U bent hier

Digitale veiligheid
2. Gebruikers2.5 Verschillende rechten
Voor Digitale veiligheid

2.5 Verschillende rechten

Laatst gewijzigd: mei 2021

koppelen

De netwerkbeheerders besteden veel aandacht aan de rechten die de verschillende gebruikers in een netwerk hebben en aan het aan elkaar koppelen van computers en het contact met mobiele apparaten.

2.5.1 Toekenning

verzameling

Die toekenning van rechten om toegang te verschaffen tot locaties, applicaties of databases, heeft alles te maken met de rechten die de gebruiker nodig heeft om zijn werk te kunnen uitvoeren. Maar ook met de kans dat daardoor die toegang wordt gecompromitteerd. De toekenning van rechten per gebruiker betekent in de praktijk dat de ene werknemer vaak een heel andere verzameling van rechten moet hebben dan de andere. Daarbij is een bepaalde indeling van de gebruikers in categorieën handig.

2.5.2 Rechtenverdeling

noodzaak

In grotere organisaties is het onvermijdelijk een adequaat en nauwkeurig systeem van rechtenverdeling en beheer te hanteren. In kleinere organisaties zal er minder noodzaak zijn om alle gebruikers – vaak zijn het er maar enkele – naar functie of werkzaamheden in te delen, al kan dat ook zo zijn voordelen hebben. Organisaties hebben er in de loop der tijd nogal wat systemen en modellen voor bedacht, en die zijn in de basis terug te voeren op vier invalshoeken:

  • de ICT;
  • de bedrijfsorganisatie;
  • de functionaliteit;
  • de praktijk.

Een indeling op één van die aspecten is eigenlijk te mager en meerdere invalshoeken zouden de gebruikersgroepen moeten bepalen. Let op dat de gebruikersindeling dan nog wel transparant en beheersbaar blijft. De vier benaderingen worden hierna in het kort uitgelegd.

Regels aan de laars lappen

gevolgen

Als u in uw organisatie in een beveiligingsbeleid heeft vastgelegd welke maatregelen u neemt en hoe werknemers moeten omgaan met apparatuur, is het logisch dat er gevolgen zijn voor het slordig omgaan met de veiligheidsrichtlijnen. Denk aan het degraderen van een slordige of nalatige eindgebruiker tot ‘onrechtmatige gebruiker’ en hem daarmee uit het netwerk weren. Diegene is door zijn slordigheid een beveiligingsrisico geworden voor uw organisatie, want hackers kunnen gebruikmaken van zijn zwakheden.

ICT

schade

ICT’ers zijn geneigd om de gebruikers in te delen vanuit een ICT-invalshoek: digibeten (erg onhandige eindgebruikers, of beginnende gebruikers), gewone gebruikers, superusers, ontwikkelaars en beheerder(s). De onervaren groepen krijgen dan een verzameling rechten toegekend waarmee ze weinig schade aan de systemen of het netwerk kunnen aanrichten. De gedachtegang achter die digitale indeling is om de veiligheids- of uitvalrisico’s te beperken daar waar ze zich het gemakkelijkst kunnen voordoen. Dus het meeste dichttimmeren bij de minst kundige gebruikers.

Organisatie

taak

Ook de hiërarchische verhoudingen in een organisatie kunnen aan de verdeling van de rechten ten grondslag liggen. Het betekent meestal dat degene die een bepaalde taak moet (gaan) uitvoeren maar daarvoor de rechten niet heeft, eerst langs hogere rangen moet om op de (digitale) plaats van bestemming te kunnen komen. Dat is in de praktijk meestal lastig, maar het kan wel passen bij een strak hiërarchische organisatie waar op ieder niveau meebeslist moet worden.

Functies

groep

Niet de hoogte in de boom, maar de functie van de werknemer kan een goed uitgangspunt zijn voor een indeling in gebruikersgroepen. Dat is in pc-netwerken een veelgebruikt model. De groepen hebben namen als Verkopers, Administratieve medewerkers, Assistenten, Afdelingshoofden, Directeuren of Nachtwakers. Aan elke groep hangt een verzameling bijbehorende rechten die nodig zijn voor gebruik van bepaalde programma’s of voor toegang tot en bewerking van bepaalde gegevens.

Risico van gebruik van modellen

indeling

Als u een gebruikersmodel baseert op voornamelijk functionele aspecten of de organisatorische structuur, houdt dit een risico in. Zo’n benadering kan behoorlijk theoretisch zijn, waardoor de uiteindelijk gewenste indeling in gebruikersgroepen met de bijbehorende autorisaties in de praktijk misschien niet naar behoren functioneert.

Gelijkwaardig

niveau

Zo kunnen ICT-kennis en -ervaring, en vooral ook praktische situaties, sterk bepalend zijn voor het niveau van autorisatie dat voor een bepaalde gebruiker ingesteld moet worden. Werknemers die in uw organisatie gelijkwaardige functies hebben kunnen in de praktijk toch twee compleet verschillende gebruikers zijn door hun al dan niet aanwezige ICT-achtergrond. Daar houden veel modellen nauwelijks rekening mee.

Praktijk

ad hoc

Soms doorkruist de praktijk het hanteren van een indelingsmodel zoals de drie voorgaande, zodat het nodig is een andere indeling te bedenken. Dit lijkt de handigste manier, maar is ook de minst transparante. Deze pragmatische indeling is in veel organisaties op ad-hocbasis ontstaan en mogelijk weet alleen de netwerkbeheerder wie precies welke bevoegdheden heeft en waarom. Maar als het model vooraf wordt uitgedacht en opgezet, kan het prima werken in de praktijk.

De benadering vanuit een enkele invalshoek is nogal beperkt. Dan zullen vooral de aspecten ICT en praktijk met elkaar botsen.

2.5.3 Combinatie

Er bestaan modellen waarin de invalshoeken zijn gecombineerd. Het gaat dan met name om de functionele en organisatorische (of hiërarchische) aspecten. Een belangrijk en veel toegepast voorbeeld daarvan is het RBAC-model (Role-Based Access Control) waarbij de rol die een werknemer speelt in de organisatie bepaalt welk niveau van autorisatie nodig is. Dit model is vooral bedoeld om transparantie en controleerbaarheid van interne processen te vergroten. Daarmee kan bovendien aan internationale wet- en regelgeving tegemoetgekomen worden.

Hoeveel invloed de vier genoemde invalshoeken in een gecombineerd model kunnen of moeten hebben, hangt ook af van de manier waarop uw organisatie in elkaar zit.

2.5.4 Checklist voor optimale indeling

rechten

Met behulp van een checklist kunt u in uw organisatie de optimale indeling bedenken van de gebruikers en hun rechten in het netwerk.

dataverlies

U kunt dan bijvoorbeeld de volgende aspecten uit de praktijk meewegen:

  • Hoeveel gebruikersgroepen en van welk ‘niveau’ zijn er strikt nodig? Te veel groepen is niet praktisch, maar te weinig ook niet.
  • Hoe complex (en werkbaar) is de gekozen indeling?
  • Zijn er praktische situaties die botsen met de gekozen indeling of verdeling van de rechten?
  • Is een indeling op basis van ICT-kennis (on)handig? Treedt er bijvoorbeeld vaak onopzettelijk dataverlies op door onkundige gebruikers?
  • Is een vrije instelling van wachtwoorden wel handig en veilig, of juist niet?
  • Hoe groot is de kans op onrechtmatige toegang tot (vertrouwelijke) informatie of diefstal of verlies van data door kwaadwillenden?