Als gemeente wil je voorkomen dat onbevoegden toegang hebben tot informatie, zowel digitaal als fysiek. In mijn vorige blog heb ik de eisen die de BIO stelt rondom personele beveiliging (hoofdstuk 7) toegelicht. In deze blog wil ik graag de focus leggen op de eisen die de BIO stelt als het gaat om toegangsbeveiliging (hoofdstuk 9). Want hoe kun je logische en fysieke toegangsbeveiliging inzetten binnen je organisatie? En wat is eigenlijk het verschil tussen deze twee? In deze blog ga ik hier verder op in en geef ik je concrete handvatten voor het inrichten van toegangsbeveiliging.

Logische toegangsbeveiliging versus fysieke toegangsbeveiliging

Toegangsbeveiliging omvat logische- en fysieke toegangsbeveiliging. Maar wat is nu het verschil tussen deze twee? Heel simpel; als gemeente maak je gebruik van kantoren en ruimten om je medewerkers te huisvesten en je gebruikt informatiesystemen om bedrijfsprocessen te ondersteunen. Fysieke beveiliging richt zich op het eerste: de beveiliging van personen, gebouwen, ruimtes en middelen tegen fysieke invloeden, bijvoorbeeld door middel van sloten, toegangspoortjes maar ook beveiligingscamera’s.

Logische toegangsbeveiliging richt zich op het tweede: de beveiliging van informatiesystemen, bijvoorbeeld een computernetwerk, een website of een bepaalde applicatie. Dit gebeurt door middel van wachtwoorden, het toekennen van autorisaties voor bepaalde applicaties of een extra wachtwoord/code via een token, sms of app (tweefactorauthenticatie). Zo gebruik je bijvoorbeeld een wachtwoord én token om in te loggen op het gemeentelijke netwerk.

Waarom zijn beide belangrijk?

Voorheen werden gegevens met name in fysieke vorm verwerkt en dus ook beveiligd. Tegenwoordig is dat niet meer het geval en worden gegevens op grote schaal in digitale vorm verwerkt. Hierdoor zijn gegevens ook makkelijker toegankelijk voor onbevoegden, bijvoorbeeld door digitaal in te breken. Dit vraagt dus om andere en nog belangrijkere toegangsbeveiliging. Een falende toegangsbeveiliging, of dit nu fysiek of logisch is, kan namelijk grote gevolgen hebben voor een organisatie, zeker voor een gemeente die met persoonsgegevens van burgers werken. Zo kan inbraak op je systemen leiden tot fraude, datalekken wat weer boetes, imagoschade en verlies van vertrouwen kan veroorzaken. Voor fysieke beveiliging geldt hetzelfde. Als die niet op orde is, is het voor kwaadwillenden eenvoudig om ongeautoriseerd toegang te krijgen tot panden. Eenmaal binnen is er dan vrije toegang tot bijvoorbeeld gevoelige locaties en (vertrouwelijke) informatie, zowel fysieke documenten als digitaal via bijvoorbeeld een computer die niet vergrendeld is. Ook is het mogelijk om van binnenuit oneigenlijke toegang tot gemeentelijke informatiesystemen te krijgen, bijvoorbeeld door van binnenuit in te breken op het netwerk. Zeker nu veel mensen vanuit huis werken is een goede toegangsbeveiliging nog belangrijker, de computer en netwerk thuis zijn standaard namelijk niet zo goed beveiligd als op kantoor. Kortom, toegangsbeveiliging speelt een cruciale rol als het gaat om een goede informatiebeveiliging.

Welke stappen moet je nemen?

Maar wat moet je nu concreet doen? Ik licht het toe aan de hand van een aantal stappen:

1. Stel een beleid op voor toegangsbeveiliging
   De BIO schrijft voor dat er een toegangsbeveiligingsbeleid moet zijn waarin wordt beschreven hoe de gemeente omgaat met toegangsbeveiliging. Het beleid is onderdeel van het overall informatiebeveiligingsbeleid. Op basis van normen en/of risicoafwegingen kunnen bepaalde beveiligingsmaatregelen gevraagd en genomen worden. De te nemen (fysieke) beveiligingsmaatregelen kunnen vervolgens bestaan uit een mix van organisatorische, bouwkundige en technische maatregelen. Zorg dat het beleid wordt vastgesteld door de directie en dat het onderdeel wordt van besluitvorming, zodat er kan worden bijgestuurd indien nodig. Om inzicht te geven in een good practice voor het fysieke toegangsbeleid van een gemeente, heeft de IBD de handreiking ‘Toegangsbeleid’ opgesteld.
   
   
2. Zorg voor de juiste rechten
   Medewerkers hebben alleen toegang nodig tot informatiesystemen en/of gegevens die nodig zijn voor het uitvoeren van hun functie. Als iemand niks te zoeken heeft op een bepaald systeem, dan is het simpelweg ook niet nodig om dit systeem te kunnen benaderen. Ook mag bijvoorbeeld niemand autorisaties hebben om een gehele cyclus van handelingen in een informatiesysteem te beheersen, ook wel Segration Of Duties (SOD) genoemd. Dit in het kader van integriteit en vertrouwelijkheid. Afhankelijk van iemands taak, functie of verantwoordelijkheid worden de juiste rechten toegekend. Zorg dus dat er een procedure is voor uitgifte van rechten (autorisaties). Hierin staat o.a. hoe de aanvrager (bijvoorbeeld de manager) kenbaar maakt welke rechten de medewerker/gebruiker nodig heeft in een bepaald informatiesysteem en welke gegevens bij de aanvraag ingevuld moeten zijn. Bijvoorbeeld informatie waaruit blijkt dat de medewerker voor zijn functie bepaalde rechten nodig heeft. Andersom geldt ook dat je als manager bij een aanvraag voor toegang tot een systeem altijd kritisch bekijkt of iemand die toegang wel echt nodig heeft.
   
   
3. Zorg voor een goede toegangsregistratie
   Om toegangsrechten te kunnen toewijzen moet er een procedure zijn voor het aanmelden (registreren) en afmelden van gebruikers. Dit houdt in dat er controle is op iemands toegangsrechten vanaf het moment van indiensttreding tot en met de beëindiging van het contract. Een onderdeel van de procedures is bijvoorbeeld dat elke (nieuwe) gebruiker, intern of extern, geregistreerd moet worden. Dit geldt voor zowel logische als fysieke toegangsbeveiliging. Ook moeten bij functiewijzingen van medewerkers en uitdiensttreding autorisaties zo spoedig mogelijk (automatisch) worden aangepast.
   Om autorisaties goed in te richten kun je een autorisatiematrix gebruiken. Elk (kritisch) systeem zou een autorisatiematrix moeten hebben waarin is vastgelegd welke medewerker (of rollen) rechten tot het systeem zou moeten hebben. In mijn volgende blog zal ik volledig ingaan op hoe je zo’n autorisatiematrix opstelt en borgt (let op: dit is dus niet de volgende IB&P blog).
   
   
4. Zorg voor controle op de toegang tot systemen
   Een goede controle is het halve werk. Zo stelt de BIO dat iemands toegangsrechten minimaal één keer per jaar moeten worden beoordeeld. Dit om te voorkomen dat onbevoegden toegang hebben tot systemen en/of toepassingen. De controle hiervan is een taak van de systeemeigenaar (vaak manager). Zij weten tenslotte als beste welke informatie er verwerkt wordt in een systeem en hebben bepaalde verantwoordelijkheden, waaronder het toekennen en bewaken van autorisaties. Tip: zorg dat je vaste momenten inplant waarop je controleert of iedereen de juiste rechten heeft. Zo is het makkelijker bij te houden en is de kans op het maken van fouten kleiner. Ook als een medewerker het team verlaat en van functie wijzigt, is het belangrijk om te checken of er iets moet worden aangepast als het gaat om zijn of haar rechten binnen bepaalde systemen. 
   
   
5. Zorg voor bewustwording
   Bewustwording van de medewerkers wat zij wel en niet met deze rechten mogen doen is cruciaal. Het hebben van bepaalde rechten vraagt ook om verantwoordelijkheid van iedere medewerker om hier juist mee om te gaan. Bijvoorbeeld als het gaat om wachtwoorden moet elke medewerker weten dat zijn gebruikersnaam en wachtwoord strikt persoonlijk zijn en je deze nooit deelt, ook niet met collega’s. Wijs medewerkers er ook op dat je wachtwoorden nergens noteert en/of op een geeltje aan je monitor plakt (zie hiervoor het volgende punt voor het gebruiken van tools)! Je kunt een systeem nog zo goed beveiligen met wachtwoorden, als de medewerker deze vervolgens op een briefje schrijft heb je er niks aan. Wil je meer weten over hoe je bewustwording creëert, dan is ons eigen boek een aanrader.
   
   
6. Zorg voor tools ter ondersteuning
   Tot slot kun je, om bijvoorbeeld het veilig omgaan met wachtwoorden makkelijker te maken voor medewerkers, tools beschikbaar stellen zoals een wachtwoordkluis (password manager) ter ondersteuning van het beheren van wachtwoorden.

Meer informatie?

Ik hoop je met deze blog meer inzicht te hebben gegeven in de stappen die nodig zijn voor het opstellen van een goed toegangsbeveiligingsbeleid en implementatie. Heb je naar aanleiding van deze blog vragen of hulp nodig om binnen jouw gemeente verder te komen op dit vlak, neem dan gerust contact met ons op.