English English
Nederlands Nederlands
Naar de homepage
16 augustus 2019
Geüpdatet op: 11 maart 2025

Autorisatiebeheer is het proces van toewijzen van de juiste toegangsrechten aan de juiste personen, volgens een vastgesteld autorisatiebeleid. Dit beleid bepaalt wie toegang heeft tot welke informatie en systemen. 

Bij autorisatiebeheer draait het om het toewijzen van de juiste (toegangs-)rechten aan de juiste personen. Er zijn verschillende mogelijkheden of principes om dit uit te kunnen voeren. Zo is het mogelijk om personen aan een functie of rol te koppelen zodat slechts de daarbij behorende informatie zichtbaar is. Het is ook mogelijk om autorisatie andersom te beheren: informatie is niet beschikbaar tenzij anders aangegeven. Dit wordt vaak vastgelegd in een autorisatiebeleid. 

Een autorisatiebeleid is een formeel document dat de regels en procedures beschrijft voor het verlenen en intrekken van toegangsrechten tot informatie en systemen binnen een organisatie. Het beleid specificeert wie toegang heeft tot welke resources, onder welke voorwaarden, en wie verantwoordelijk is voor het beheer van autorisaties.

Het goed uitvoeren van autorisatiebeheer is zeer belangrijk. Effectieve autorisatie is belangrijk om gevoelige gegevens te beschermen, te voldoen aan wet- en regelgeving zoals de AVG, en de operationele efficiëntie te waarborgen. De informatiebeveiliging staat of valt met goed autorisatiebeheer. 

Onder autorisatiebeheer valt meer dan slechts toegang geven tot een bepaalde software/applicaties. Ook andere bedrijfsgegevens en digitale diensten of de toegang tot fysieke ruimtes en gebouwen vallen hieronder. Daarnaast ook devices zoals telefoons, laptops en tablets.

Ondanks dat goed autorisatiebeheer zeer belangrijk is, komen toch vaak dezelfde problemen terug. Deze fouten of problemen kunnen eenvoudig vermeden en opgelost worden: 

  1. Te veel kijken op applicatieniveau
  2. Wildgroei aan rollen en groepen
  3. Speciale permissies over het hoofd zien
  4. Verantwoordelijkheden zijn onvoldoende belegd
  5. Het niet uitvoeren van periodieke controles
  6. Geen reviews doen

autorisatiebeheer - man werkt op laptop

1. Te veel kijken op applicatieniveau

Autorisatiebeheer omvat veel meer dan slechts toegang tot applicaties. Door te veel te kijken op applicatieniveau wordt het autorisatiebeheer te specifiek en foutgevoelig. De structuur wordt al snel complex en omvangrijk, waardoor er gemakkelijk fouten gemaakt kunnen worden. Daarnaast is het controleren van autorisaties erg lastig of zelfs niet meer mogelijk. Oftewel, het paard wordt achter de wagen gespannen. 

Oplossing

Voor een zo overzichtelijk mogelijk autorisatiebeheer is het vaak beter om op hoger niveau te kijken, bijvoorbeeld vanuit processen. Informatiesystemen zijn een soort tussenvorm waarbij u niet één applicatie, maar alle informatie-houdende zaken met betrekking tot een bepaald proces meeneemt.

Een voorbeeld hiervan is het gebruik van een ERP-systeem, waarbij autorisatie wordt toegekend op basis van rollen binnen het bedrijfsproces, zoals inkoop, verkoop en productie.

2. Wildgroei aan rollen en groepen

Wanneer uw organisatie geen beleid heeft op het gebied van autorisatiebeheer, wordt er van alles toegevoegd en vaak nooit meer verwijderd. Denk aan medewerkers met meerdere accounts, terwijl slechts één account per persoon gewenst is. In de loop van de tijd zijn er dan veel rollen toegevoegd aan het systeem. Elk met diverse specifieke rechten. Er zijn soms zo veel rollen toegevoegd, dat er totaal geen overzicht meer is. Uiteraard is het overzicht te behouden met een autorisatiematrix, maar controle en naleving zijn moeilijk vanwege de omvang.

Oplossing

Om het grote aantal rollen en groepen overzichtelijk te houden, is het noodzaak om deze af en toe samen te voegen en op te schonen. Hierdoor krijgen mogelijk enkele gebruikers iets meer rechten dan strikt noodzakelijk, maar dit is vaak beter dan de hierboven omschreven wildgroei van rollen en groepen. Uiteraard is dit een belangrijke afweging.

Daarnaast is het ook zaak om de toegewezen rollen en groepen regelmatig te controleren en op te schonen. Zo blijft de toegewezen autorisatie actueel. Tools zoals Identity and Access Management (IAM) software of een Information Security Management System (ISMS) kunnen helpen bij het beheren en controleren van rollen en groepen.

3. Speciale permissies over het hoofd zien

Wanneer het overzicht in autorisatiebeheer zoek is, is het ook makkelijker om speciale permissies over het hoofd te zien. Diverse medewerkers, vaak IT beheerders, hebben aanzienlijk meer mogelijkheden dan de normale medewerkers, met de nodige risico’s van dien. Speciale permissies zijn bijvoorbeeld beheerfuncties (denk aan gebruikers beheer) en management-functies (denk aan autorisatie van betalingen). Permissies waar een enkeling met deze speciale rechten al veel kwaad kan doen. Hierdoor wordt het risico met betrekking tot informatiebeveiliging aanzienlijk groter.

Oplossing

Het is verstandig om het aantal gebruikers met speciale permissies te beperken. Implementeer het principe van 'least privilege', waarbij gebruikers alleen de minimale rechten krijgen die nodig zijn om hun taken uit te voeren. Gebruik sterke authenticatiemethoden, zoals multi-factor authenticatie, voor accounts met speciale permissies. 

In sommige gevallen is het beter om een extra rol met bepaalde speciale permissies te creëren, dan alle speciale permissies in één rol te combineren. Dit lijkt het tegenovergestelde van het probleem rondom de wildgroei, echter beperkt u in deze situatie het aantal personen en niet de rollen. Het aantal speciale rollen is uiteindelijk altijd beperkt omdat u maar één beperkt aantal medewerkers een speciale rol zult toewijzen.

Lees ook: Rollen en verantwoordelijkheden bij informatiebeveiliging

4. Verantwoordelijkheden zijn onvoldoende belegd

Theoretisch gezien zou de proces-/systeemeigenaar verantwoordelijk moeten zijn voor het  autorisatiebeheer. Echter is dit in de praktijk vaak anders. Daar is het vaak zo dat het autorisatiebeheer in handen is van de IT en dat zij alle rollen en permissies zonder goede beoordeling goedkeuren/toepassen. 

Oplossing

Om het autorisatiebeheer overzichtelijk te houden, is het verstandig om de procesverantwoordelijken de controle in handen te geven. Zij dienen hun goedkeuring te geven wanneer andere medewerkers een rol of specifieke rechten toegewezen willen krijgen. Workflows en approval processen kunnen dit proces automatiseren en documenteren. Hierin kunnen zij wel ondersteund worden door de IT afdeling.

periodieke controles - man schrijft op papier

5. Het niet uitvoeren van periodieke controles

Veel organisaties en bedrijven voeren geen periodieke controles uit op het  autorisatiebeheer. Het kan zijn dat dit wordt vergeten of dat het bedrijf vertrouwt op de techniek. Hierdoor ontstaan fouten in de inrichting van applicaties. Deze fouten worden niet opgemerkt en blijven daardoor lang bestaan. 

Voorbeeld: Een medewerker gaat uit dienst, maar doordat niemand het autorisatiebeheer in de gaten houdt, heeft hij nog heel lang toegang tot bepaalde applicaties. Ook kan het zijn dat een medewerker van functie verandert, maar dat dit niet wordt doorgevoerd in de applicatie(s). 

Oplossing

De controle op autorisatiebeheer blijft nodig, ook wanneer dit centraal geregeld wordt met behulp van Active Directory / IAM oplossingen. Om fouten te voorkomen dient er minimaal jaarlijks, maar bij voorkeur iedere 3 of 6 maanden, een controle uitgevoerd te worden. Gebruik geautomatiseerde tools om regelmatig user access reviews uit te voeren en inactieve accounts te deactiveren.

6. Geen reviews doen

Er worden geen reviews gedaan van tijd tot tijd. De organisatie verandert en daarmee ook wat mensen doen of moeten kunnen. In applicaties wordt dit vaak wel doorgevoerd maar in de afspraken niet. Als het dan mis gaat, bijvoorbeeld bij een datalek, dan is niet meer aan te tonen wie wat heeft gedaan en blijft de organisatie dus in gebreke.

Oplossing

Het is belangrijk om regelmatig een review te doen van de afgesproken autorisaties om onduidelijkheden te voorkomen. Een review is gemakkelijk te combineren met een periodieke controle, minimaal één keer per jaar. Zo vangt u direct twee vliegen in één klap. Doe de review voorafgaand aan de controle om fouten en onjuistheden te ontdekken. Documenteer alle autorisatiebeslissingen en wijzigingen in een centraal autorisatieregister. Daarnaast is het belangrijk om een review uit te voeren op het moment dat er belangrijke wijzigingen plaatsvinden.

Uw autorisatiebeheer verbeteren

Een goed autorisatiebeheer is belangrijk voor de beveiliging van uw organisatie. Door de veelvoorkomende problemen te adresseren en de juiste tools en processen te implementeren, kunt u de risico's minimaliseren en de efficiëntie maximaliseren.

Autorisatie is belangrijk om verschillende redenen:

  • Beveiliging: Het beschermt gevoelige gegevens tegen ongeautoriseerde toegang en misbruik.
  • Naleving: Het helpt organisaties te voldoen aan wet- en regelgeving, zoals de AVG.
  • Efficiëntie: Het stroomlijnt bedrijfsprocessen door ervoor te zorgen dat de juiste mensen toegang hebben tot de juiste resources.
  • Verantwoordelijkheid: Het legt vast wie verantwoordelijk is voor welke acties en gegevens.
  • Risicobeheer: Het minimaliseert de risico's op datalekken, fraude en andere beveiligingsincidenten.

Wilt u meer weten over hoe u uw autorisatiebeheer kunt optimaliseren? Wij helpen u graag op het gebied van autorisatiebeheer en informatiebeveiliging. Neem vrijblijvend contact met ons op, wij staan graag voor u klaar.

 

Houdt overzichtelijk uw autorisatiebeheer bij met Base27.

Vraag een demo aan

Wij helpen bedrijven met hun digitale veiligheid