Zonder de juiste data staat de R van RBAC voor rubbish

De R van RBAC

De meeste organisaties richten dit in op basis van een RBAC-oplossing, waarbij de R voor verschillende benaderingen kan staan in R Based Access Control. Dat zijn:

• Role-based – veruit het vaakst wordt aan deze uitleg gedacht bij de term RBAC. Hierbij hangt de toegang af van de rol van de persoon. Zo kan een manager toegang hebben tot alle informatiesystemen van een organisatie, terwijl een finance-medewerker alleen toegang heeft tot die systemen die hij of zij echt nodig heeft.
• Rule-based – hier bepaalt een regel of regels op basis van attributen wie toegang heeft. De term attribute-based wordt daarom ook wel gebruikt. Een regel kan zijn dat accounts van een bepaalde afdeling op kantoor altijd toegang hebben, maar thuis of op een andere plek buiten het kantoor niet of extra goedkeuring nodig is. De attributen zijn hier dan afdeling en locatie.
• Request-based – hier moet een gebruiker een verzoek voor toegangsrechten indienen, waarna er een handmatig of geautomatiseerd goedkeuringsproces start.
• Risk-based – hier wordt de afweging gemaakt hoe kritisch de data in een systeem is voor de organisatie. Hoe hoger de risico’s van schade door misbruik, hoe strenger de access control. Dit hangt ook weer af van de context van de toegang (context-based), die dynamisch is. Denk hierbij bijvoorbeeld aan tijd, locatie of logging van ‘normaal’ gebruik.

De meeste organisatie gebruiken een combinatie van deze benaderingen. Zij geven vaak invulling aan RBAC door middel van rollen, maar kennen deze meestal toe op basis van regels, risks en requests.

Belang van datagovernance

Organisaties proberen hun access control begrijpelijkerwijs zoveel mogelijk te automatiseren. Dat betekent dat voor effectieve access control op elk moment de juiste data voorhanden moet zijn om te beslissing te kunnen nemen of een identiteit wel of geen toegangsrechten krijgt. Van informatiesystemen is bekend dat ‘rubbish in’ gelijk is aan ‘rubbish out’. Hetzelfde geldt bij access control. Welke variant je als organisatie ook gebruikt, als de onderliggende data niet van de juiste kwaliteit is, is er al snel sprake van rubbish-based access control. En dat leidt niet tot het gewenste resultaat, namelijk het in control zijn over wie toegang heeft tot wat en waarom. Om de kwaliteit van de benodigde data te verbeteren en kunnen garanderen, is het belangrijk om aandacht te besteden aan datagovernance als je aan de slag gaat met RBAC.

Bij datagovernance als basis voor datakwaliteit (juist, compleet, tijdig, relevant en betrouwbaar) voor RBAC-systemen gaat het in dit verband om de volgende aspecten:

•  Visie van de organisatie met betrekking tot data. Hier gaat het om de vraag wat een organisatie strategisch voor ogen heeft met haar data.
• Het beleid van de organisatie met betrekking tot data. In beleid moet worden vastgelegd op welke manier gebruik gemaakt mag worden van de data binnen en buiten de organisatie.
• Eigenaarschap en verantwoordelijkheid. Hier speelt de vraag welke mensen of afdelingen aanspreekbaar zijn op de kwaliteit van bepaalde datasets.
• Awareness. Data is vandaag de dag een bedrijfsasset, net als gebouwen en productiemiddelen. Dat vereist bewustwording van medewerkers van de waarde van data.
• Processen geven invulling aan wat er gerealiseerd moet worden volgens opgesteld beleid.
• Technologie. Alle voorgaande aspecten zijn met de juiste technologie te ondersteunen, waarbij dit alles geen eenmalige exercitie is, maar een herhalend proces is, dat steeds verder te verfijnen is.

Aanpak van RBAC

Als de datagovernance op orde is en een organisatie ervan overtuigd is dat de data die een RBAC-systeem moet voeden, bruikbaar is, kan een autorisatiemodel met een hybride aanpak opgezet worden. Daarmee bedoelen we dat we dan zowel het perspectief van business (ook wel ‘top-down’) als dat van de applicatie (bottom-up) meenemen. Bij top-down passen vragen als Wie doet wat?, Welke applicaties worden er gebruikt en Welke functies worden er gebruikt van die applicaties? Bij ‘bottom-up’ spelen vragen als Wat kan iemand met deze applicatie?, Welk onderscheid in toegangsrechten kan er gemaakt worden? en Wat hebben medewerkers op dit moment aan rechten?
Daarbij is het belangrijk dat er een organisatie wordt opgezet rondom autorisatiebeheer. Dit betekent dat er mensen nodig zijn die verantwoordelijk zijn voor de verschillende processtappen in processen als:

– Beheer van het autorisatiemodel
– Toekennen van rollen d.m.v. goedkeuring
– (Periodiek) herbeoordelen van toegekende rechten
– Controleren op functiescheiding
– Inrichting autorisatiemodel en autorisatiebeheerprocessen in ondersteunende technologie

Van daaruit is het autorisatiemodel inclusief toekenningsregels en aanvraagprocessen in te richten (in daarvoor geschikte technologie), waarmee de organisatie controle krijgt over autorisatiebeheer.

Tessa Schlief is Team Lead Business Consultancy bij Traxion, leverancier van Identity Centric Security Services in Nederland en België met meer dan 130 hooggekwalificeerde professionals. Traxion is onderdeel van de Swiss IT Security Group.