De meeste organisaties richten dit in op basis van een RBAC-oplossing, waarbij de R voor verschillende benaderingen kan staan in R Based Access Control. Dat zijn:
De meeste organisatie gebruiken een combinatie van deze benaderingen. Zij geven vaak invulling aan RBAC door middel van rollen, maar kennen deze meestal toe op basis van regels, risks en requests.
Organisaties proberen hun access control begrijpelijkerwijs zoveel mogelijk te automatiseren. Dat betekent dat voor effectieve access control op elk moment de juiste data voorhanden moet zijn om te beslissing te kunnen nemen of een identiteit wel of geen toegangsrechten krijgt. Van informatiesystemen is bekend dat ‘rubbish in’ gelijk is aan ‘rubbish out’. Hetzelfde geldt bij access control. Welke variant je als organisatie ook gebruikt, als de onderliggende data niet van de juiste kwaliteit is, is er al snel sprake van rubbish-based access control. En dat leidt niet tot het gewenste resultaat, namelijk het in control zijn over wie toegang heeft tot wat en waarom. Om de kwaliteit van de benodigde data te verbeteren en kunnen garanderen, is het belangrijk om aandacht te besteden aan datagovernance als je aan de slag gaat met RBAC.
Bij datagovernance als basis voor datakwaliteit (juist, compleet, tijdig, relevant en betrouwbaar) voor RBAC-systemen gaat het in dit verband om de volgende aspecten:
Als de datagovernance op orde is en een organisatie ervan overtuigd is dat de data die een RBAC-systeem moet voeden, bruikbaar is, kan een autorisatiemodel met een hybride aanpak opgezet worden. Daarmee bedoelen we dat we dan zowel het perspectief van business (ook wel ‘top-down’) als dat van de applicatie (bottom-up) meenemen. Bij top-down passen vragen als Wie doet wat?, Welke applicaties worden er gebruikt en Welke functies worden er gebruikt van die applicaties? Bij ‘bottom-up’ spelen vragen als Wat kan iemand met deze applicatie?, Welk onderscheid in toegangsrechten kan er gemaakt worden? en Wat hebben medewerkers op dit moment aan rechten?
Daarbij is het belangrijk dat er een organisatie wordt opgezet rondom autorisatiebeheer. Dit betekent dat er mensen nodig zijn die verantwoordelijk zijn voor de verschillende processtappen in processen als:
– Beheer van het autorisatiemodel
– Toekennen van rollen d.m.v. goedkeuring
– (Periodiek) herbeoordelen van toegekende rechten
– Controleren op functiescheiding
– Inrichting autorisatiemodel en autorisatiebeheerprocessen in ondersteunende technologie
Van daaruit is het autorisatiemodel inclusief toekenningsregels en aanvraagprocessen in te richten (in daarvoor geschikte technologie), waarmee de organisatie controle krijgt over autorisatiebeheer.
Tessa Schlief is Team Lead Business Consultancy bij Traxion, leverancier van Identity Centric Security Services in Nederland en België met meer dan 130 hooggekwalificeerde professionals. Traxion is onderdeel van de Swiss IT Security Group.