Bijdrage van Sander Oldenkamp – Functioneel Beheerder bij LINKIT
Welke actie is redelijk eenvoudig en verkleint de kans op een datalek het meest? Het invoeren van Role Based Access Control! Wie neemt hierin het voortouw binnen de organisatie en wat houdt jou tegen (als functioneel beheerder)?
Datalek
Als startende functioneel beheerder bij een GGD zag ik mijzelf niet als degene die voorop liep in het dichten van security risico’s binnen de organisatie. Maar toen tijdens de Corona-periode er sprake was grootschalige datalekken waarin medische informatie op straat kwam te liggen, ging me dat wel aan het hart.
Als functioneel beheerder sprak ik dagelijks met gebruikers en eigenaren van applicaties die toegang gaven tot gevoelige informatie. Ik zag hoe nieuwe medewerkers snel aan de slag moesten en daarom maar de rechten van huidige medewerkers geknipt en geplakt kregen. Applicaties werden aangepast maar wanneer we als GGD op deze manier toegang zouden blijven geven, zou het risico op datalekken altijd groot blijven.
Beperken
Al doe je nog zo je best als organisatie, datalekken zijn eigenlijk nooit volledig te voorkomen. Maar je kan wel de kans en de impact van een datalek flink beperken. De meest eenvoudige manier om de kans dat iemand toegang krijgt tot gevoelige informatie is het beperken van het aantal mensen dat bij een databron kan komen. In IAM en RBAC noemen we dit het toepassen van het least privilege principe. RBAC, wat staat voor Role Based Access Control, houdt feitelijk in dat je alleen toegang krijgt, voor een taak die je uitvoert of rol die je hebt binnen de organisatie.
In kaart brengen
De meest herkenbare rollen binnen een organisatie zijn de functies die medewerkers hebben. En zo startte ik met het in kaart brengen van de rechten die mijn collega’s in mijn team nodig hadden. Ik vroeg bij de afdeling IT de (active directory) toegangsrechten van mijn collega’s op. Twee collega’s met dezelfde functie legde ik naast elkaar, welke rechten had de een wel en de ander niet. Toen ik dit overzichtelijk had, legde ik dit voor aan mijn collega’s met de vraag erbij: ‘Welke rechten heb jij minimaal nodig om je werk in deze functie uit te kunnen voeren?’
| Medewerker 1 | Medewerker 2 |
|---|---|
| Recht A | Recht A |
| Recht B | Recht B |
| Recht C | Recht C |
| Recht Z | Recht F |
| Recht G | |
| Recht H |
MVP
Het was soms even puzzelen en uittesten wat er gebeurde wanneer er rechten afgenomen werden maar dit proces werkte. Na overleg mocht ik ook andere teams en afdelingen op deze manier RBAC-en. Ik was mij ervan bewust dat er waarschijnlijk meer geavanceerde en veel betere manieren bestaan.
Maar voor de meeste organisaties is deze eerste verbeterslag al een enorme vooruitgang en wordt de kans op een datalek met minstens vijftig procent verminderd. Zie het als het opstellen van een MVP (Minimal Viable Product), je doet een eerste grove verbeterslag. Wanneer dit effect geeft, ga je jouw RBAC-uitwerking verfijnen. Zijn er binnen een functie verschillende taken te onderscheiden en kun je bijvoorbeeld een rol opknippen in twee of meer.
| Functioneel beheerder A | Functioneel beheerder B |
|---|---|
| Rechten Productieomgeving Y | Rechten Productieomgeving Y |
| Rechten Acceptatieomgeving Y | Rechten Acceptatieomgeving Y |
| Admin Rechten Applicatie Y | Schijfrechten Map U |
| Leesrechten Map U | Rechten wijzigen Gegevens Account Database X |
| Rechten toevoegen Accounts Database X |
Processen inrichten
Het is natuurlijk heel goed dat je alle rechten per functie in kaart hebt gebracht. Maar hoe ga je dan het proces inregelen dat een nieuwe medewerker de juiste rechten ontvangt? Of dat een medewerker die van functie verandert de oude rechten wordt ontnomen en de rechten voor de nieuwe functie op tijd ontvangt? En welk proces ga je instellen wanneer een medewerker aangeeft dat deze extra rechten nodig heeft?
Na het opstellen van een MVP, een eerste opzet die de organisatie kan gaan gebruiken, ga je de vervolgvragen samen met stakeholders als HR, IT, functioneel beheer van verschillende applicaties en de CISO beantwoorden. Het beantwoorden van deze vragen valt niet binnen de scope van dit artikel*
Conclusie
RBAC geeft een hele mooie kans aan jou als functioneel beheerder om een bijdrage te leveren aan het Identity en Access beleid van organisaties. Veel organisaties beseffen heel goed dat RBAC of een andere vorm van autorisatiebeheer de hoogste prioriteit heeft. Maar met wie en waar begin je? Door klein te beginnen (je eigen team) en langzaam uit te bouwen tot een RBAC MVP bouw je niet alleen een veiliger situatie maar creëer je ook banden met diverse stakeholders uit de organisatie. Geef je organisatie IAM beleid een boost en breng tegelijk functioneel beheer tot een centrale plek in de organisatie.
Wil je vaker lezen over relevante kennis binnen het functioneel beheer vakgebied? Meld je hier aan voor onze functioneel beheer updates en ontvang elke 2 weken een nieuwe mail!
