Hadden we het eerder al kort over het belang van functiescheiding en het feit dat functiescheiding echt niet alleen belangrijk is voor het financiële domein. Hier gaan we kort in op het opnemen van de functiescheiding in de functiebeschrijvingen. Daarom de vraag:
Is de functiescheiding formeel in de functiebeschrijvingen vastgelegd?
Als we deze vraag willen beantwoorden moeten we dus eerst zicht krijgen op die functies en die activiteiten die we graag van elkaar willen scheiden om de risico’s beheersbaar te maken en te houden. We kijken daarbij ook naar de rechten die een medewerker heeft. Voor kleine organisaties allemaal nog wel inzichtelijk te maken omdat we man en paard bij naam kennen. Bij grotere organisaties wordt het al wat lastiger, we kennen niet iedereen bij naam en weten ook niet exact over welke rechten ze allemaal beschikken.
Natuurlijk kunnen we wel een uitdraai maken uit de systemen zodat we kunnen achterhalen welke rechten ze hebben. Maar welke algemene accounts zijn er allemaal en wie maakt daar gebruik van? Wellicht beschikken we maar over een algemeen admin-account waar alle beheerders gebruik van maken. Houden we dan nog zicht op de scheiding in verschillende taken en mogelijkheden?
Om dit te voorkomen moeten we de medewerker dus wijzen op de functiescheiding. We willen dat graag formaliseren en leggen dat vast in de functiebeschrijving. Hetgeen we beschrijven komt natuurlijk uit onze algemene analyse waarbij we duidelijk hebben welke functies we nooit willen of mogen combineren.
Daarnaast willen we de medewerker duidelijk maken dat als hij toch over rechten beschikt, die conform beleid niet gecombineerd mogen worden, hij vriendelijk doch dringend verzocht wordt hier melding van te maken (dit uiteraard bovenop de controles die we er zelf op uitvoeren). Ja zul je zeggen, dat is lekker, die medewerker gaat dat natuurlijk nooit melden, want daarmee beperkt hij zijn rechten. Klopt, helemaal waar. Maar er zijn ook medewerkers die wel van rechten af willen omdat ze niet per ongeluk het systeem op zijn kop willen gooien.
Eerder hebben we in de functieomschrijving of het beleid natuurlijk ook al opgenomen dat een ieder persoonlijk verantwoordelijk is voor wat er onder zijn of haar account gebeurt. Zou jij het risico willen lopen dat het netwerk plat gaat vanwege een virus op jouw werkplek omdat je toevallig over teveel rechten beschikt? Ik niet, hoe minder rechten ik heb, hoe beter dat voor de organisatie is…zeker om onbewuste fouten te voorkomen.
Dan hebben we natuurlijk nog de bewuste acties om het netwerk plat te leggen. Medewerkers die gefrustreerd raken, medewerkers die graag informatie willen lekken. Deze gaan inderdaad geen melding maken van het feit dat ze teveel rechten hebben, nee, sterker nog, ze zullen proberen steeds meer rechten te krijgen zodat ze “god worden op het netwerk”.
Het is onze taak om daarvoor periodieke controles in te richten. Wij moeten proberen te achterhalen welke rechten gecombineerd zijn om de risico’s te beperken. Geen makkelijke opgave en alleen maar moeilijker als de organisatie groter wordt. Maar niet iets dat we uit de weg moeten gaan. Begin eens klein (noem het steekproef), pak eens een afdeling en begin er mee. Lukt het? Kunnen we er een standaard proces van maken? Kunnen we de overzichten sowieso boven tafel krijgen? Daarna kunnen we altijd nog uitbreiden naar de hele organisatie, maar bedenk ook hierbij dat beveiliging een lijnverantwoordelijkheid is. Als het ons lukt om de lijnmanager de controles zelf uit te laten voeren dan zitten we dichter bij het vuur. Zij controleren en tekenen daarvoor, net als ze voor het contract van de medewerker hebben getekend.