Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Rechtenstructuur als levend wezen

 

fijnstof griep virus

Bij veel organisaties is door de jaren heen de nodige vervuiling opgetreden in de rechtenstructuur van het filesysteem. Dit kan een technische vervuiling zijn als gevolg van bijvoorbeeld wijziging van gebruikte server (van Novell naar NT4 naar Windows 2003 en vervolgens Windows 2008, et cetera). Dit kan ook het gevolg zijn van organisatorische veranderingen, zoals het centraliseren van ict-diensten en samenvoegen van afdelingen. Wat is de impact van deze vervuiling op de organisatie?

Vrijwel iedere organisatie begint om de zoveel jaar met een schone lei en dan ziet de wereld van mappen en rechten er gestructureerd uit. Na verloop van tijd verandert de samenstelling van de organisatie en de samenstelling van de gebruikte data. Een structuur van mappen en rechten beweegt helaas niet zo flexibel mee met de organisatie. En zo ontstaat geleidelijk een structuur en indeling van rechten die niet meer goed overeenkomt met de behoeften van de organisatie.

Instroom, doorstroom en uitstroom

De groeiende afwijking die ontstaat wordt groter omdat vervuiling mee gekopieerd wordt met iedere mutatie in het personeelsbestand. Instroom, doorstroom en in mindere mate uitstroom van personeel gaat gepaard met het uitdelen van rechten op een structuur die uit de pas gaat lopen met de organisatie. Wanneer een gestandaardiseerd en genormaliseerd proces voor het verwerken van deze mutaties ontbreekt, dan kunnen problemen in de rechtenstructuur en security-incidenten eenvoudig ontstaan. Een praktijkvoorbeeld:

Bij het toekennen van autorisaties voor een nieuwe arts in een ziekenhuis wordt een kopie gemaakt van een collega in een soortgelijke functie. Het risico hiervan is dat de nieuwe arts zo autorisaties krijgt die hij helemaal niet nodig heeft. De voorbeeldpersoon had bijvoorbeeld extra rechten om bestanden in een projectmap te kunnen bewerken. Er is ook een gevaar dat de voorbeeldgebruiker lid is van autorisaties (groepen) die op hun beurt ook weer lid zijn van groepen die vervolgens rechten uitdelen. Zo is de impact bijna niet te overzien.

In de praktijk wordt er weinig aandacht besteed aan het ontnemen van autorisaties wanneer een kopie wordt gemaakt van een andere medewerker. Het is immers van groter belang dat de nieuwe medewerker direct zijn/haar werk kan doen en in eerste instantie niet wat er mogelijk teveel gedaan kan worden. Daarnaast is de it-afdeling niet altijd op de hoogte van welke toegang tot gedeelde data en projectmappen exact nodig is. De nieuwe arts krijgt zo ongewenst en ongezien te veel rechten op mappen in het filesysteem en heeft toegang tot strikt persoonlijke patiëntgegevens.

Ook bij doorstroom van personeel, bijvoorbeeld een arts-assistent wordt arts in het ziekenhuis, gaat het vaak mis, omdat extra rechten worden toegekend die nodig zijn in de nieuwe functie en ‘oude’ rechten niet worden afgenomen.

Bij uitstroom van medewerkers moeten de bijbehorende user account tijdig worden vergrendeld zodat de toegang tot de bestanden en mappen ook direct wordt stopgezet. De situatie die dan ontstaat is dat het user account nog wel toegang heeft tot de bestanden en mappen, echter het user account kan niet meer voor de toegang gebruikt worden. In het geval van een (tijdelijke) ontgrendeling van het user account is alle toegang direct weer actief. Bij uitstroom is het daarom goed om over alternatieven na te denken, zoals het overzetten van de rechten van de medewerker naar de leidinggevende.

Compliance en audits

Organisaties die niet kunnen garanderen dat zij hun rechtenstructuur op orde hebben, lopen het risico dat zij niet compliant zijn met interne en/of externe wet- en regelgeving. Een opsomming van meest voorkomende compliancy-issues die gaan spelen wanneer de rechtenstructuur vervuild is:

•             Informatiebeveiliging: Het komen tot een adequate informatiebeveiliging vereist een goede en accurate controle op de personen die toegang hebben tot vertrouwelijke informatie, zoals patiëntgegevens. Bij vervuiling in de rechtenstructuur kan adequate informatiebeveiliging niet worden gegarandeerd.

•             Telefonie en internettoegang: Sommige organisaties hanteren strikt beleid over wie internettoegang mag krijgen. Internettoegang wordt dan gezien als een extra autorisatie, omdat het kan leiden tot hoge belasting van de bandbreedte en tot improductiviteit bij medewerkers. Wanneer rechten worden gekopieerd kunnen dit soort extra autorisaties worden mee gekopieerd.

•             Downloaden: Veel organisaties hebben een strikt beleid omtrent het downloaden en installeren van software op het eigen werkstation. Veelal geldt dat medewerkers na initiële installatie van hun pc geen andere software mogen installeren. Dit om hardnekkige virussen te voorkomen. Wanneer rechten gekopieerd worden van met name oudere medewerker in een soortgelijke functie, gaat het regelmatig mis. Medewerkers die al meer dan tien jaar in dienst zijn, hebben zich vaak wel het recht verworven om software te downloaden.

Vervuiling voorkomen

De map ‘rechtenstructuur’ is een levend wezen. Het verandert van dag tot dag en er zit veel menselijke interactie in. Het is daarom onrealistisch om te denken dat vervuiling in de rechtenstructuur volledig voorkomen kan worden. Waar menselijke interactie is, worden immers fouten gemaakt. Het is wel mogelijk om zo veel mogelijke menselijke handelingen te automatiseren en de standaardiseren.

Zo is het mogelijk om beheertaken, zoals create, delete user, reset wachtwoord, et cetera, te automatiseren met identity en access management-software. Met het inrichten van een identity management (idm)-oplossing kan het inrichten van toegangsrechten goed en secuur ingericht worden middels een automatische ontmantelingsprocedure of aanpassing van de toegangsrechten bij uitdiensttreding of functiewijziging. De idm-oplossing zorgt voor een automatische koppeling tussen de contractgegevens van medewerkers in het personeelssysteem en de Active Directory. Voor de niet-loondienstmedewerkers (externe partij, uitzendkrachten, maatschappen, et cetera) kunnen zaken ingeregeld worden als beperkte levensduur van het gebruikersaccount.

Door dit te combineren met role based access control (rbac) wordt naast userbeheer ook autorisatiebeheer geautomatiseerd. Volgens de rbac-methode worden autorisaties niet op individuele basis toegekend, maar op basis van rollen die zijn opgebouwd uit afdeling, functie, locatie en kostenplaats van een medewerker. Op basis van de rol die iemand vervult in de organisatie kan bij indiensttreding een account worden aangemaakt, waarmee hij/zij toegang krijgt tot exact de juiste applicaties die hij of zij nodig heeft voor het uitoefenen van zijn werkzaamheden. De leidinggevende hoeft geen aanvullende actie ondernemen zoals extra rechten toewijzen. Op het moment dat een rol van een persoon wijzigt, is de mutatie in het personeelssysteem de trigger om ook de rechten aan te passen aan de nieuwe rol en de voormalige rechten op te heffen.

Arnout van der Vorst is identity management architect bij Tools4ever

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/5114666). © Jaarbeurs IT Media.

6,5

 

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.