Ga direct naar inhoud

Bepaal wie toegang heeft tot uw data en diensten

Geef medewerkers alleen toegang tot informatie, systemen en locaties die nodig zijn voor het uitvoeren van hun taak. Dit geldt dus voor zowel logische als fysieke toegang. Dit beperkt de gevolgen van gebruikersfouten die vervelende gevolgen kunnen hebben. Daarnaast beperkt het de bewegingsruimte van een kwaadwillende mocht hij toch weten binnen te dringen. Ook de toegang van service-accounts, machine­-accounts en functionele accounts dient te worden beperkt tot het noodzakelijke.

Benoem een eigenaar

Op rollen gebaseerde toegangscontrole kan het beheer van rechten makkelijker maken. Deel minimale rechten volgens het “least privilege principe”. Benoem voor alle data een eigenaar. Veelal is dit een lijnmanager.

Business is verantwoordelijk

Hanteer altijd het principe dat de business verantwoordelijk is voor het bepalen welke data wordt opgeslagen en hoe de rechten hierop worden bepaald. Een ICT-organisatie kan dit hooguit namens de data-eigenaar uitvoeren, maar niet voor de data-eigenaar bepalen.

Persoonsgebonden account

Zorg daarnaast dat toegang tot data en diensten persoonsgebonden is waarbij elke medewerker een eigen gebruikersaccount heeft. Vermijd generieke accounts, die gedeeld worden tussen bijvoorbeeld meerdere medewerkers, of meerdere medewerkers van een leverancier. Dit geldt ook voor service-accounts, dat zijn accounts die worden gebruikt door systemen om onderling te verbinden. Vermijd deze accounts waar mogelijk, gebruik liever een moderne API, maar pas in ieder geval een wachtwoordbeleid toe als uw systemen een service-account vereisen. Verander standaard wachtwoorden van apparatuur en systemen bij installatie of in gebruikname.

Heldere processen

  • Zorg dat u processen heeft voor de indiensttreding, uitdiensttreding en interne doorstroming van medewerkers.
  • Geef nieuwe medewerkers alleen toegang tot de middelen die ze nodig hebben.
  • Ontneem accounts van vertrekkende medewerkers direct toegang tot data en systemen.
  • Verwijder ongebruikte accounts.
  • Deactiveer serviceaccounts, en activeer deze alleen wanneer onderhoud plaatsvindt.
Volgende basismaatregel