4. Beheer toegang tot data en diensten

Toegang tot informatie, systemen en locaties is nodig om je werk te kunnen doen. Om de kans op ongelukken en misbruik zo klein mogelijk te maken, is het van belang dat medewerkers binnen en partners buiten je organisatie alleen de toegang hebben die past bij de werkzaamheden en de periode waarvoor de toegang nodig is. Geef je mensen dus alleen toegang tot informatie, systemen en locaties die nodig zijn voor de uitvoering van hun taken.

Waarom dit basisprincipe? 

Het beheer van toegang moet goed geregeld zijn. Dit verkleint de kans op fouten door gebruikers. Het zorgt er ook voor dat kwaadwillenden minder kunnen doen als ze binnenkomen. Zij kunnen dan alleen bij wat past bij de rol waarmee ze zijn binnengekomen. Ook de toegang van service-accounts, machine-accounts en functionele accounts moet beperkt blijven tot wat nodig is.

 
Wat kun je doen?

1. Gebruik veilige, sterke en verschillende wachtwoorden

Met een wachtwoord bescherm je de vaste en mobiele apparaten van je bedrijf. Maar ook je bedrijfsgegevens in de cloud, draadloze netwerken, e-mailaccounts en sociale media-accounts. De meeste wachtwoorden bestaan uit een combinatie van letters en cijfers, maar er zijn ook andere opties zoals het gebruik van een pincode, Touch ID of beveiligingspatroon. Je kunt ook overwegen om gebruik te maken van passkeys.

2. Stel extra beveiliging in

Vaak is een wachtwoord alleen niet voldoende. Toegang tot bankzaken, bedrijfsgegevens in de cloud of de admin-omgeving van het bedrijfsnetwerk, vragen om extra beveiliging. Controleer of extra beveiliging mogelijk is en stel deze in. Denk hierbij aan multifactorauthenticatie (MFA) of tweefactorauthenticatie (2FA) en het inloggen met een token.

3. Bepaal toegang en gebruik een rechtenmatrix

Definieer per medewerker tot welke systemen en data zij toegang zouden moeten hebben om hun werk te kunnen doen. Het gebruik van een rechtenmatrix is hierbij handig.

4. Pas toegangsrechten aan en hou ze actueel

Zorg dat de toegangsrechten worden aangepast als iemand (van binnen en/of van buiten) een nieuwe functie krijgt of bij de onderneming vertrekt. In het geval van een plotseling (niet vrijwillig) vertrek van een systeembeheerder is dit extra belangrijk. Dit geldt ook indien er wordt gewerkt met bijvoorbeeld een nieuwe leverancier of boekhouder. Gebruik dit handige template voor in- en uitdiensttreders.

5. Maak een proces voor in- en uitdiensttreding van medewerkers

Zorg dat je processen hebt voor de indiensttreding, uitdiensttreding en interne doorstroming van medewerkers. Geef nieuwe medewerkers alleen toegang tot de middelen die ze nodig hebben. Dat geldt ook voor fysieke ruimtes zoals serverruimtes, of ruimtes waar gevoelige informatie ligt opgeslagen. Verwijder ongebruikte accounts. Deactiveer serviceaccounts en activeer deze alleen wanneer onderhoud plaatsvindt.

6. Gebruik persoonsgebonden accounts

Zorg dat toegang tot data en diensten persoonsgebonden is waarbij elke medewerker een eigen gebruikersaccount heeft. Vermijd generieke accounts, die gedeeld worden tussen bijvoorbeeld meerdere medewerkers, of meerdere medewerkers van een leverancier.

7. Vergrendel werkplekken en belangrijke systemen

Zorg dat systemen automatisch na een aantal minuten vergrendelen zodat deze niet toegankelijk zijn voor onbevoegden. Maak ook afspraken met medewerkers dat zij hun systeem zelf vergrendelen wanneer zij even van hun werkplek weglopen.