}

Scope van permissies: the next big audit thing?

In de 10 jaar dat ik werkzaam ben in het vakgebied van Identity & Access Management heb ik de vraagstelling vanuit onze klanten en prospects aanzienlijk zien veranderen. In 2009 was het nog heel gebruikelijk om de user accounts handmatig aan te maken in de Active Directory en dan het liefst middels Copy-User van een bestaande gebruiker die ongeveer hetzelfde werk doet als de nieuwe gebruiker. Gelukkig zijn sinds die tijd de nadelen en mogelijke gevolgen van deze werkwijze steeds meer inzichtelijk geworden voor organisaties. Het handmatig AD beheer is immers arbeidsintensief, foutgevoelig en met copy-user is de kans groot dat er teveel rechten van de voorbeeld gebruiker mee gekopieerd worden, met als gevolg dat de nieuwe gebruiker meer rechten heeft dan hij of zij behoort te hebben en daarbij het risico bestaat dat de gebruiker handelingen uit kan voeren waartoe hij of zij niet bevoegd is en/of toegang heeft tot gegevens die hij of zij niet in mag zien. 

Audits

In de afgelopen jaren is er dus veel veranderd. Onder invloed van o.a. de NEN7510, audits, meldpunt datalekken en AVG/GDPR, is de noodzaak om geautomatiseerd en gestructureerd user account- en autorisatiebeheer toe te passen sterk toegenomen. Dit bewustwordingsproces heeft ertoe bijgedragen dat inmiddels het overgrote deel van de organisaties met meer dan 500 user accounts hun user accountbeheer geautomatiseerd hebben en veelal ook bezig zijn om (in meer of mindere mate) rolgebaseerd de autorisaties toe te kennen.

Rolgebaseerd

Bij het rolgebaseerd toekennen van autorisaties wordt veelal in eerste instantie de focus gelegd op het bepalen van welke applicaties een gebruiker wel of niet nodig heeft en welke files en folders op het filesysteem de gebruiker toegang toe dient te hebben. In een vervolgstap komen de autorisaties in de applicaties aan bod. Deze eerste stap wordt ook wel de toegang tot de poort genoemd en de tweede stap de toegang achter de poort. Het goed inrichten van deze twee stappen is voor met name grotere organisaties een flinke klus. Advisering door een Business Consultant op basis van de ervaring bij vergelijkbare opdrachten kan zeker helpen, maar de bepaling welke autorisaties horen bij welke rollen, zal uiteindelijk toch door de organisatie zelf gedaan moeten worden.

The next big thing

Met het bepalen van de rollen en de bijbehorende toegang tot applicaties, alsmede de rechten binnen de applicaties, zijn we er echter nog niet. Voor veel applicaties zal het zetten van de juiste rechten in de applicatie veelal voldoende zijn, maar in de gevallen waar het gaat om privacygevoelige informatie, zoals bijvoorbeeld de toegang tot patiëntgegevens, komt er nog een derde en heel belangrijk aspect bij kijken, namelijk de scope van de permissies. Met andere woorden, van welke groep van patiënten krijgt iemand toegang tot de patiëntgegevens. Het OLVG was hierover recentelijk in het nieuws. Door te ruime autorisaties en het niet definiëren van de scope van de permissies, konden werkstudenten op het OLVG alle medische dossiers inkijken. Het profiel van de werkstudenten, die snel moesten kunnen schakelen tussen verschillende afdelingen, stond onbedoeld zo ingesteld dat zij patiënten van álle specialismen konden opzoeken. Het OLVG had net de pech hierover in de publiciteit te komen, maar ongetwijfeld zullen er in de praktijk meer van dergelijke situaties bestaan. Doordat er nu een ziekenhuis mee in de publiciteit gekomen is, ontstaat er aandacht voor deze derde stap in het inrichten van een rolgebaseerd autorisatiemodel. Ondanks dat al jaren bekend is dat medisch personeel alleen toegang mag hebben tot de patiëntgegevens van patiënten waar ze een behandelrelatie mee hebben, is dit voor zorgorganisaties in de praktijk niet zo 1-2-3 in te richten. In de praktijk van alledag met de diverse projecten die gerealiseerd moeten worden, is dit een onderwerp wat zich gemakkelijk vooruit laat schuiven. Totdat er een zorgorganisatie negatief mee in de publiciteit komt en dan wordt er opnieuw prioriteit aan toegekend. Na het bepalen van de applicaties behorende bij de rollen en de autorisaties binnen de applicaties is dit the next big audit thing voor veel organisaties. 

Meer weten?

Bent u benieuwd naar hoe wij u kunnen helpen bij het veilig inrichten van de rolverdeling en toegang tot privacygevoelige informatie? Neem dan contact met ons op.

Meer informatie over Identity Access Management: Download IAM whitepaper

Naleving wetgeving HIPAA, SOX, NEN 7510, HKZ

Hoe kunnen IT-managers aantonen dat zij hun IT volledig onder controle hebben? Hebben ex-medewerkers gegarandeerd geen toegang meer tot het netwerk? Is functiescheiding geregeld? Kan een medewerker facturen goedkeuren en ook uitbetalen? Is het mogelijk direct en altijd aan te tonen wie wanneer voor welke medewerker een wijziging heeft doorgevoerd? De Identity and Access Management oplossingen van Tools4ever bieden extra ondersteuning bij het naleven van wet- en regelgeving op het gebied van HIPAA, SOX, NEN 7510, HKZ, etc.

Lees meer

Categorieën

Role Based Acces Control

audit, compliance, sox, hipaa, wetgeving, regelgeving, corporate governance, nen 7510, hkz, compliance management

NEN 7510 en Identity and Access Management

Tools4ever heeft als leverancier van Identity and Access Managementoplossingen jarenlange ervaring in de zorgmarkt ten aanzien van het optimaliseren van beheerprocessen en het verbeteren van de informatiebeveiliging. De implementaties van Tools4ever hebben onder meer tot doel om eenvoudig te voldoen aan de eisen die gesteld worden in de NEN 7510.

Lees meer

audit, compliance, sox, hipaa, wetgeving, regelgeving, corporate governance, nen 7510, hkz, compliance management

Single Sign-On in combinatie met virtual desktop (VDI): ingelogde sessie meenemen

De Follow Me functionaliteit van onze Single Sign On oplossing is een alternatief voor Fast User Switching en werkt alleen in combinatie met gevirtualiseerde desktops (Microsoft RDS, VMware View en Citrix XenApp/XenDesktop) of Terminal Services. De gebruiker start met het inloggen op het netwerk en het opstarten van de benodigde applicaties (E-SSOM zorgt voor automatic login). Als deze gebruiker van werkplek wisselt dan heeft hij de mogelijkheid om de ingelogde virtual desktop 'mee te nemen' naar een andere werkplek. De gebruiker kan binnen 8 seconden re-connect worden met de al eerder gestarte desktop met de openstaande applicaties.

Lees meer

NEN 7510 versus cliënttevredenheid

Het is alweer een aantal jaar geleden dat de NEN 7510 werd geïntroduceerd. Maar omdat de NEN 7510 geen harde eis (geworden) is die wordt afgedwongen in regelgeving zijn er nog steeds zorgorganisaties die niet volledig compliant zijn met de NEN 7510. En dat hoeft op zichzelf niet iets negatiefs te zijn. Wij horen vaak van onze klanten in de zorgsector dat zij zeker wel in lijn met de NEN 7510 werken, maar dat voor deze organisaties de tevredenheid van cliënten of patiënten van groter belang is dan de eis zelf.

Lees meer

Categorieën

Role Based Acces Control

NEN 7510, nen7510, regelgeving, self-service, single sign-on, wachtwoordbeheer