Het kennisniveau in relatie tot bijzondere rechten

Inmiddels hebben we al verschillende malen nagedacht over functiescheiding, rechten en plichten, beveiligingsbewustwordingsprogramma’s en ga zo nog maar even door. Nu wordt het ook tijd om te gaan kijken hoe goed al die maatregelen nu eigenlijk werken en hoe goed onze medewerkers nu echt zijn. Een gevoelig onderwerp, maar wel een waar we naar moeten kijken als we het echt veilig willen maken. Opzet en bestaan is goed, maar de werking is misschien nog wel het belangrijkst.

Daarom de vraag:
Worden alleen aan medewerkers met voldoende kennis en ervaring bijzondere rechten binnen de informatiesystemen verstrekt?

De eerste dag dat een medewerker met bijzonder rechten binnen komt, laten we hem niet los gaan op het systeem. Nee, we willen hem eerst introduceren en de systemen laten leren kennen. Maar op een gegeven moment hebben we: of geen tijd meer om hem te begeleiden, of het gevoel dat hij het nu wel zou moeten kunnen. Maar zijn beide aspecten een goede graadmeter? Kunnen we er nu echt vanuit gaan dat het hem wel gaat lukken? Misschien toch te risicovol…daarom willen we weten of hij voldoende kennis heeft om in het grote zwembad te gaan zwemmen.

Als het goed is heeft hij best zijn diploma’s en certificaten behaald, ze staan mooi op zijn CV en theoretisch moet hij het inderdaad kunnen, maar hoe zit het met de praktijk? Vergelijk het eens met je eerste skivakantie. Je las misschien eerst een boek over de basis van skiën, je bekeek wat filmpjes op YouTube en ging een keertje naar een indoorbaan. Als je er echt in geloofde heb je misschien zelfs een semi-professionele set gekocht met skischoenen en latten.

Daar ging je dan, op vakantie. Om er vervolgens achter te komen dat die berg in het echt toch wel wat hoger en steiler is dan gedacht. Maar je kent de theorie, dus niet zeuren. Durfal, is het je gelukt of moest je met de eerste gipsvlucht weer terug naar huis?

Vergelijken we dit met onze organisatie dan lopen we dus risico’s als het gaat om het kennisniveau in relatie tot bijzondere rechten. Heeft die medewerker alleen het boekje gelezen of heeft hij praktijkervaring opgedaan? Kan hij het geheel zelfstandig of moeten we er toezicht op houden? Misschien willen we erg risicovolle taken wel onder 4-ogen uit laten voeren om het risico nog verder in te perken.

Klinkt misschien absurd en erg zwaar, maar ook hier gaat het er weer om dat we eerst naar de risico’s kijken. Zijn de risico’s te groot dan moeten we aanvullende maatregelen overwegen. We willen niet dat iemand met een druk op de knop ons gehele eigen vermogen op de beurs inzet…de voorbeelden zijn daar, miljarden zijn erdoor verloren en bedrijven zijn er aan failliet gegaan.

Willen we als organisatie excelleren dan kan dat alleen met medewerkers met het juiste kennisniveau (en de juiste motivatie). Is het door ons gewenste kennisniveau nog niet bereikt dan moeten we er voor zorgen dat dat alsnog gebeurt. Is het kennisniveau eenmaal bereikt dan moeten we er vervolgens voor zorgen dat het up-to-date blijft door continue scholing en bij uitdiensttreding moeten we ervoor zorgen dat de kennis tijdig wordt overgedragen.

De juiste mensen met de juiste kennis zorgt er dus niet alleen voor dat we beter beveiligd zijn maar zorgt er ook nog eens voor dat we kunnen excelleren…wat willen we nog meer?

Bijzondere rechten en plichten

Functiescheiding en scheiding in systemen, medewerkers op verschillende posities in de organisatie en allemaal hebben ze hun eigen rechten op de systemen. Het wordt al snel een hele brei aan rechten. Maar bij die rechten horen nu eenmaal ook plichten en het is goed om de medewerkers daar ook op te wijzen.

De vraag:
Worden medewerkers met bijzondere rechten binnen de informatiesystemen opgeleid in de omgang met deze rechten/plichten?

De ene medewerker heeft nu eenmaal meer rechten nodig op de systemen dan de ander. Een “gewone” gebruiker moet een aantal applicaties kunnen gebruiken en moet bij beperkte informatie op de server kunnen. Maar er zijn ook medewerkers die die applicaties en servers moeten beheren. Deze hebben dus meer rechten nodig. Net als andere functionarissen binnen de organisatie overigens die nu eenmaal bij meer en gevoeligere informatie moeten kunnen.

We hebben al geweldige beveiligingsbewustwordingcampagnes en iedere medewerker weet de top tien gouden regels op het gebied van informatiebeveiliging. Maar bij aanvullende rechten voor functionarissen komen ook aanvullende plichten, of ze dat nu leuk vinden of niet.

Deze plichten leggen we overigens niet op om ze dwars te liggen of om ze te pesten. Nee, deze plichten zijn er omdat meer rechten nu eenmaal ook zorgt voor meer risico’s. Zo kan de systeembeheerder met een bewuste of onbewuste actie voor veel ellende zorgen en de financiële afdeling kan met een verkeerd gezette komma de winst- en verliesrekening 360 graden draaien.

We willen niet alleen de organisatie voor deze risico’s behoeden, maar willen ook voorkomen dat de medewerker deze verantwoordelijkheid in zijn of haar eentje hoeft te dragen. Het mag dan misschien over komen als een blijk van wantrouwen, maar dat kan nooit het geval zijn. We hebben nu eenmaal medewerkers die bewust de boel willen frustreren en daar willen we het liefst zo snel mogelijk vanaf. Maar daarnaast hebben we medewerkers die prima hun job uitvoeren, waar we erg blij mee zijn en die we het liefst nog 10 jaar aan ons binden.

Maar ook deze medewerkers kunnen fouten maken, niets menselijks is hen vreemd en daar willen we ze graag voor behoeden. Brengen we het op deze manier dan is het niet meer het dwarszitten, pesten of afnemen van rechten, maar dan is het beschermen van die medewerker. Leiden we ze dan ook nog eens goed op dan zijn de risico’s al een stuk lager.

Met bijzondere rechten komen bijzondere plichten, zo bijzonder is dat nu ook weer niet. Theoretisch allemaal prima uit te werken, in de praktijk toch veelal lastig. Men heeft de rechten verworven en staat ze niet graag meer af, verschillende functies kunnen verschillende rollen hebben en soms heeft een systeembeheerder inderdaad extra rechten nodig…maar hij hoeft niet met die bijzonder rechten in te loggen als hij gewoon een briefje in Word moet typen of een emailtje moet versturen. Ga jij ze dat binnenkort vertellen? Wees dan niet de boeman, maar leg uit waarom we dergelijke (vervelende) regels doorvoeren…niet om ze het werk onmogelijk te maken maar om de risico’s te beheersen. Nu je wat meer zicht hebt op de achtergrond zou het moeten lukken zeker als we ze er ook nog eens goed bij opleiden.

Functiescheiding

Van het hebben van rechten en het ontbreken van volledige overzichten van gebruikers is het een kleine stap naar het doorvoeren van functiescheiding.

De vraag:
Zijn er maatregelen getroffen die er in voorzien dat niet alle bevoegdheden bij het uitvoeren van specifieke werkzaamheden in één hand terechtkomen (functiescheiding)?

Bij functiescheiding denken we wellicht direct aan financiële gebieden waarin we die scheiding graag door willen voeren. We willen immers niet dat een persoon ons hele eigen vermogen met een druk op de knop naar zijn of haar Zwitserse bankrekening over kan schrijven. Daar ligt inderdaad de oorsprong van functiescheiding.

Maar zoals we al eerder zagen, willen we ook niet dat er mensen zijn met teveel rechten op de systemen. Niet teveel rechten op de financiële systemen maar ook niet teveel (beheer)rechten op de informatiesystemen. Het risico is gewoon te groot dat iemand, bewust of onbewust, het hele systeem lam legt.

Een discussie die hierbij al vaker gevoerd is, is die tussen beheerwerkzaamheden op de informatiesystemen en de inhoud van de informatie op die systemen. De beheerders hebben graag veel rechten omdat ze zo hun werk goed kunnen doen. Toch moeten we er even bij stil staan dat zij (veelal) geen toegang tot de inhoud van de informatie nodig hebben om back-ups uit te voeren of terug te zetten. Of in gewoon Nederlands: een beheerder moet wel een back-up kunnen maken van een Word-document maar hoeft niet te kunnen zien welke woorden er in dat Word-document staan. Ook hier kun je dus kijken op welke wijze we functiescheiding door kunnen voeren. Maar bereid je voor op de discussie die zal komen en bedenk nu alvast hoe je gaat controleren dat die rechten inderdaad zijn afgenomen…het is immers de beheerder die zichzelf die rechten af moet nemen.

Nu we zicht hebben op de medewerkers van de financiële afdeling en de IT-afdeling beginnen we al een aardig beeld te krijgen over de gebieden waar we functiescheiding toe kunnen passen. Deze basis kunnen we uitbreiden door op onderzoek uit te gaan naar die functies die ook een risico vormen als ze teveel rechten bezitten. Dat kunnen hele specifieke functies zijn, maar kunnen ook gewone gebruikers zijn.

Wilden we eerder al zicht hebben op de rechten die gebruikers hebben dan ligt daar de overeenkomst met functiescheiding. We zijn niet zo zeer bang voor het feit dat ze grote bedragen over kunnen maken of systemen plat kunnen leggen. We zien wel een risico als het gaat om de grote hoeveelheid informatie waarover ze kunnen beschikken. Hebben ze echt al die informatie nodig? En aan de andere kant: beschikken ze wel weer over alle informatie die ze nodig hebben om hun werk goed te doen?

Het doen aan functiescheiding lijkt een logische maar er komt een berg finetuning bij kijken. Niet teveel rechten geven, niet teveel rechten afnemen. Ze moeten hun werk kunnen doen maar wel binnen de kaders die we acceptabel vinden. Het klinkt dan ook makkelijker dan het in de praktijk is. We moeten keuzes maken, die keuzes effectueren en controleren en dat zijn geen gemakkelijke stappen.

Daarbij moeten we dan ook nog eens rekening houden met de omvang van de organisatie. In een grotere organisatie kunnen we risicovolle taken gemakkelijker over meerdere personen verdelen dan dat we dat in kleine organisaties kunnen doen. Denk nu niet dat functiescheiding voor een kleinere organisatie niet kan worden doorgevoerd of minder belangrijk is. Nee, misschien is het zelfs voor een kleinere organisatie nog wel veel belangrijker om eens goed te kijken naar wie wat kan.

Functiescheiding, een belangrijk aspect en zeker niet alleen voor beveiliging. Toch nog vaak een moeilijk praktijkgeval waar we goed over na moeten denken om het allemaal werkbaar te houden.