet tijdig verwijderd uit de applicatie

  • Medewerkers die van functie gewijzigd zijn, hebben nog altijd hun oude rechten.

ENSIA: vertrouwelijkheid en integriteit gegevens

Hoe check je voor de periodieke review of alleen medewerkers toegang hebben tot de applicatie die toegang moeten hebben én of zij de juiste rechten hebben? Of anders gezegd: hoe borg je de vertrouwelijkheid en integriteit van de functies en gegevens in de applicatie?

Periodieke review autorisaties

Voor de ENSIA-audit is het onvoldoende om de periodieke review af te doen met een lijstje met namen, dat ondertekend is en de opmerking bevat ‘akkoord’ of ‘gecontroleerd’.  De eerste vraag die ik als auditor dan stel is: wat is er gecontroleerd? Plagerig vraag ik wel eens of de de juiste spelling van de namen gecontroleerd is. Ten tweede vraag ik me af: hoe bepaal ik of de controle juist is uitgevoerd? Is de handtekening niet een krabbel om de krabbel? En tenslotte zegt dit rijtje namen niets over welke rechten of rollen aan deze namen zijn toegekend. Is dat ook gecontroleerd? Of is het alleen een akkoord van de leidinggevende op het hebben van toegang tot de applicatie?

Vastleggen voor ENSIA-audit

Kortom: hoe weet je of iemand toegang moet hebben? Hoe weet je of iemand de juiste rechten heeft? En hoe kun je dat aantoonbaar controleren? Allereerst door in de controle zowel de werkelijke (IST) als de gewenst situatie (SOLL) met elkaar te vergelijken en die vergelijking vast te leggen. Met de werkelijke situatie bedoel ik de daadwerkelijke inrichting van rollen en rechten in de applicatie. Denk daarbij aan het vastleggen van screenshots of een export van de gebruikers en autorisaties.

Gewenste situatie

De gewenste situatie is ‘iets’ buiten de applicatie, waarmee je de instellingen in de applicatie kunt vergelijken.  Dat ‘iets’ kan zijn:

  • Een HR-lijst met alle medewerkers en hun functie (indien de toegang tot en de rechten in de applicatie gerelateerd zijn aan de functie).

  • De leidinggevende van een afdeling die de autorisaties kan bevestigen. Bij een beperkt aantal gebruikers in de applicatie en een gering aantal mutaties is dit verdedigbaar. Bij hogere aantallen gebruikers is het risico te groot dat een leidinggevende zaken over het hoofd gaat zien.

  • Een autorisatiematrix waarin rechten en rollen zijn opgenomen en bij voorkeur gerelateerd zijn aan een functie en/of persoon. Voor Suwinet heeft BKWI voorbeelden van zo’n autorisatiematrix beschikbaar gesteld.

Inzicht ENSIA-auditor

Voor de periodieke review beoordeel je de verschillen tussen de gewenste en werkelijke situatie en onderneemt daar actie op. Ook dit leg je vast bij de periodieke review. Maak voor een juiste vastlegging gebruik van ons template. Door op deze wijze de periodieke review vast te leggen, wordt voor mij als auditor bij de ENSIA-audit inzichtelijk op wat voor wijze de controle is uitgevoerd en kan ik controleren of de periodieke review op de juiste wijze is uitgevoerd. Tenslotte is het van groot belang dat de periodieke review door iemand anders dan de applicatiebeheerder wordt uitgevoerd. Denk bijvoorbeeld aan de applicatie- of proceseigenaar. Zo voorkom je dat ‘de slager z'n eigen vlees keurt’.

Download de PDFTemplate vastlegging periodieke review autorisaties

Volgende blogs: tips voor dataclassificatie en wijzigingsbeheer

Hopelijk heb ik in deze blog een aantal handvatten geboden voor een van de moeilijkere normen van de ENSIA-audit. En hopelijk is de periodieke controle van autorisaties meer geworden dan het produceren van documenten waar de ENSIA-auditor tevreden over is. In de reeks ‘moeilijke normen’: tips voor de  dataclassificatie én wijzigingsbeheer volgen in mijn volgende blogs. Deze twee items worden ook vaak als veelvoorkomende struikelblokken ervaren in de ENSIA-verantwoording.

Dit bericht is meer dan zes maanden geleden gepubliceerd. Omdat wet- en regelgeving continu in beweging is, raden wij u aan met uw Baker Tilly adviseur te bespreken of de informatie in dit bericht actueel is en gevolgen heeft (of mogelijkheden biedt) voor uw situatie. Uw adviseur praat u graag bij over de laatste stand van zaken.

De laatste wetgeving en tips voor uw industrie

Schrijf u in voor onze nieuwsbrief