Autorisatiematrix opstellen in 10 stappen

Autorisatiebeheer op orde houden is een lastige klus. Het is belangrijk dat de juiste personen de juiste toegangsrechten hebben. Hoe groter de organisatie, hoe meer rechten er worden verstrekt. Met behulp van een autorisatiematrix houdt u grip op uw autorisatiebeheer.

Het opstellen van een autorisatiematrix kan een lastige klus zijn als u niet weet hoe u moet beginnen. Onder autorisatiebeheer valt veel meer dan slechts toegang tot bepaalde software applicaties. Denk bijvoorbeeld ook aan het verlenen van toegang tot bepaalde ruimtes of gebouwen, maar ook aan telefoons, laptops en tablets. Al deze elementen dienen te worden meegenomen in een autorisatiematrix.

> Bekijk ons autorisatiematrix voorbeeld.

Uw autorisatiebeheer op orde met behulp van een autorisatiematrix? Met de volgende 10 stappen stelt u uw eigen autorisatiematrix op:

  1. Inventarisatie vooraf
  2. Inventarisatie gebruikersgroepen
  3. Rechten bepalen
  4. Rechten groeperen
  5. Inventarisatie speciale permissies
  6. Stel de autorisatiematrix op
  7. Controle en vaststelling autorisatiematrix
  8. Toepassen van de autorisaties
  9. Periode controles
  10. Reviews

Lees verder onder de afbeelding.

Autorisatiematrix opstellen - twee vrouwen werken op laptop

 

1. Inventarisatie vooraf

Voordat u aan de autorisatiematrix kunt beginnen, is het belangrijk om te weten wat de huidige stand van zaken is binnen uw organisatie. Inventariseer daarom de huidige informatiesystemen en -processen. Neem hierbij ook fysieke ruimtes mee en apparatuur.

2. Inventarisatie gebruikersgroepen

Inventariseer per informatiesysteem en -proces de gebruikersgroepen. Vaak hebben deze overeenkomsten met bedrijfsstructuren, zoals verschillende afdelingen of bepaalde functies. Zorg dat u voor uzelf duidelijk heeft welke gebruikersgroep welk informatiesysteem of -proces beheert.

3. Rechten bepalen

Bepaal per gebruikersgroep welke rechten zij nodig hebben. Deze rechten zijn vaak in te delen in:

  • Leesrechten van gegevens;
  • Mogelijkheden tot aanmaken van gegevens;
  • Mogelijkheden tot wijzigen van gegevens;
  • Mogelijkheden tot verwijderen van gegevens;
  • Uitvoeren van specifieke functies.

4. Rechten groeperen

Nu u weet van iedere gebruikersgroep welke rechten zij nodig hebben, kunt u de rechten groeperen in bepaalde rollen. In de meeste applicaties zijn deze rollen al aanwezig en hoeft u slechts de juiste rechten te koppelen aan de rol. In andere gevallen dient u de rol nog aan te maken.

5. Inventarisatie speciale permissies

Ga per informatiesysteem- en proces na welke speciale permissies (rechten) er zijn. Vaak hebben deze permissies te maken met beheerder- of administrator rechten. Een voorbeeld hiervan is het aanmaken en/of wijzigen van gebruikers. Voor deze permissies geldt dat deze aan zo klein mogelijke groepen of enkel aan specifieke personen toegewezen dienen te worden.

6. Stel de autorisatiematrix op

Leg alle gevonden informatie, gebruikersgroepen en rollen vast in een autorisatiematrix. Geef per rol aan welke rechten en welke groepen daar aan gekoppeld dienen te worden.

Wilt u weten hoe een autorisatiematrix eruit kan komen te zien? Bekijk ons autorisatiematrix voorbeeld.

7. Controle en vaststelling autorisatiematrix

Laat de autorisatiematrix door de verantwoordelijke van ieder informatiesysteem en -proces controleren en goedkeuren. Pas vervolgens de matrix aan door de ontvangen feedback te verwerken. Zo weet u zeker dat u niets over het hoofd ziet.

8. Toepassen van de autorisaties

De vastgestelde autorisaties dienen uiteraard te worden toegepast. Vaak is de bestaande inrichting hier niet mee in overeenstemming. Daardoor dienen binnen de organisatie de benodigde aanpassingen te worden gedaan.

9. Periodieke controles

Binnen autorisatiebeheer kan regelmatig het een en ander veranderen. Daarom is het van belang om periodieke controles uit te voeren om te kijken of de autorisatiematrix nog in orde is. Hierbij kijkt u of de toegepaste rollen en autorisaties nog in overeenstemming zijn met de autorisatiematrix. De autorisatiematrix wordt toegepast in de verschillende systemen. Ook kijkt u of er wellicht aanpassingen nodig zijn. Voer deze aanpassingen direct door. Voer een periodieke controle minstens één keer per jaar uit, liefst vaker - bijvoorbeeld elke 3 maanden.

10. Reviews

Tot slot is het belangrijk om de autorisatiematrix zelf zo nu en dan te reviewen. Hierbij kijkt u of de matrix (als beleid) nog voldoet aan de wensen en behoeften. Na deze aangepast te hebben dient deze opnieuw vastgesteld en toegepast te worden (zie stappen 7 en 8). Een dergelijke review zou minimaal één keer per jaar uitgevoerd moeten worden, bijvoorbeeld voorafgaand aan de periodieke controle.

Uw autorisatiebeheer op orde

Ondanks dat u met de bovenstaande stappen een goede autorisatiematrix in handen hebt en houdt, komen toch vaak dezelfde problemen rondom autorisatiebeheer terug. Veel van deze fouten kunt u eenvoudig vermijden. Lees in ons blog alles over veelgemaakte problemen bij autorisatiebeheer.

Hebt u aan de hand van het stappenplan uw autorisatiematrix kunnen creëren? Of loopt u nog tegen problemen aan? Wij helpen u graag op het gebied van informatiebeveiliging. Neem vrijblijvend contact met ons op, wij staan graag voor u klaar.

 

Een autorisatiematrix opstellen doe je eenvoudig met Base27.

BEKIJK DE TOOL

 

Recente berichten

Meer weten over informatiebeveiliging?

Download onze complete gids.
Download nu de complete gids

Deze blogs vindt u wellicht ook interessant:

Autorisatiematrix opstellen

Wat is een informatiebeveiligingsplan?

Dat het belangrijk is om de informatiebeveiliging binnen uw bedrijf op orde te hebben, dat weet u waarschijnlijk wel. U wilt immers niet negatief in de publiciteit komen omdat er een datalek heeft plaatsgevonden binnen of rondom uw organisatie. Met...
Autorisatiematrix opstellen

Bewustwording en gedragsregels rondom informatiebeveiliging

De informatiebeveiliging van uw organisatie is zo sterk als de zwakste schakel. U kunt alles nog zo goed op orde hebben, maar iedere zwakke plek kan de gehele betrouwbaarheid van informatiebeveiliging naar beneden halen. Wist u dat in de praktijk...
Autorisatiematrix opstellen

Wat wordt bedoeld met GRC: Governance, Risk and Compliance en hoe geeft u hier invulling aan?

Het kan zijn dat uw organisatie moet voldoen aan een combinatie van diverse normen rondom informatiebeveiliging. Vaak is het zo dat een ISMS dan onvoldoende ondersteuning biedt. U zult dan op zoek moeten naar een oplossing die met een overkoepelend...