Independent. Dynamic. Involved.
nlen

Langs de Compliance meetlat: Attestatie brengt je verder

Door Diederik Perk.

In beveiliging is de allerbelangrijkste vraag wie wat mag doen en waarbij. Open het gemiddelde auditors rapport en dát is de meest voorkomende rode vlag: mensen kunnen dingen die ze niet mogen. Dat dat blijkbaar een heel moeilijk vraagstuk is blijkt uit het feit dat het al jarenlang zo gaat.

De datakwaliteit van de brondata (die gebruikt wordt om te bepalen wat iemand mag) is in deze ook van cruciaal belang als basis voor het toewijzen van toegangsrechten. Voor het verbeteren van deze datakwaliteit krijg je echter binnen de gemiddelde organisatie niet meteen de handen op elkaar. Attestatie is de pragmatische methode die dat voor je organisatie doet als je het goed speelt- en dan vooral bij de personeelsadministratie en ICT afdeling.

Het attestatieproces loopt als volgt: een manager krijgt een lijstje op het scherm met het personeel onder zijn verantwoording. Op het lijstje staan de toegangsrechten die deze personen via hun gebruikersaccount hebben. Het lijnmanagement weegt de geldigheid van deze rechten af en verwijdert ze waar nodig. De lijst wordt verwerkt door IT en keurig bewaard, tot het proces na verloop van tijd weer bijgewerkt wordt. Een notificatie wordt verstuurd naar de eindgebruiker en de interne auditor.

Waarom deze niet zo spannende situatieschets? Omdat in Nederland buiten de financiële branche de meeste organisaties deze relatief simpele handelingen voor attestatie van gebruikersrechten nog niet belegd hebben binnen de organisatie. Wanneer dat wel het geval is ligt het zwaartepunt vaak op de IT afdeling, waarmee een kans om het aan te grijpen als sturingsinstrument verloren gaat.

Er zijn dwingende redenen om een interne audit functie te introduceren, zoals compliance en kwaliteitscontrole, maar ook het aanwenden van instrumenten als risicomanagement, fraudebestrijding en governance op efficiëntie en effectiviteit van gangbare bedrijfsprocessen.

Attestatie is een methode binnen een audit om administratieve hygiëne af te dwingen door toezicht op bestaande toegangsrechten te vereisen vanuit de business kant. De lijnmanager voldoet daarmee aan de ondankbare taak die de IT beheerders hebben geprobeerd op te vangen door rollenmodellen te bouwen. Waar die rollen vooral op aannames zijn gebaseerd, is er nu een directe terugkoppeling én aansprakelijkheid gecreeërd.

Door attestatie toe te passen wordt er zichtbaarheid gegeven aan fraudepreventie, wat bewijs over toezicht op gebruikers centraal bundelt. Er is een aantal tussenstappen te nemen en obstakels te vermijden.

Beheer en beheers

Zo tegen het eind van het kalenderjaar moeten veel bedrijven nog een stevig sprintje trekken om security compliant te worden.[1] Door een grondige interne audit uit te voeren kan een externe auditor zich hier aan verbinden en daarop conclusies baseren.

Zorgen voor een goed eindresultaat begint bij een gedegen voorbereiding. Het toepassen van projectmanagement is daarbij een leidraad. Zorg voor een duidelijke afbakening van het werk door je doelen af te stemmen op de compliance standaard en focus van de externe audit.

Neem daarbij de context mee, zoals bij Sarbanes-Oxley het belang van boekhoudschandalen en interne fraude voorkomen voorop staat na het Enron-schandaal, is bij PCI-DSS creditkaart fraude en toegang tot financiële gegevens de hoofdmoot.

Door het proces scherp in te richten kan medewerking afgedwongen worden bij alle stakeholders. Dat betekent dat een tijdslijn, escalatiepad, documentatie en rapportage en een beschikbaar contactpunt goed worden ingericht en gecommuniceerd.

Eerst zien dan geloven

Om de controlefunctie te laten slagen is de eerst-zien-dan-geloven mentaliteit benodigd. Ondanks dat managers het beste met de zaak voor hebben en dit goed is voor de organisatie, zal er weerstand optreden dat strekt van een deadline missen tot de taken niet volgens de richtlijnen volbrengen.

Door hiervoor te waken en selectief te controleren kan dit gesignaleerd en gecorrigeerd worden. Om veel nawerk te voorkomen, kun je ervoor kiezen om kruislings controle te laten doen binnen het lijn-management, of door het introduceren van reviews door beheerders en applicatie eigenaren. Het inbrengen van een extra laag is misschien niet op en top efficient, maar wel accurater.

Het doel is om de werkelijkheid van de organisatie zo goed mogelijk te vangen in een systeem van toegangsrechten. Om dat te benaderen is een gap analyse handig om inzichtelijk te krijgen op welke vlakken er nog meer alignment moet plaatsvinden. Voer dit elk kwartaal uit om chaos op het eind van het jaar te voorkomen.

Screenshots verzamelen als voorzorgsmaatregel voor toekomstige bewijslast toont aan dat er gewenning begint op te treden in je niet al te populaire rol.

Op de automaat

Het is uiteraard geen aangenaam klusje om als manager door pagina’s vol namenlijsten te klikken en een steeds terugkerende afweging te maken of diegene datgene mag doen. Als dan blijkt dat die toegangsrechten ook nog eens handmatig afgenomen dienen te worden is een koppijndossier geboren. Het is de vraag in hoeverre er dan nog een zorgvuldige weging wordt gemaakt op basis van het segregation of duties principe.

Vandaar en vanwege het uitsluiten van menselijke foutjes is het aan te raden het proces zo volledig mogelijk te automatiseren door middel van een identity en access governance (IAG) oplossing. Hiermee wordt via een dashboard de mogelijkheid gegeven om toegang te verschaffen of te deactiveren. Ook zelfservice of een tijdslimiet op bepaalde rechten plaatsen heeft een belangrijke governance functie.

Waar het door krimpende budgetten geen optie is om een automatiseringsslag door te voeren, is het alsnog zaak om te zoeken naar tools, templates en add-ons die zoveel mogelijk werk uit handen nemen. Bijvoorbeeld plug-ins waarmee er vanuit Excel mass mailings uitgestuurd kunnen worden.[2]

Problemen uitspreiden

Eigenaarschap van gebruikersprofielen, applicaties en kostencentra zijn de as waar het compliancewiel om draait. Voor elk gebruikersaccount een attribuut opzetten waarin de verantwoordelijke leidinggevende wordt benoemd creeërt aansprakelijkheid. Voor tijdige en blijvende administratieve hygiëne is een zelfservice portaal een uitkomst, waarbij door het uitsluiten van bepaalde toegangscombinaties al meer beveiliging kan worden afgedwongen.

Echter, de dynamiek die dit geeft moet niet ten koste gaan van de in essentie hiërarchische structuur. Aansprakelijkheid en verantwoordelijkheid zijn niet alleen termen om mee te strooien, er zitten taken aan vast voor diegenen in hogere posities. Het herinneren van die eigenaren die verzaken is iets waarbij je dekking van hoger management nodig hebt en bij escalaties zelfs hun inmenging.

Het afschuiven van verantwoordelijkheid is ook een terugkerend fenomeen. Op het laatste moment zijn er altijd een paar mensen die in koor roepen dat ze weg zijn bij een afdeling of functie en niets meer te zeggen hebben. Voor de overdracht van die verantwoordelijkheid zijn ze echter zelf in gebreke gebleven. Maak daarom hun probleem niet jouw probleem.

Het uitspreiden naar de hoofdelijk verantwoordelijken van dit soort heikele zaken is datgene wat de projectlijn in stand houdt. Als je voor iedere vertraging het probleem wilt uitzoeken en ophelderen blijf je achter met een gefragmenteerd boodschappenlijstje, zonder dat de gebruikersreview gebeurt.

Doe dus niet meer dan noodzakelijk door zoveel mogelijk terug te duwen naar de business tak en coach ze eventueel door de chaos heen.

Verzacht de pijn

Gezien het voorgaande dient de vraag zich aan wat je dan nog wél doet. Naast het coördineren en analyseren van het proces en de aanlevering van reviews, is het zaak om gemak van degene met eigenaarschap te dienen. Deze veelal drukbezette lijnmanagers moeten door lijsten met mogelijkerwijs duizenden gebruikers ploegen. Voorbereidend werk door te screenen op mogelijke tegenstrijdige toegang helpt de aandacht op gevoelige risicogevallen te vestigen.

Daarbij staat het gemeenschappelijke doel voorop: het volbrengen van een volledige audit en compliant zijn en/of blijven. Het vooraf uitzoeken en reconciliation van mogelijke ghost accounts heeft daarin ook z’n plaats. De hele inrichting van het lifecycle proces van een identiteit verdient een evaluatie, want hoe zuiverder de data invoer is hoe minder opruimwerk er achteraf volgt.

In het algemeen schijn je licht op moeilijke en gevoelige problemen, dus is het zaak om dit met tact te doen. Door geduldig en vriendelijk je tegenstanders te benaderen ontneem je hen een aanleiding om tegen te werken. Zie het maar als een risicobeperkend mechanisme om ongemakkelijke situaties positief te benaderen.

Onder aan de streep zijn er veel voordelen te behalen door grip op de business kant te vergroten met governance op identity en toegangsvraagstukken. Compliance werk moet zo min mogelijk beslag leggen op de normale flow van operaties. Door dit te demonstreren met een relatief schone scorekaart bij een externe audit zul je niet alleen veiligheid vergroten, maar de sturing op het hele bedrijf optimaliseren. En daarmee groeit attestatie uit van middel tot doelmatig instrument.