iso27diy-corp/Clients/Humankind/Autorisatiematrix HK.md

Voorstel aanpak Toegangsbeleid applicaties

Uitgangspunten

Binnen Humankind verwerken we grote hoeveelheden informatie in veel verschillende applicaties (bij een recente telling zaten we op ongeveer 85 verschillende). Een aanzienlijk deel van die informatie is vertrouwelijk en privacy gevoelig. Daarom is het van belang dat toegang tot vertrouwelijke informatie beperkt wordt tot de mensen die de informatie nodig hebben. Dit is het 'need to know' principe. De achterliggende gedachte is simpel: hoe meer mensen een 'geheim' weten, des te groter de kans dat het uitlekt.

Het is ook verstandig om mensen niet méér rechten te geven in applicaties dan nodig is. De integriteit van informatie loopt gevaar als rechten te breed gesteld zijn – denk aan het wijzigen van salarisgegevens, het goedkeuren van inkoopfacturen, of het toevoegen of verwijderen van gebruikers in een systeem. Dit is het 'least privilege' principe.

Deze twee principes vormen de basis voor het toegangsbeleid van Humankind. Vanuit deze principes bouwen we een 'Rechtenmatrix', waarin is vastgelegd welke informatie toegankelijk moet zijn voor welke functies en rollen.

Reikwijdte Deze aanzet tot beleidsvorming richt zich vooral op de verschillende SaaS applicaties. De rechtenmatrix voor de Microsoft omgeving (w/o SharePoint) is onderdeel van het project van Data4.

Noodzaak Het is voor de afdeling Informatiemanagement praktisch onuitvoerbaar om het rechtenbeheer te voeren over alle applicaties die binnen Humankind gebruikt worden. Daarom is het beheer van rechten voor applicaties buiten de Microsoft omgeving gedelegeerd aan de Functioneel Beheerders. Vanuit het oogpunt van informatiebeveiliging is het verstandig als ze hiervoor duidelijke richtlijnen kunnen volgen, die beleidsmatig zijn vastgesteld.

Opbouwen van de rechtenmatrix

De eerste stap is te kijken naar de verschillende functies/rollen in de organisatie, en welke informatie er nodig is om de bijbehorende werkzaamheden goed uit te voeren. Daarna bepaal je welke rechten iemand nodig heeft op de verschillende applicaties die hij/zij bij zijn/haar werk moet gebruiken.

Uitgangspunten daarvoor zijn:

• het Functieboek van Management en Organisatie
• het Processenhuis uit het programma Beter Sturen, waarin per afdeling is vastgelegd welke processen er worden aangestuurd en uitgevoerd

Stappen:

1. Bekijk per functie uit het Functieboek, welke werkzaamheden daarbij horen (het Processenhuis kan daarbij helpen)
2. Bepaal op basis van de werkzaamheden welke gegevens minimaal nodig zijn om ze uit te voeren ('need to know'), en uit welke applicaties die gegevens moeten komen
3. Bepaal welke rechten in ieder systeem nodig zijn, om het werk dat bij de functie hoort te kunnen uitvoeren.

Om de rechten in te delen, kun je een zgn. BREAD matrix¹ maken. De letters staan voor:

• Browse: overzichten bekijken, maar niet de details (denk aan personeelsoverzichten, maar niet de gegevens van individuen, vaak om privacy-redenen )
• Read: bekijken of inzien, ook van details
• Edit: wijzigen
• Add: invoeren of aanmaken
• Delete: verwijderen

Evt. Execute / Approve toevoegen.

Soms zul je er nog een opmerking bij moeten zetten, bijv.: 'Alleen voor zijn/haar locatie'.

Je komt dan uit op tabellen als hieronder (bijvoorbeeld):

Wat er boven de kolommen staat, kan ws. het best bepaald worden door de functioneel beheerders, omdat zij weten hoe de applicatie is ingericht.

Vervolg

Ik stel voor:

• de bovenstaande uitgangspunten en aanpak beschrijven als beleidsstuk (ter goedkeuring door de juiste personen) – daarin moet ook het proces beschreven worden voor het uitdelen en ontnemen van rechten, en een steekproefsgewijze periodieke controle of rechten in de applicaties overeenkomen met de matrix.
• de matrix opstellen en invullen, samen met de functioneel beheerders van de verschillende applicaties.

---

1. Dit is een variant op de CRUD matrix; ik vind de begrippen uit BREAD aansprekender voor niet-technische mensen. ↩︎