Logische toegangsbeveiliging
De identiteit van een gebruiker die toegang krijgt tot organisatie informatie dient te worden vastgesteld. Logische toegang is gebaseerd op de classificatie van de informatie. Wanneer toegangsbeheersing niet expliciet gebaseerd is op een aanvullende risicoanalyse, wordt dan de juiste niveau van beveiliging gehanteerd? Logische toegangsbeveiliging heeft als doel: Het beheersen van de toegang tot informatie, IT-voorzieningen en bedrijfsprocessen op grond van bedrijfsbehoeften en beveiligingseisen.
Een drietal richtlijnen:
- De eigenaar van de data is bevoegd toegang te verlenen.
- Er worden in de regel geen 'algemene' identiteiten gebruikt. Voor herleidbaarheid en transparantie is het namelijk nodig om te weten wie een bepaalde actie heeft uitgevoerd.
- De organisatie maakt ,waar mogelijk, gebruik van bestaande voorzieningen voor authenticatie, autorisatie en informatiebeveiliging
Hoe functioneert goede authenticatie en autorisatie?
Wachtwoorden worden voor een beperkte periode toegekend (3 tot maximaal 6 maanden). Eisen aan wachtwoorden worden door het systeem afgedwongen. Voor medewerkers met speciale bevoegdheden (systeem en functioneel beheerders) gelden strengere eisen. De gebruiker is verantwoordelijk voor het geheim blijven van zijn wachtwoord. De autorisatie is rol gebaseerd. Autorisaties worden toegekend via functie(s) en organisatie onderdelen. Toegang tot informatie met classificaties 'midden' of 'hoog' vereist 'multi-factor' authenticatie (bijv. naam/wachtwoord + token).
Hoe wordt externe toegang verleend?
De organisatie kan een externe partij toegang verlenen tot het organisatie netwerk. Hiervoor dient een procedure gemaakt en gevolgd te worden. De externe partij is verantwoordelijk voor authenticatie en autorisatie van haar eigen medewerkers. De beherende organisatie heeft het recht hierop te controleren en doet dat aan de hand van de audit trail en interne logging.
Hoe formuleer je beleid voor mobiel en/of thuiswerken?
- Voor werken op afstand is een thuiswerkomgeving beschikbaar. Toegang tot vertrouwelijke informatie wordt verleend op basis van multifactor authenticatie.
- Onbeheerde apparatuur (privé-apparaten of de 'open laptop') kan gebruik maken van openbare draadloze toegangspunten (WiFi). Deze zijn gescheiden van het organisatie bedrijfsnetwerk.
- Mobiele bedrijfsapplicaties worden bij voorkeur zo aangeboden dat er geen organisatie informatie wordt opgeslagen op het mobiele apparaat ('zero footprint'). Organisatie informatie dient te worden versleuteld bij transport en opslag conform classificatie eisen.
- Voorzieningen als webmail, als ook sociale netwerk en clouddiensten (Dropbox, Gmail, etc.) zijn door het lage beschermingsniveau (veelal alleen naam en wachtwoord, het ontbreken van versleuteling) niet geschikt voor het delen van vertrouwelijke en geheime informatie.
Mogelijk voor u herkenbaar. En toch leert de praktijk dat er menigmaal zwakke schakels zijn in de keten of dat er onvoldoende discipline is in het opvolgen van gemaakte afspraken. Met behulp van 1e en 2e lijn controle krijgt u inzicht in de kwaliteit van logische toegangsbeveiliging. Wat waren binnen uw organisatie de bevindingen in de laatste controle? Interesse om deze eens met DPO Partner te bespreken voor een extern advies. Neem contact met ons op.
Vriendelijke groet,
DPO Partner