Deelproject 3.2 Inrichten van identiteits- en toegangsbeheer
Identiteits- en toegangsbeheer gaat over het beleid, de processen en de technologieën die ervoor zorgen dat de juiste personen of processen toegang hebben tot de juiste informatie en systemen. Zo voorkom je bijvoorbeeld dat leerlingen beoordelingen van hun medeleerlingen kunnen zien en leraren cijfers van de vakken van collega’s kunnen aanpassen. Identiteit en toegangsbeheer wordt ook wel Identity & Access Management of IAM genoemd.
Resultaat van dit deelproject
- Identiteits- en toegangsbeheerbeleid is opgesteld
- AutorisatiematrixEen schema waarin is vastgelegd wie toegang krijgt tot welke persoonsgegevens. Dat gebeurt bij voorkeur op basis van rollen, functies of een mix daarvan, zodat het need-to-know-principe wordt toegepast. toegangsrechten is opgesteld
- Proces over logische toegangsbeveiliging is opgesteld
- Noodprocedure voor superusers is opgesteld
Beheren van identiteiten
Met identiteiten worden alle personen, processen en koppelingen bedoeld die toegang kunnen of moeten hebben tot informatie en systemen van de organisatie. Elke identiteit heeft bepaalde kenmerken. Denk aan functie, naam, e-mailadres of bijvoorbeeld unieke identifier als een ECK iD.
Verlenen van toegang
Niet iedereen heeft toegang nodig tot dezelfde informatie, systemen of applicaties. Daarom is het belangrijk om vast te leggen welke identiteiten op basis van welke kenmerken welke toegangsrechten krijgen. Dit doe je in een autorisatiematrix per applicatie. In het Normenkader IBP wordt uitgegaan van toegang op basis van rollen; dit wordt ook wel Role-based access control genoemd. Hiermee verklein je de kans op menselijke fouten bij het toekennen van toegangsrechten.
Let op
Besteed je je ICT grotendeels uit? Dan blijf je zelf vaak wel verantwoordelijk voor ( een deel van) het identiteits- en toegangsbeheer. Het is dan bijvoorbeeld nodig dat je zelf tijdig wijzigingen in functies en rechten doorgeeft aan je leverancier.
Wie doet wat
- Het schoolbestuurHet schoolbestuur is het bevoegd gezag en daarmee eindverantwoordelijk voor alles dat met IBP te maken heeft. stelt het identiteits- en toegangsbeheer vast.
- De applicatiebeheerders zorgen voor een sluitende en actuele administratie van de identiteiten en verleende toegang, een autorisatiematrix per applicatie, periodieke toetsing en evaluatie van de toegekende toegangsrechten versus de autorisatiematrix.
- Leidinggevenden, applicatiebeheerders en (externe) ICT-beheerders zorgen voor de uitvoering van de IAM-processen.
Aan de slag
Met het volgen van onderstaande stappen richt jij het identiteits- en toegangsbeheer in voor jouw organisatie.
Stel een beleid op voor identiteits- en toegangsbeheer
Begin met het opstellen van het identiteits- en toegangsbeheerbeleid. Je kunt hiervoor het voorbeelddocument Identiteits- en toegangsbeheer gebruiken. Hierin beschrijf je hoe het identiteits- en toegangsbeheer zijn geregeld binnen je organisatie, welke maatregelen er zijn genomen voor authenticatieAuthenticatie is het bewijzen dat je bent wie je zegt te zijn. Bijvoorbeeld door naar wachtwoord en/of een ander (biometrisch) bewijsmiddel te vragen bij het inloggen op een applicatie. Bij de authenticatie wordt gecontroleerd of het opgegeven bewijs (zoals een wachtwoord) klopt. en hoe verantwoordelijkheden zijn belegd.
Richt een identiteits- en toegangsbeheerproces in
Werk vervolgens in een procesbeschrijving het proces voor het toekennen, wijzigen en intrekken van toegangsrechten uit. Je kunt hiervoor het voorbeelddocument Proces logische toegang gebruiken. Leg hierin ook vast hoe je met superusers en periodieke controles op toegangsrechten omgaat.
Stel een procedure voor noodtoegang op
In uitzonderlijke situaties kan het nodig zijn om buiten de reguliere toegangsprocedures om toegang te krijgen of verlenen tot informatiesystemen of gegevens. Deze vorm van toegang noemen we noodtoegang. Beschrijf in een proces wie onder welke voorwaarden noodtoegang tot welke systemen kan krijgen en verlenen.
Stel een autorisatiematrix vast per applicatie
Stel vast wat de gewenste autorisaties zijn per systeem op basis van de rollen binnen je organisatie. Dit wordt ook wel een SOLL-matrix genoemd. Je kunt hiervoor het voorbeelddocument autorisatiematrix gebruiken. Leg hierin ook vast hoe de functies binnen je organisatie zich verhouden tot de centrale rollen in je Active Directory.
Informeer en train medewerkers
Zorg dat medewerkers worden geïnformeerd over de verantwoordelijkheden die voortvloeien uit het beleid en het proces. Zorg ervoor dat de medewerkers over de juiste kennis en vaardigheden beschikken om aan hun verantwoordelijkheden te voldoen. Dit kun je onder andere doen door het aanbieden van trainingen.
Voer een controle uit op de huidige situatie
Als je het identiteits- en toegangsbeheer hebt ingericht, kan het zijn dat in het verleden bepaalde rollen en rechten zijn toegekend die niet meer in lijn zijn met de gewenste situatie. Om dit te beheersen, voer je een zogeheten IST-SOLL-controle uit. Je vergelijkt dan bestaande autorisaties met de verschillende autorisatiematrixen. Dit doe je per applicatie en je corrigeert waar nodig.
Let op
Een onderdeel van het deelproject Identiteits- en toegangsbeheer is het inrichten van je authenticatie. Een extra beveiliging tijdens de authenticatie is Multifactorauthenticatie (MFA). MFA – Tweefactorauthenticatie (2FA) – is veiliger dan het gebruik van alleen een gebruikersnaam en wachtwoord. Het aanmeldingsproces heeft dan een extra stap met een alternatieve verificatiemethode. Dit kan bijvoorbeeld een bericht via een mobiel nummer zijn of verificatie via een authenticatie-app.