Het beveiligen van gegevens in de informatiesystemen van een organisatie, de zogeheten logische toegangsbeveiliging, is belangrijk voor de continuïteit van een organisatie, maar blijkt in de praktijk toch zeker voor verbetering vatbaar. Een goed intern beheersingskader op het gebied van logische toegangsbeveiliging is essentieel. In deze bijdrage wordt het belang van een helder en concreet vastgelegd kader onder de aandacht gebracht.
Het behoeft geen nader betoog dat de verdere digitalisering en informatisering van onze maatschappij inmiddels grootse vormen aannemen. We kunnen al enkele jaren een robot ons huis laten stofzuigen, we maken gebruik van streaming video- en muziekdiensten en aan de hand van allerlei apps leggen we ons leven vast en laten we onze digitale voetsporen in de geschiedenis achter. Mooie en vooruitstrevende vooruitgang, bedoelt om ons leven eenvoudiger te maken.
Ook organisaties beogen hun bedrijfsvoering steeds meer te automatiseren, bijvoorbeeld in de vorm van straight through processing (STP), workflow mechanismes en robotisering. Standaardisatie en efficiëntie zijn daarin belangrijke drijfveren met de intentie om organisaties flexibeler, wendbaarder en ‘foutlozer’ te maken. Echter, zoals zo vaak, heeft deze medaille ook een keerzijde. Risico’s zijn onvoldoende doordacht of worden vanuit gemakzucht simpelweg genegeerd, vooral waar het de beveiliging van informatie betreft. Informatiebeveiliging kent verschillende vormen, waaronder die van de zogeheten logische toegangsbeveiliging. Dit is de beveiliging van gegevens door de toegang van informatiesystemen weloverwogen in te richten dan wel te beperken.
Momenteel is er veel aandacht voor de beveiliging van data, maar dan vooral vanuit het perspectief van misbruik van buiten en minder vanuit het AO/IC-perspectief. Hacks of DDoS-aanvallen vormen serieuze bedreigingen voor organisaties. Door organisaties worden kosten noch moeite gespaard om zich tegen dergelijke criminele interventies te beschermen en dat blijkt in het algemeen al een hele opgave op zich. Met deze zogeheten cybercrime is sprake van een acute manifestatie van het continuïteitsrisico.
Wat in de praktijk echter minder aandacht krijgt, is de interne beveiliging van data, in de vorm van de toegang tot informatiesystemen en dan in het bijzonder gerelateerd aan besluitvormings- en verantwoordingsprocessen. Immers, de overweging om medewerkers meer ‘autorisatierechten’ te geven tot en in het systeem kent vooral een praktische grondslag, maar is vaak ook gebaseerd op gemak, omdat de inrichting van de AO/IC, want daar gaat het in de kern over, veelal lastige materie blijkt te zijn. “Het is prettig als deze medewerker snel toegang kan krijgen tot bepaalde data” en “Neem de autorisatierechten van medewerker X maar over bij het verlenen van toegang van medewerker Y; ze werken toch op dezelfde afdeling” zijn veel gehoorde reacties op de vraag waarom de interne beveiliging toch wat minder goed geregeld blijkt te zijn.
De betrouwbaarheid van gegevens in besluitvormings- en verantwoordingsprocessen is essentieel om de organisatie levensvatbaar te laten zijn. Risico’s die deze betrouwbaarheid aantasten, moeten dan ook onderkend worden. Besluitvorming op grond van onjuiste (of onvolledige) data vormt wellicht niet een acuut probleem voor de continuïteit van de organisatie, maar zal zeker op de lange termijn een organisatie ernstige schade kunnen toebrengen. En dat staat nog even los van de oorzaak van het ontstaan van onbetrouwbare data; is de data bewust dan wel onbewust gemanipuleerd?
Nu is er veel over logische toegangsbeveiliging te vertellen, bijvoorbeeld waar het de techniek of de inrichting betreft, en dat zal in toekomstige bijdragen ook uitvoerig aan bod komen. Met deze bijdrage wordt vooral aandacht gevraagd voor het bewustzijn op het gebied van dit onderwerp en dan, zoals gezegd, in relatie tot de dagelijkse bedrijfsvoering. Logische toegangsbeveiliging vormt de levensader van een organisatie, vooral in het licht van de levensvatbaarheid en de concurrentiepositie van de organisatie op de lange termijn.
De praktijk laat zien dat uitgangspunten en principes van logische toegangsbeveiliging maar zelden helder en concreet worden gedefinieerd en vastgelegd. Veelal zijn deze aspecten onderdeel van het “Informatiebeveiligingsbeleid”, wat overigens geheel logisch is, maar sneeuwen daarbinnen onder als het gaat over de eerdergenoemde cybercrime gerelateerde onderwerpen.
Analyseer de kaders van de logische toegangsbeveiliging van de organisatie, leg ze helder en concreet vast en maak ze vooral transparant. Hoe werkt dit nu in de praktijk? Beleidsmatig vastleggen hoe u bijvoorbeeld om gaat met datagovernance, functiescheiding in uw primaire (IT-)processen en vooral hoe belangrijk u de betrouwbaarheid van uw data vindt, bieden u een essentieel kader en kapstok om het beheersingskader met betrekking tot de toegang tot uw informatiesystemen verder vorm te geven. Dit kader en deze kapstok vormen vervolgens het vertrekpunt voor de inrichting van uw processen en de bewaking van de goede uitvoering van deze processen. Vanuit ACS AO/IC kunnen wij u helpen bij de totstandkoming van het beheersingskader ten aanzien van logische toegangsbeveiliging en kunnen wij u bovendien helpen met het opzetten, inrichten en implementeren van deze processen.
In komende bijdragen zullen de implicaties voor de AO/IC met betrekking tot logische toegangsbeveiliging nader worden belicht.
Audit & Risk Solutions biedt een cursus aan waarin u een introductie krijgt in de belangrijkste begrippen en onderwerpen van het vakgebied informatiebeveiliging en cybersecurity. Bekijk de cursuspagina voor meer informatie.