Weet jij wie je binnenlaat? Het managen van toegangsbeveiliging.


Als gemeente wil je voorkomen dat onbevoegden toegang hebben tot informatie, zowel digitaal als fysiek. In mijn vorige blog heb ik de eisen die de BIO stelt rondom personele beveiliging (hoofdstuk 7) toegelicht. In deze blog wil ik graag de focus leggen op de eisen die de BIO stelt als het gaat om toegangsbeveiliging (hoofdstuk 9). Want hoe kun je logische en fysieke toegangsbeveiliging inzetten binnen je organisatie? En wat is eigenlijk het verschil tussen deze twee? In deze blog ga ik hier verder op in en geef ik je concrete handvatten voor het inrichten van toegangsbeveiliging.

Logische toegangsbeveiliging versus fysieke toegangsbeveiliging

Toegangsbeveiliging omvat logische- en fysieke toegangsbeveiliging. Maar wat is nu het verschil tussen deze twee? Heel simpel; als gemeente maak je gebruik van kantoren en ruimten om je medewerkers te huisvesten en je gebruikt informatiesystemen om bedrijfsprocessen te ondersteunen. Fysieke beveiliging richt zich op het eerste: de beveiliging van personen, gebouwen, ruimtes en middelen tegen fysieke invloeden, bijvoorbeeld door middel van sloten, toegangspoortjes maar ook beveiligingscamera’s.

Logische toegangsbeveiliging richt zich op het tweede: de beveiliging van informatiesystemen, bijvoorbeeld een computernetwerk, een website of een bepaalde applicatie. Dit gebeurt door middel van wachtwoorden, het toekennen van autorisaties voor bepaalde applicaties of een extra wachtwoord/code via een token, sms of app (tweefactorauthenticatie). Zo gebruik je bijvoorbeeld een wachtwoord én token om in te loggen op het gemeentelijke netwerk.

Waarom zijn beide belangrijk?

Voorheen werden gegevens met name in fysieke vorm verwerkt en dus ook beveiligd. Tegenwoordig is dat niet meer het geval en worden gegevens op grote schaal in digitale vorm verwerkt. Hierdoor zijn gegevens ook makkelijker toegankelijk voor onbevoegden, bijvoorbeeld door digitaal in te breken. Dit vraagt dus om andere en nog belangrijkere toegangsbeveiliging. Een falende toegangsbeveiliging, of dit nu fysiek of logisch is, kan namelijk grote gevolgen hebben voor een organisatie, zeker voor een gemeente die met persoonsgegevens van burgers werken. Zo kan inbraak op je systemen leiden tot fraude, datalekken wat weer boetes, imagoschade en verlies van vertrouwen kan veroorzaken. Voor fysieke beveiliging geldt hetzelfde. Als die niet op orde is, is het voor kwaadwillenden eenvoudig om ongeautoriseerd toegang te krijgen tot panden. Eenmaal binnen is er dan vrije toegang tot bijvoorbeeld gevoelige locaties en (vertrouwelijke) informatie, zowel fysieke documenten als digitaal via bijvoorbeeld een computer die niet vergrendeld is. Ook is het mogelijk om van binnenuit oneigenlijke toegang tot gemeentelijke informatiesystemen te krijgen, bijvoorbeeld door van binnenuit in te breken op het netwerk. Zeker nu veel mensen vanuit huis werken is een goede toegangsbeveiliging nog belangrijker, de computer en netwerk thuis zijn standaard namelijk niet zo goed beveiligd als op kantoor. Kortom, toegangsbeveiliging speelt een cruciale rol als het gaat om een goede informatiebeveiliging.

Welke stappen moet je nemen?

Maar wat moet je nu concreet doen? Ik licht het toe aan de hand van een aantal stappen:

  1. Stel een beleid op voor toegangsbeveiliging
    De BIO schrijft voor dat er een toegangsbeveiligingsbeleid moet zijn waarin wordt beschreven hoe de gemeente omgaat met toegangsbeveiliging. Het beleid is onderdeel van het overall informatiebeveiligingsbeleid. Op basis van normen en/of risicoafwegingen kunnen bepaalde beveiligingsmaatregelen gevraagd en genomen worden. De te nemen (fysieke) beveiligingsmaatregelen kunnen vervolgens bestaan uit een mix van organisatorische, bouwkundige en technische maatregelen. Zorg dat het beleid wordt vastgesteld door de directie en dat het onderdeel wordt van besluitvorming, zodat er kan worden bijgestuurd indien nodig. Om inzicht te geven in een good practice voor het fysieke toegangsbeleid van een gemeente, heeft de IBD de handreiking ‘Toegangsbeleid’ opgesteld.

  2. Zorg voor de juiste rechten
    Medewerkers hebben alleen toegang nodig tot informatiesystemen en/of gegevens die nodig zijn voor het uitvoeren van hun functie. Als iemand niks te zoeken heeft op een bepaald systeem, dan is het simpelweg ook niet nodig om dit systeem te kunnen benaderen. Ook mag bijvoorbeeld niemand autorisaties hebben om een gehele cyclus van handelingen in een informatiesysteem te beheersen, ook wel Segration Of Duties (SOD) genoemd. Dit in het kader van integriteit en vertrouwelijkheid. Afhankelijk van iemands taak, functie of verantwoordelijkheid worden de juiste rechten toegekend. Zorg dus dat er een procedure is voor uitgifte van rechten (autorisaties). Hierin staat o.a. hoe de aanvrager (bijvoorbeeld de manager) kenbaar maakt welke rechten de medewerker/gebruiker nodig heeft in een bepaald informatiesysteem en welke gegevens bij de aanvraag ingevuld moeten zijn. Bijvoorbeeld informatie waaruit blijkt dat de medewerker voor zijn functie bepaalde rechten nodig heeft. Andersom geldt ook dat je als manager bij een aanvraag voor toegang tot een systeem altijd kritisch bekijkt of iemand die toegang wel echt nodig heeft.

  3. Zorg voor een goede toegangsregistratie
    Om toegangsrechten te kunnen toewijzen moet er een procedure zijn voor het aanmelden (registreren) en afmelden van gebruikers. Dit houdt in dat er controle is op iemands toegangsrechten vanaf het moment van indiensttreding tot en met de beëindiging van het contract. Een onderdeel van de procedures is bijvoorbeeld dat elke (nieuwe) gebruiker, intern of extern, geregistreerd moet worden. Dit geldt voor zowel logische als fysieke toegangsbeveiliging. Ook moeten bij functiewijzingen van medewerkers en uitdiensttreding autorisaties zo spoedig mogelijk (automatisch) worden aangepast.
    Om autorisaties goed in te richten kun je een autorisatiematrix gebruiken. Elk (kritisch) systeem zou een autorisatiematrix moeten hebben waarin is vastgelegd welke medewerker (of rollen) rechten tot het systeem zou moeten hebben. In mijn volgende blog zal ik volledig ingaan op hoe je zo’n autorisatiematrix opstelt en borgt (let op: dit is dus niet de volgende IB&P blog).

  4. Zorg voor controle op de toegang tot systemen
    Een goede controle is het halve werk. Zo stelt de BIO dat iemands toegangsrechten minimaal één keer per jaar moeten worden beoordeeld. Dit om te voorkomen dat onbevoegden toegang hebben tot systemen en/of toepassingen. De controle hiervan is een taak van de systeemeigenaar (vaak manager). Zij weten tenslotte als beste welke informatie er verwerkt wordt in een systeem en hebben bepaalde verantwoordelijkheden, waaronder het toekennen en bewaken van autorisaties. Tip: zorg dat je vaste momenten inplant waarop je controleert of iedereen de juiste rechten heeft. Zo is het makkelijker bij te houden en is de kans op het maken van fouten kleiner. Ook als een medewerker het team verlaat en van functie wijzigt, is het belangrijk om te checken of er iets moet worden aangepast als het gaat om zijn of haar rechten binnen bepaalde systemen. 

  5. Zorg voor bewustwording
    Bewustwording van de medewerkers wat zij wel en niet met deze rechten mogen doen is cruciaal. Het hebben van bepaalde rechten vraagt ook om verantwoordelijkheid van iedere medewerker om hier juist mee om te gaan. Bijvoorbeeld als het gaat om wachtwoorden moet elke medewerker weten dat zijn gebruikersnaam en wachtwoord strikt persoonlijk zijn en je deze nooit deelt, ook niet met collega’s. Wijs medewerkers er ook op dat je wachtwoorden nergens noteert en/of op een geeltje aan je monitor plakt (zie hiervoor het volgende punt voor het gebruiken van tools)! Je kunt een systeem nog zo goed beveiligen met wachtwoorden, als de medewerker deze vervolgens op een briefje schrijft heb je er niks aan. Wil je meer weten over hoe je bewustwording creëert, dan is ons eigen boek een aanrader.

  6. Zorg voor tools ter ondersteuning
    Tot slot kun je, om bijvoorbeeld het veilig omgaan met wachtwoorden makkelijker te maken voor medewerkers, tools beschikbaar stellen zoals een wachtwoordkluis (password manager) ter ondersteuning van het beheren van wachtwoorden.

Meer informatie?

Ik hoop je met deze blog meer inzicht te hebben gegeven in de stappen die nodig zijn voor het opstellen van een goed toegangsbeveiligingsbeleid en implementatie. Heb je naar aanleiding van deze blog vragen of hulp nodig om binnen jouw gemeente verder te komen op dit vlak, neem dan gerust contact met ons op.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Om een in-house cursus in te plannen, neem contact met ons op!

Meer blogs lezen

Klaar voor actie: De rol van workshops in het voorbereiden van calamiteitenteams

Het uitvallen van belangrijke ICT-voorzieningen kan leiden tot een verstoring van de gemeentelijke dienstverlening. Vanuit de BIO is het inrichten van bedrijfscontinuïteit daarom verplicht. Maar wat is bedrijfscontinuïteit precies en hoe zorg je d…

Waarom is privacy eigenlijk belangrijk?

In onze huidige maatschappij, met alle computertechnologie, is privacy belangrijker dan ooit. In deze blog lees je waarom privacy zo belangrijk is, wat de gevaren zijn bij een gebrek eraan en hoe je als organisatie de privacy kan beschermen. Want,…

Jaarrapportage informatiebeveiliging; waar rapporteer je als CISO over?

Als Chief Information Security Officer (CISO) is het belangrijk om een duidelijk beeld te hebben van hoe het gesteld is met de informatiebeveiliging binnen de organisatie én om dit beeld te delen met het management/bestuur. Een jaarrapportage is h…

Wat zet je in je jaarrapportage privacy?

Het is aan te raden om als Functionaris Gegevensbescherming (FG) te rapporteren over privacy. In de jaarrapportage staat beschreven welke acties en maatregelen er het afgelopen jaar zijn genomen op privacyvlak. Waarom dit belangrijk is en op welke…

Leren van de informatiebeveiligingsincidenten van het afgelopen jaar

: Ook al neem je nog zoveel beveiligingsmaatregelen, deze zijn niet altijd waterdicht. Vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. Het is daarom belangrijk dat je goed voorbereid bent. In deze laatste blog van het ja…

Hoe toon ik aan dat ik aan de verplichtingen uit de AVG voldoe?

: Een belangrijk onderdeel binnen de AVG is dat de gemeente zich aantoonbaar aan deze wet moet houden. Dit noemen we ook wel de verantwoordingsplicht. Hoe die verantwoordingsplicht eruitziet, lees je in deze blog.