Er zijn echter nogal wat risico’s als het gaat om autorisatie:
Teveel medewerkers wordt de toegang verleend
Niet alleen applicatiebeheerders kunnen gebruikers aanmaken
Gebruikers hebben te veel rechten
Medewerkers die uit dienst zijn gegaan, zijn niet tijdig verwijderd uit de applicatie
Medewerkers die van functie gewijzigd zijn, hebben nog altijd hun oude rechten.
ENSIA: vertrouwelijkheid en integriteit gegevens
Hoe check je voor de periodieke review of alleen medewerkers toegang hebben tot de applicatie die toegang moeten hebben én of zij de juiste rechten hebben? Of anders gezegd: hoe borg je de vertrouwelijkheid en integriteit van de functies en gegevens in de applicatie?
Periodieke review autorisaties
Voor de ENSIA-audit is het onvoldoende om de periodieke review af te doen met een lijstje met namen, dat ondertekend is en de opmerking bevat ‘akkoord’ of ‘gecontroleerd’. De eerste vraag die ik als auditor dan stel is: wat is er gecontroleerd? Plagerig vraag ik wel eens of de de juiste spelling van de namen gecontroleerd is. Ten tweede vraag ik me af: hoe bepaal ik of de controle juist is uitgevoerd? Is de handtekening niet een krabbel om de krabbel? En tenslotte zegt dit rijtje namen niets over welke rechten of rollen aan deze namen zijn toegekend. Is dat ook gecontroleerd? Of is het alleen een akkoord van de leidinggevende op het hebben van toegang tot de applicatie?
Vastleggen voor ENSIA-audit
Kortom: hoe weet je of iemand toegang moet hebben? Hoe weet je of iemand de juiste rechten heeft? En hoe kun je dat aantoonbaar controleren? Allereerst door in de controle zowel de werkelijke (IST) als de gewenst situatie (SOLL) met elkaar te vergelijken en die vergelijking vast te leggen. Met de werkelijke situatie bedoel ik de daadwerkelijke inrichting van rollen en rechten in de applicatie. Denk daarbij aan het vastleggen van screenshots of een export van de gebruikers en autorisaties.
Gewenste situatie
De gewenste situatie is ‘iets’ buiten de applicatie, waarmee je de instellingen in de applicatie kunt vergelijken. Dat ‘iets’ kan zijn:
Een HR-lijst met alle medewerkers en hun functie (indien de toegang tot en de rechten in de applicatie gerelateerd zijn aan de functie).
De leidinggevende van een afdeling die de autorisaties kan bevestigen. Bij een beperkt aantal gebruikers in de applicatie en een gering aantal mutaties is dit verdedigbaar. Bij hogere aantallen gebruikers is het risico te groot dat een leidinggevende zaken over het hoofd gaat zien.
Een autorisatiematrix waarin rechten en rollen zijn opgenomen en bij voorkeur gerelateerd zijn aan een functie en/of persoon. Voor Suwinet heeft BKWI voorbeelden van zo’n autorisatiematrix beschikbaar gesteld.
Inzicht ENSIA-auditor
Voor de periodieke review beoordeel je de verschillen tussen de gewenste en werkelijke situatie en onderneemt daar actie op. Ook dit leg je vast bij de periodieke review. Maak voor een juiste vastlegging gebruik van ons template. Door op deze wijze de periodieke review vast te leggen, wordt voor mij als auditor bij de ENSIA-audit inzichtelijk op wat voor wijze de controle is uitgevoerd en kan ik controleren of de periodieke review op de juiste wijze is uitgevoerd. Tenslotte is het van groot belang dat de periodieke review door iemand anders dan de applicatiebeheerder wordt uitgevoerd. Denk bijvoorbeeld aan de applicatie- of proceseigenaar. Zo voorkom je dat ‘de slager z'n eigen vlees keurt’.
Download de PDFTemplate vastlegging periodieke review autorisaties
Volgende blogs: tips voor dataclassificatie en wijzigingsbeheer
Hopelijk heb ik in deze blog een aantal handvatten geboden voor een van de moeilijkere normen van de ENSIA-audit. En hopelijk is de periodieke controle van autorisaties meer geworden dan het produceren van documenten waar de ENSIA-auditor tevreden over is. In de reeks ‘moeilijke normen’: tips voor de dataclassificatie én wijzigingsbeheer volgen in mijn volgende blogs. Deze twee items worden ook vaak als veelvoorkomende struikelblokken ervaren in de ENSIA-verantwoording.
Dit bericht is meer dan zes maanden geleden gepubliceerd. Omdat wet- en regelgeving continu in beweging is, raden wij u aan met uw Baker Tilly adviseur te bespreken of de informatie in dit bericht actueel is en gevolgen heeft (of mogelijkheden biedt) voor uw situatie. Uw adviseur praat u graag bij over de laatste stand van zaken.
