Rechtenmatrix

Je bedrijf heeft waarschijnlijk minimaal een tiental applicaties waar belangrijke bedrijfsprocessen op draaien of informatie opgeslagen wordt. Medewerkers hebben deze applicaties en informatie nodig om hun werk uit te voeren. Maar niet elke medewerker hoeft altijd bij dezelfde gegevens. En misschien wil je de toegang tot sommige gegevens beperken tot een kleine groep. Bijvoorbeeld de financiële gegevens, personeelsgegevens of waardevolle formules die niet voor alle ogen bestemd zijn. Het is daarom belangrijk om binnen de organisatie te bepalen wie waartoe toegang (autorisatie) heeft. Dat doe je met een rechtenmatrix.

Risico's bij ongeautoriseerde toegang

Wanneer je geen inzicht hebt in de autorisaties binnen je organisatie, loop je het risico dat er incidenten ontstaan. Bewust of onbewust. Denk bijvoorbeeld aan de volgende scenario’s:

  • Onbevoegden hebben mogelijk inzicht in (vertrouwelijke) persoonsgegevens waar je zorgvuldig mee om moet gaan volgens de Algemene Verordening Gegevensbescherming (AVG).
  • Medewerkers verwijderen per ongeluk bestanden of netwerkschijven die ze niet nodig hebben voor hun werk.
  • Het account van een medewerker is gehackt en omdat hij ongelimiteerde toegang had, zijn veel bedrijfsgegevens versleuteld met ransomware.
  • Als een medewerker uit dienst gaat, kunnen problemen ontstaan als niet duidelijk is waar de medewerker toegang toe heeft.
  • De kans op fraude is groter wanneer iemand zichzelf veel rechten kan geven en veel rollen op zich kan nemen.

Mogelijk is het helemaal geen probleem dat alle medewerkers alles kunnen 'inzien'. Maar 'inzien' betekent zonder beperkingen in de rechten dat 'aanpassen' en 'verwijderen' ook mag. Wil je dat?

Rechtenmatrix

Met een rechtenmatrix creëer je een overzicht welke medewerker waar en welke rechten toe heeft. Dit kan in de vorm van een simpele spreadsheet waarin je per applicatie en informatiebron aangeeft wie welk soort rechten heeft.

In het volgende voorbeeld tonen de kolommen de resources binnen de organisatie en kan per medewerker worden aangegeven of een medewerker lees- of schrijfrechten heeft. In dit voorbeeld betekent schijfrechten automatisch ook leesrechten.

 

Deze redelijk simpele manier kan al snel een nuttig effect hebben. Maar wanneer het aantal medewerkers en verschillende type applicaties en informatiebronnen toeneemt, kan het onoverzichtelijk worden. Daardoor wordt het lastiger om de rechten toe te kennen en te toetsen. 

 

Rechtenmatrix met gebruikersrollen

Een manier om dit op te lossen is door rechten in te delen op basis van gebruikersrollen. Deze gebruikersrollen kunnen overeenkomen met de gangbare functies die binnen een organisatie bekend zijn. Bijvoorbeeld de gebruikersrol 'administratief'. Omdat het in de praktijk voorkomt dat binnen een functie afwijkende rechten gewenst zijn, kunnen de gebruikersrollen afwijken van de functies. Het is dan de bedoeling dat je nooit direct rechten toekent aan een medewerker, maar dit altijd doet aan de hand van de gebruikersrol waar de medewerker toe behoort. Dit heeft als voordeel dat het overzichtelijk blijft. En dat komt het toetsen en het inrichten ten goede.

Hieronder zie je in de eerste tabel een overzicht welke medewerker er tot welke gebruikersrol toebehoort. In de tweede tabel zijn op basis van deze rollen rechten toegekend aan de resources.

 

 

Aan deze opzet met gebruikersrollen kleeft wel een nadeel. Je mist een bepaalde flexibiliteit in het toekennen van rechten. Stel dat je Medewerker A ook toegang wilt geven tot een specifieke netwerkfolder en andere medewerkers in dezelfde gebruikersrol niet. Daarin voorziet deze opzet niet. Je opties zijn dan om de toegang voor de hele gebruikersrol op te rekken, of om Medewerker A een andere gebruikersrol te geven. Ondanks het gemis aan flexibiliteit, levert dit wel een zorgvuldiger afwegingskader voor rollen en rechten. 

 

Actueel houden en toetsen

Of je nu kiest om je rechtenindeling bij te houden op basis van gebruikersrollen of direct per gebruiker, het blijft belangrijk een goed proces in te richten voor het aanpassen van de rechten. Op deze manier voorkom je dat documentatie niet bijgehouden wordt of dat er toch schaduwrechten ontstaan omdat “even snel“ rechten zijn toegekend.

Enkele aandachtspunten bij het rechtenproces:

  • Maak scherp wie er toestemming moet geven wanneer er een verzoek is om rechten aan te passen. Zo’n verzoek ontstaat bijvoorbeeld als een medewerker in- of uit dienst treedt of bij een functiewijziging.
  • Zorg dat het duidelijk is wie verantwoordelijk is voor het actueel houden van het overzicht.
  • Toets minimaal één keer per jaar de rechtenindeling:
    • Is de rechtenindeling ook daadwerkelijk ingericht in de informatiesystemen en applicaties?
    • Redeneer of de rechten nog wel logisch zijn. Is het nog steeds wenselijk of noodzakelijk dat bepaalde medewerkers of gebruikersrollen bepaalde rechten hebben?