functiescheiding Archieven -

Het kennisniveau in relatie tot bijzondere rechten

door Geen categorie

Inmiddels hebben we al verschillende malen nagedacht over functiescheiding, rechten en plichten, beveiligingsbewustwordingsprogramma’s en ga zo nog maar even door. Nu wordt het ook tijd om te gaan kijken hoe goed al die maatregelen nu eigenlijk werken en hoe goed onze medewerkers nu echt zijn. Een gevoelig onderwerp, maar wel een waar we naar moeten kijken als we het echt veilig willen maken. Opzet en bestaan is goed, maar de werking is misschien nog wel het belangrijkst.

Daarom de vraag:
Worden alleen aan medewerkers met voldoende kennis en ervaring bijzondere rechten binnen de informatiesystemen verstrekt?

De eerste dag dat een medewerker met bijzonder rechten binnen komt, laten we hem niet los gaan op het systeem. Nee, we willen hem eerst introduceren en de systemen laten leren kennen. Maar op een gegeven moment hebben we: of geen tijd meer om hem te begeleiden, of het gevoel dat hij het nu wel zou moeten kunnen. Maar zijn beide aspecten een goede graadmeter? Kunnen we er nu echt vanuit gaan dat het hem wel gaat lukken? Misschien toch te risicovol…daarom willen we weten of hij voldoende kennis heeft om in het grote zwembad te gaan zwemmen.

Als het goed is heeft hij best zijn diploma’s en certificaten behaald, ze staan mooi op zijn CV en theoretisch moet hij het inderdaad kunnen, maar hoe zit het met de praktijk? Vergelijk het eens met je eerste skivakantie. Je las misschien eerst een boek over de basis van skiâˆšÂ´n, je bekeek wat filmpjes op YouTube en ging een keertje naar een indoorbaan. Als je er echt in geloofde heb je misschien zelfs een semi-professionele set gekocht met skischoenen en latten.

Daar ging je dan, op vakantie. Om er vervolgens achter te komen dat die berg in het echt toch wel wat hoger en steiler is dan gedacht. Maar je kent de theorie, dus niet zeuren. Durfal, is het je gelukt of moest je met de eerste gipsvlucht weer terug naar huis?

Vergelijken we dit met onze organisatie dan lopen we dus risico’s als het gaat om het kennisniveau in relatie tot bijzondere rechten. Heeft die medewerker alleen het boekje gelezen of heeft hij praktijkervaring opgedaan? Kan hij het geheel zelfstandig of moeten we er toezicht op houden? Misschien willen we erg risicovolle taken wel onder 4-ogen uit laten voeren om het risico nog verder in te perken.

Klinkt misschien absurd en erg zwaar, maar ook hier gaat het er weer om dat we eerst naar de risico’s kijken. Zijn de risico’s te groot dan moeten we aanvullende maatregelen overwegen. We willen niet dat iemand met een druk op de knop ons gehele eigen vermogen op de beurs inzet…de voorbeelden zijn daar, miljarden zijn erdoor verloren en bedrijven zijn er aan failliet gegaan.

Willen we als organisatie excelleren dan kan dat alleen met medewerkers met het juiste kennisniveau (en de juiste motivatie). Is het door ons gewenste kennisniveau nog niet bereikt dan moeten we er voor zorgen dat dat alsnog gebeurt. Is het kennisniveau eenmaal bereikt dan moeten we er vervolgens voor zorgen dat het up-to-date blijft door continue scholing en bij uitdiensttreding moeten we ervoor zorgen dat de kennis tijdig wordt overgedragen.

De juiste mensen met de juiste kennis zorgt er dus niet alleen voor dat we beter beveiligd zijn maar zorgt er ook nog eens voor dat we kunnen excelleren…wat willen we nog meer?

Bijzondere rechten en plichten

door Geen categorie

Functiescheiding en scheiding in systemen, medewerkers op verschillende posities in de organisatie en allemaal hebben ze hun eigen rechten op de systemen. Het wordt al snel een hele brei aan rechten. Maar bij die rechten horen nu eenmaal ook plichten en het is goed om de medewerkers daar ook op te wijzen.

De vraag:
Worden medewerkers met bijzondere rechten binnen de informatiesystemen opgeleid in de omgang met deze rechten/plichten?

De ene medewerker heeft nu eenmaal meer rechten nodig op de systemen dan de ander. Een “gewone” gebruiker moet een aantal applicaties kunnen gebruiken en moet bij beperkte informatie op de server kunnen. Maar er zijn ook medewerkers die die applicaties en servers moeten beheren. Deze hebben dus meer rechten nodig. Net als andere functionarissen binnen de organisatie overigens die nu eenmaal bij meer en gevoeligere informatie moeten kunnen.

We hebben al geweldige beveiligingsbewustwordingcampagnes en iedere medewerker weet de top tien gouden regels op het gebied van informatiebeveiliging. Maar bij aanvullende rechten voor functionarissen komen ook aanvullende plichten, of ze dat nu leuk vinden of niet.

Deze plichten leggen we overigens niet op om ze dwars te liggen of om ze te pesten. Nee, deze plichten zijn er omdat meer rechten nu eenmaal ook zorgt voor meer risico’s. Zo kan de systeembeheerder met een bewuste of onbewuste actie voor veel ellende zorgen en de financiâˆšÂ´le afdeling kan met een verkeerd gezette komma de winst- en verliesrekening 360 graden draaien.

We willen niet alleen de organisatie voor deze risico’s behoeden, maar willen ook voorkomen dat de medewerker deze verantwoordelijkheid in zijn of haar eentje hoeft te dragen. Het mag dan misschien over komen als een blijk van wantrouwen, maar dat kan nooit het geval zijn. We hebben nu eenmaal medewerkers die bewust de boel willen frustreren en daar willen we het liefst zo snel mogelijk vanaf. Maar daarnaast hebben we medewerkers die prima hun job uitvoeren, waar we erg blij mee zijn en die we het liefst nog 10 jaar aan ons binden.

Maar ook deze medewerkers kunnen fouten maken, niets menselijks is hen vreemd en daar willen we ze graag voor behoeden. Brengen we het op deze manier dan is het niet meer het dwarszitten, pesten of afnemen van rechten, maar dan is het beschermen van die medewerker. Leiden we ze dan ook nog eens goed op dan zijn de risico’s al een stuk lager.

Met bijzondere rechten komen bijzondere plichten, zo bijzonder is dat nu ook weer niet. Theoretisch allemaal prima uit te werken, in de praktijk toch veelal lastig. Men heeft de rechten verworven en staat ze niet graag meer af, verschillende functies kunnen verschillende rollen hebben en soms heeft een systeembeheerder inderdaad extra rechten nodig…maar hij hoeft niet met die bijzonder rechten in te loggen als hij gewoon een briefje in Word moet typen of een emailtje moet versturen. Ga jij ze dat binnenkort vertellen? Wees dan niet de boeman, maar leg uit waarom we dergelijke (vervelende) regels doorvoeren…niet om ze het werk onmogelijk te maken maar om de risico’s te beheersen. Nu je wat meer zicht hebt op de achtergrond zou het moeten lukken zeker als we ze er ook nog eens goed bij opleiden.

Functiescheiding in functiebeschrijvingen

door Geen categorie

Hadden we het eerder al kort over het belang van functiescheiding en het feit dat functiescheiding echt niet alleen belangrijk is voor het financiâˆšÂ´le domein. Hier gaan we kort in op het opnemen van de functiescheiding in de functiebeschrijvingen. Daarom de vraag:
Is de functiescheiding formeel in de functiebeschrijvingen vastgelegd?

Als we deze vraag willen beantwoorden moeten we dus eerst zicht krijgen op die functies en die activiteiten die we graag van elkaar willen scheiden om de risico’s beheersbaar te maken en te houden. We kijken daarbij ook naar de rechten die een medewerker heeft. Voor kleine organisaties allemaal nog wel inzichtelijk te maken omdat we man en paard bij naam kennen. Bij grotere organisaties wordt het al wat lastiger, we kennen niet iedereen bij naam en weten ook niet exact over welke rechten ze allemaal beschikken.

Natuurlijk kunnen we wel een uitdraai maken uit de systemen zodat we kunnen achterhalen welke rechten ze hebben. Maar welke algemene accounts zijn er allemaal en wie maakt daar gebruik van? Wellicht beschikken we maar over een algemeen admin-account waar alle beheerders gebruik van maken. Houden we dan nog zicht op de scheiding in verschillende taken en mogelijkheden?

Om dit te voorkomen moeten we de medewerker dus wijzen op de functiescheiding. We willen dat graag formaliseren en leggen dat vast in de functiebeschrijving. Hetgeen we beschrijven komt natuurlijk uit onze algemene analyse waarbij we duidelijk hebben welke functies we nooit willen of mogen combineren.

Daarnaast willen we de medewerker duidelijk maken dat als hij toch over rechten beschikt, die conform beleid niet gecombineerd mogen worden, hij vriendelijk doch dringend verzocht wordt hier melding van te maken (dit uiteraard bovenop de controles die we er zelf op uitvoeren). Ja zul je zeggen, dat is lekker, die medewerker gaat dat natuurlijk nooit melden, want daarmee beperkt hij zijn rechten. Klopt, helemaal waar. Maar er zijn ook medewerkers die wel van rechten af willen omdat ze niet per ongeluk het systeem op zijn kop willen gooien.

Eerder hebben we in de functieomschrijving of het beleid natuurlijk ook al opgenomen dat een ieder persoonlijk verantwoordelijk is voor wat er onder zijn of haar account gebeurt. Zou jij het risico willen lopen dat het netwerk plat gaat vanwege een virus op jouw werkplek omdat je toevallig over teveel rechten beschikt? Ik niet, hoe minder rechten ik heb, hoe beter dat voor de organisatie is…zeker om onbewuste fouten te voorkomen.

Dan hebben we natuurlijk nog de bewuste acties om het netwerk plat te leggen. Medewerkers die gefrustreerd raken, medewerkers die graag informatie willen lekken. Deze gaan inderdaad geen melding maken van het feit dat ze teveel rechten hebben, nee, sterker nog, ze zullen proberen steeds meer rechten te krijgen zodat ze “god worden op het netwerk”.

Het is onze taak om daarvoor periodieke controles in te richten. Wij moeten proberen te achterhalen welke rechten gecombineerd zijn om de risico’s te beperken. Geen makkelijke opgave en alleen maar moeilijker als de organisatie groter wordt. Maar niet iets dat we uit de weg moeten gaan. Begin eens klein (noem het steekproef), pak eens een afdeling en begin er mee. Lukt het? Kunnen we er een standaard proces van maken? Kunnen we de overzichten sowieso boven tafel krijgen? Daarna kunnen we altijd nog uitbreiden naar de hele organisatie, maar bedenk ook hierbij dat beveiliging een lijnverantwoordelijkheid is. Als het ons lukt om de lijnmanager de controles zelf uit te laten voeren dan zitten we dichter bij het vuur. Zij controleren en tekenen daarvoor, net als ze voor het contract van de medewerker hebben getekend.

Functiescheiding

door Geen categorie

Van het hebben van rechten en het ontbreken van volledige overzichten van gebruikers is het een kleine stap naar het doorvoeren van functiescheiding.

De vraag:
Zijn er maatregelen getroffen die er in voorzien dat niet alle bevoegdheden bij het uitvoeren van specifieke werkzaamheden in âˆšÂ©âˆšÂ©n hand terechtkomen (functiescheiding)?

Bij functiescheiding denken we wellicht direct aan financiâˆšÂ´le gebieden waarin we die scheiding graag door willen voeren. We willen immers niet dat een persoon ons hele eigen vermogen met een druk op de knop naar zijn of haar Zwitserse bankrekening over kan schrijven. Daar ligt inderdaad de oorsprong van functiescheiding.

Maar zoals we al eerder zagen, willen we ook niet dat er mensen zijn met teveel rechten op de systemen. Niet teveel rechten op de financiâˆšÂ´le systemen maar ook niet teveel (beheer)rechten op de informatiesystemen. Het risico is gewoon te groot dat iemand, bewust of onbewust, het hele systeem lam legt.

Een discussie die hierbij al vaker gevoerd is, is die tussen beheerwerkzaamheden op de informatiesystemen en de inhoud van de informatie op die systemen. De beheerders hebben graag veel rechten omdat ze zo hun werk goed kunnen doen. Toch moeten we er even bij stil staan dat zij (veelal) geen toegang tot de inhoud van de informatie nodig hebben om back-ups uit te voeren of terug te zetten. Of in gewoon Nederlands: een beheerder moet wel een back-up kunnen maken van een Word-document maar hoeft niet te kunnen zien welke woorden er in dat Word-document staan. Ook hier kun je dus kijken op welke wijze we functiescheiding door kunnen voeren. Maar bereid je voor op de discussie die zal komen en bedenk nu alvast hoe je gaat controleren dat die rechten inderdaad zijn afgenomen…het is immers de beheerder die zichzelf die rechten af moet nemen.

Nu we zicht hebben op de medewerkers van de financiâˆšÂ´le afdeling en de IT-afdeling beginnen we al een aardig beeld te krijgen over de gebieden waar we functiescheiding toe kunnen passen. Deze basis kunnen we uitbreiden door op onderzoek uit te gaan naar die functies die ook een risico vormen als ze teveel rechten bezitten. Dat kunnen hele specifieke functies zijn, maar kunnen ook gewone gebruikers zijn.

Wilden we eerder al zicht hebben op de rechten die gebruikers hebben dan ligt daar de overeenkomst met functiescheiding. We zijn niet zo zeer bang voor het feit dat ze grote bedragen over kunnen maken of systemen plat kunnen leggen. We zien wel een risico als het gaat om de grote hoeveelheid informatie waarover ze kunnen beschikken. Hebben ze echt al die informatie nodig? En aan de andere kant: beschikken ze wel weer over alle informatie die ze nodig hebben om hun werk goed te doen?

Het doen aan functiescheiding lijkt een logische maar er komt een berg finetuning bij kijken. Niet teveel rechten geven, niet teveel rechten afnemen. Ze moeten hun werk kunnen doen maar wel binnen de kaders die we acceptabel vinden. Het klinkt dan ook makkelijker dan het in de praktijk is. We moeten keuzes maken, die keuzes effectueren en controleren en dat zijn geen gemakkelijke stappen.

Daarbij moeten we dan ook nog eens rekening houden met de omvang van de organisatie. In een grotere organisatie kunnen we risicovolle taken gemakkelijker over meerdere personen verdelen dan dat we dat in kleine organisaties kunnen doen. Denk nu niet dat functiescheiding voor een kleinere organisatie niet kan worden doorgevoerd of minder belangrijk is. Nee, misschien is het zelfs voor een kleinere organisatie nog wel veel belangrijker om eens goed te kijken naar wie wat kan.

Functiescheiding, een belangrijk aspect en zeker niet alleen voor beveiliging. Toch nog vaak een moeilijk praktijkgeval waar we goed over na moeten denken om het allemaal werkbaar te houden.

Tag: functiescheiding

Het kennisniveau in relatie tot bijzondere rechten

Bijzondere rechten en plichten

Functiescheiding in functiebeschrijvingen

Functiescheiding

Contact gegevens

Zoeken