De identiteit van een gebruiker die toegang krijgt tot organisatie informatie dient te worden vastgesteld. Logische toegang is gebaseerd op de classificatie van de informatie. Wanneer toegangsbeheersing niet expliciet gebaseerd is op een aanvullende risicoanalyse, wordt dan de juiste niveau van beveiliging gehanteerd? Logische toegangsbeveiliging heeft als doel: Het beheersen van de toegang tot informatie, IT-voorzieningen en bedrijfsprocessen op grond van bedrijfsbehoeften en beveiligingseisen.
Een drietal richtlijnen:
Hoe functioneert goede authenticatie en autorisatie?
Wachtwoorden worden voor een beperkte periode toegekend (3 tot maximaal 6 maanden). Eisen aan wachtwoorden worden door het systeem afgedwongen. Voor medewerkers met speciale bevoegdheden (systeem en functioneel beheerders) gelden strengere eisen. De gebruiker is verantwoordelijk voor het geheim blijven van zijn wachtwoord. De autorisatie is rol gebaseerd. Autorisaties worden toegekend via functie(s) en organisatie onderdelen. Toegang tot informatie met classificaties 'midden' of 'hoog' vereist 'multi-factor' authenticatie (bijv. naam/wachtwoord + token).
Hoe wordt externe toegang verleend?
De organisatie kan een externe partij toegang verlenen tot het organisatie netwerk. Hiervoor dient een procedure gemaakt en gevolgd te worden. De externe partij is verantwoordelijk voor authenticatie en autorisatie van haar eigen medewerkers. De beherende organisatie heeft het recht hierop te controleren en doet dat aan de hand van de audit trail en interne logging.
Hoe formuleer je beleid voor mobiel en/of thuiswerken?
Mogelijk voor u herkenbaar. En toch leert de praktijk dat er menigmaal zwakke schakels zijn in de keten of dat er onvoldoende discipline is in het opvolgen van gemaakte afspraken. Met behulp van 1e en 2e lijn controle krijgt u inzicht in de kwaliteit van logische toegangsbeveiliging. Wat waren binnen uw organisatie de bevindingen in de laatste controle? Interesse om deze eens met DPO Partner te bespreken voor een extern advies. Neem contact met ons op.
Vriendelijke groet,
DPO Partner