Scope van permissies: the next big audit thing?

Door: Robert van der Zwan, Senior Accountmanager bij Tools4ever

In de 10 jaar dat ik werkzaam ben in het vakgebied van Identity & Access Management heb ik de vraagstelling vanuit onze klanten en prospects aanzienlijk zien veranderen. In 2009 was het nog heel gebruikelijk om de user accounts handmatig aan te maken in de Active Directory en dan het liefst middels Copy-User van een bestaande gebruiker die ongeveer hetzelfde werk doet als de nieuwe gebruiker. Gelukkig zijn sinds die tijd de nadelen en mogelijke gevolgen van deze werkwijze steeds meer inzichtelijk geworden voor organisaties. Het handmatig AD beheer is immers arbeidsintensief, foutgevoelig en met copy-user is de kans groot dat er teveel rechten van de voorbeeld gebruiker mee gekopieerd worden, met als gevolg dat de nieuwe gebruiker meer rechten heeft dan hij of zij behoort te hebben en daarbij het risico bestaat dat de gebruiker handelingen uit kan voeren waartoe hij of zij niet bevoegd is en/of toegang heeft tot gegevens die hij of zij niet in mag zien. 

Audits

In de afgelopen jaren is er dus veel veranderd. Onder invloed van o.a. de NEN7510, audits, meldpunt datalekken en AVG/GDPR, is de noodzaak om geautomatiseerd en gestructureerd user account- en autorisatiebeheer toe te passen sterk toegenomen. Dit bewustwordingsproces heeft ertoe bijgedragen dat inmiddels het overgrote deel van de organisaties met meer dan 500 user accounts hun user accountbeheer geautomatiseerd hebben en veelal ook bezig zijn om (in meer of mindere mate) rolgebaseerd de autorisaties toe te kennen.

Rolgebaseerd

Bij het rolgebaseerd toekennen van autorisaties wordt veelal in eerste instantie de focus gelegd op het bepalen van welke applicaties een gebruiker wel of niet nodig heeft en welke files en folders op het filesysteem de gebruiker toegang toe dient te hebben. In een vervolgstap komen de autorisaties in de applicaties aan bod. Deze eerste stap wordt ook wel de toegang tot de poort genoemd en de tweede stap de toegang achter de poort. Het goed inrichten van deze twee stappen is voor met name grotere organisaties een flinke klus. Advisering door een Business Consultant op basis van de ervaring bij vergelijkbare opdrachten kan zeker helpen, maar de bepaling welke autorisaties horen bij welke rollen, zal uiteindelijk toch door de organisatie zelf gedaan moeten worden.

The next big thing

Met het bepalen van de rollen en de bijbehorende toegang tot applicaties, alsmede de rechten binnen de applicaties, zijn we er echter nog niet. Voor veel applicaties zal het zetten van de juiste rechten in de applicatie veelal voldoende zijn, maar in de gevallen waar het gaat om privacygevoelige informatie, zoals bijvoorbeeld de toegang tot patiëntgegevens, komt er nog een derde en heel belangrijk aspect bij kijken, namelijk de scope van de permissies. Met andere woorden, van welke groep van patiënten krijgt iemand toegang tot de patiëntgegevens. Het OLVG was hierover recentelijk in het nieuws. Door te ruime autorisaties en het niet definiëren van de scope van de permissies, konden werkstudenten op het OLVG alle medische dossiers inkijken. Het profiel van de werkstudenten, die snel moesten kunnen schakelen tussen verschillende afdelingen, stond onbedoeld zo ingesteld dat zij patiënten van álle specialismen konden opzoeken. Het OLVG had net de pech hierover in de publiciteit te komen, maar ongetwijfeld zullen er in de praktijk meer van dergelijke situaties bestaan. Doordat er nu een ziekenhuis mee in de publiciteit gekomen is, ontstaat er aandacht voor deze derde stap in het inrichten van een rolgebaseerd autorisatiemodel. Ondanks dat al jaren bekend is dat medisch personeel alleen toegang mag hebben tot de patiëntgegevens van patiënten waar ze een behandelrelatie mee hebben, is dit voor zorgorganisaties in de praktijk niet zo 1-2-3 in te richten. In de praktijk van alledag met de diverse projecten die gerealiseerd moeten worden, is dit een onderwerp wat zich gemakkelijk vooruit laat schuiven. Totdat er een zorgorganisatie negatief mee in de publiciteit komt en dan wordt er opnieuw prioriteit aan toegekend. Na het bepalen van de applicaties behorende bij de rollen en de autorisaties binnen de applicaties is dit the next big audit thing voor veel organisaties.

Meer weten?

Bent u benieuwd naar hoe wij u kunnen helpen bij het veilig inrichten van de rolverdeling en toegang tot privacygevoelige informatie? Neem dan contact met ons op.

Meer informatie over Identity Access Management: Download IAM whitepaper

• autorisaties
• applicaties
• rollen
• toegang
• scope
• permissies
• audits
• AVG
• GDPR
• privacygevoelige informatie