Als we informatiebeveiliging serieus willen nemen zullen we het eenvoudiger moeten maken. Dat begint bij toegangsrechten, wie wat mag inzien of wijzigen. 'Role based access control' (Rbac) is een oplossing. Toch beseffen veel organisaties niet wat zij zich hiermee op de hals halen.
Een belangrijke vooruitgang bij informatiebeveiliging is de inzet van Rbac (Role based access control). In plaats van rechten rechtstreeks aan personen toe te kennen, worden ze aan rollen toegekend, waarna personen weer een aantal van die rollen krijgen. Toch beseffen veel organisaties niet wat zij zich hiermee op de hals halen, met grote risico's in de beveiliging tot gevolg.
Wat momenteel nog steeds veel gebeurt, in plaats van Rbac te gebruiken, is dat elk informatiesysteem zijn eigen toegangsrechten bijhoudt. Daar hoort dan ook weer per systeem een hoop werk bij dat de gegevens over de gebruikers en hun rechten actueel houdt. Dat is duur. Het alternatief is dus om de gegevens van de gebruikers uit die systemen los te weken, en zoveel mogelijk te bundelen. Die bundeling wordt een ‘identity management infrastructuur' genoemd.
Voor de gebruiker betekent dat: één gebruikersnaam, in plaats van een account voor elke systeem apart, en niet meer tientallen wachtwoorden onthouden. Rbac zorgt daarbij voor het toekennen van rollen. Voor het beheer van een website zou iemand met de rol ‘auteur' bijvoorbeeld artikelen mogen schrijven en een ‘redacteur' zou artikelen mogen publiceren.
In de praktijk zijn er in de opzet van Rbac echter twee valkuilen, die helemaal niets te maken hebben met de techniek. Ten eerste is de materie meestal te complex om in een groot modelleertraject in een keer in een optimale configuratie weer te geven, maar het belangrijkste is misschien wel dat de organisatie voortdurend en actueel moet weten wie er werkt, in welke afdeling en met welke bevoegdheden.
Dit omvat ook ingehuurde medewerkers, uitzendkrachten, en dergelijke, die tot op heden vaak in aparte systemen worden geregistreerd. Dat is geen it-probleem, maar een verantwoordelijkheid die de hele organisatie raakt. Kortom, een organisatie raakt ervan aan de rol. De meeste organisaties hebben daarin nog een hele weg te gaan.
Helemaal mee eens, maar waar is de oplossing? We hebben dus een informatiebeveiligingsprobleem dat, verrassing!…?, geen IT-probleem is. Als ‘de organisatie’ (alsof IT daar niet bijhoort) niet weet wie wat komt doen, iedere dag, dan is het nog een heel groot wonder als informatiebeveiliging zin zou hebben. Want als iedereen nou claimt de info gewoon nodig te hebben? Dan blijkt dat ‘de organisatie’ een open systeem is en er de facto niks k�n worden afgeschermd, omdat de organisatie nu eenmaal bestaat bij de gratie van info-uitwisseling met de omgeving. En de organisatie bestaat nou net uit zo veel gespecialiseerde functies en mensen omdat ze allemaal iets anders doen en andere info verwerken en niemand heeft juist nog zicht op alle details. Als leiding ben je dus lost. En wie gaat inventariseren, heeft uitsluitend verouderde info als je klaar bent… Fugeddaboudit.