Basisprincipe 4: Beheer toegang tot data en diensten
Toegang tot informatie, systemen en locaties is nodig om je werk te kunnen doen. Om de kans op ongelukken en misbruik zo klein mogelijk te maken is het van belang dat medewerkers binnen en partners buiten je organisatie alleen de toegang hebben die passen bij de werkzaamheden en de periode waarvoor de toegang nodig is (least privilege). Geef je mensen dus alleen toegang tot informatie, systemen en locaties die nodig zijn voor de uitvoering van hun taken.
Toegang moet bovendien goed beheerd worden (Identity and access management). Dit geldt voor zowel logische als fysieke toegang. Dit beperkt de gevolgen van gebruikersfouten. Daarnaast beperkt het de bewegingsruimte van een kwaadwillenden, mochten zij binnen komen. Zij zijn dan immers gebonden aan de toegang die past bij de rol waarop zij zijn binnengekomen. Ook de toegang van service-accounts, machine-accounts en functionele accounts dient te worden beperkt tot het noodzakelijke.
Basisprincipe 4 voor zzp'er of mkb'ers Ben je een zzp'er of mkb'er? Bekijk dan welke tips en adviezen onze fusiepartner Digital Trust Center voor jou heeft klaargezet. |
Waarom dit basisprincipe?
Door toegangsrechten per persoon te beperken en te bepalen, voorkom je dat mensen binnen en buiten je bedrijf toegang krijgen tot systemen en data die ze voor het uitvoeren van hun werk niet nodig hebben. Daarnaast beschermd het tegen aanvallers die eenmaal binnen zijn gekomen. Zij kunnen dan immers alleen zien wat past bij de rechten die zijn toegekend. Welke maatregelen kun je treffen?
Voer toegangsbeheer en beleid op toegang
Op rollen gebaseerde toegangscontrole kan het beheer van rechten makkelijker maken. Deel minimale rechten volgens het “least privilege principe”. Dat wil zeggen dat gebruikers standaard de minste rechten krijgen tenzij ze die nodig hebben voor het uitvoeren van werkzaamheden.
- Benoem voor alle data een eigenaar. Veelal is dit een lijnmanager.
- Hanteer altijd het principe dat de business verantwoordelijk is voor het bepalen welke data wordt opgeslagen en hoe de rechten hierop worden bepaald. Een ICT-organisatie kan dit hooguit namens de data-eigenaar uitvoeren, maar niet voor de data-eigenaar bepalen.
- Zorg dat de processen helder zijn voor de indiensttreding, uitdiensttreding en interne doorstroming van medewerkers.
- Geef nieuwe medewerkers alleen toegang tot de middelen die ze nodig hebben. Dat geldt ook voor fysieke ruimtes zoals serverruimtes, of ruimtes waar gevoelige informatie ligt opgeslagen.
- Ontneem accounts van vertrekkende medewerkers direct toegang tot data en systemen.
- Verwijder ongebruikte accounts.
- Deactiveer serviceaccounts, en activeer deze alleen wanneer onderhoud plaatsvindt.
Het organiseren en uitvoeren van toegangsbeheer wordt ook wel aangeduid met de term Identity and Access Management (IAM).
Gebruik persoonsgebonden accounts
Zorg dat toegang tot data en diensten persoonsgebonden is waarbij elke medewerker een eigen gebruikersaccount heeft. Vermijd generieke accounts, die gedeeld worden tussen bijvoorbeeld meerdere medewerkers, of meerdere medewerkers van een leverancier. Dit geldt ook voor service-accounts, dat zijn accounts die worden gebruikt door systemen om onderling te verbinden. Vermijd deze accounts waar mogelijk, gebruik liever een moderne API, maar pas in ieder geval een wachtwoordbeleid toe als de systemen een service-account vereisen. Verander standaard wachtwoorden van apparatuur en systemen bij installatie of ingebruikname.
Pas sterke authenticatie toe
Authenticatie is de techniek waarmee een systeem kan vaststellen wie een gebruiker is. Hiermee krijgt een gebruiker toegang tot gegevens of systemen. Het is van belang dat de authenticatie voldoende sterk is, zodat kan worden vastgesteld dat de identiteit van de gebruiker ook klopt.
Veilig inloggen
Naast het bepalen van een manier waarop gebruikers veilig kunnen inloggen, moet ook worden nagedacht over welke apparaten vanaf welke locatie mogen inloggen op systemen. Naar aanleiding daarvan kan een specifiek bereik worden ingesteld, zodat de toegang tot systemen vanaf onbekende locaties en door middel van onbekende apparaten wordt afgeschermd. Opereert jouw organisatie hoofdzakelijk in Nederland, met in Nederland woonachtige medewerkers en alleen met specifieke apparaten? Overweeg dan om dit ook systeemtechnisch af te dwingen.
Tot slot is het ook nog mogelijk, wanneer afschermen niet haalbaar is, inlogpogingen van onbekende plekken te signaleren en de gebruiker hierop te attenderen bijvoorbeeld via de mail zodat de gebruiker hier zelf actie op kan ondernemen.
Verdieping over basisprincipe 4
Hieronder vind je een overzicht van onze andere publicaties die zijn gerelateerd aan het beheer van toegang data en diensten. Daarin lees je meer over praktische hulpmiddelen om mee aan de slag te gaan of meer achtergrondinformatie over specifieke onderwerpen.
- NIS2: Artikel 21g van de NIS2-richtlijn sluit aan bij dit basisprincipe. Ben je op zoek naar een overzicht van NIS2 gerelateerde publicaties? Bekijk hier het overzicht. Link naar NIS2-richtlijn (NL vertaling): L_2022333NL.01008001.xml (europa.eu) - ISO/IEC 27002: Hoofdstuk 5 (5.15-18): organisatorische beheersmaatregelen - BIO: Hoofdstuk 9; toegangsbeveiliging |