Door: Jaap van der Wel en Nanne Homma
De beveiliging van de toegang tot gegevens is vaak een probleem omdat niet duidelijk is wie wat mag. Ook is niet altijd duidelijk wie eindverantwoordelijk is voor het bepalen van de bevoegdheden. Als dan ook nog een deel van de activiteiten wordt uitbesteed, is de chaos compleet. Het hoogste management, stellen Jaap van der Wel en Nanne Homma, zal moeten ingrijpen.
Toegang slecht geregeld
De gegevensbeveiliging van geautomatiseerde systemen is vaak slecht beveiligd. Dit is een serieus probleem waarvoor veel directies beducht zijn omdat het maar niet lukt het op te lossen. Eén van de gevolgen is privacyverlies. Als bijvoorbeeld gegevens over kredietpositie en betaalgedrag ruim toegankelijk zijn binnen de organisatie, vergroot dit de kans dat een malafide medewerker die in handen krijgt en doorspeelt. Zwakke toegangsbeveiliging bezorgt administratieve automatisering een slechte naam, een reden voor directies om terughoudend te zijn met ambitieuze automatiseringsplannen. Zwakke toegangsbeveiliging kan ook leiden tot een risicomijdende opstelling van directies door elektronische communicatie met de buitenwereld bijvoorbeeld e mail te blokkeren. Het lagere rendement van ICT wordt dan op de koop toe genomen. Uitbesteden van bedrijfsactiviteiten compliceert het vraagstuk van toegangsbeveiliging. Arbo artsen bijvoorbeeld, die vaak op het kantoor van hun opdrachtgever werken, kunnen gewoonlijk de eigen bedrijfsgegevens niet benaderen.
Techniek is er wel
De oorzaak van de problemen is niet de beveiligingstechniek want die is de afgelopen jaren juist beter geworden. Voor bedrijfssystemen zijn er systemen voor Public Key Infrastructure (PKI), firewalls et cetera. En encryptie schermt de gegevens van een laptop beter af dan het slotje van de leren aktetas van vroeger. De oorzaak is gewoonlijk een combinatie van beheersproblemen.
1. Rechten in meerdere systemen geregistreerd
Allereerst is vaak onoverzichtelijk wie wat mag, omdat de rechten van medewerkers zijn geregistreerd in verschillende systemen. Ook moeten vaak te veel verschillende administratieve functies worden beheerd, met als gevolg te veel werk.
2. Essentiele toegang is weggestopt in systeemtabellen
Daarnaast weet de beslisser vaak niet wie wat mag, omdat het toegangsbeheer voor hem is weggestopt in systeemtabellen of firewall instellingen. Hij delegeert het werk daarom maar aan mensen die dat wel snappen en kijkt er niet meer naar om.
3. Functies van informatiesystemen sluiten niet aan op behoeften
Een volgend punt is dat de functies van informatiesystemen vaak niet aansluiten op de behoeften van de organisatie. Dat is het geval als de meeste autorisaties toegang geven tot maar weinig gegevens (veel werk voor autorisatiebeheer) of tot overvloedig veel. Informatiesystemen sluiten ook niet aan op de behoeften van de organisatie als functiescheiding onvoldoende mogelijk is, wat bijvoorbeeld weer kan leiden tot ongecontroleerde inzage van systeembeheerders in vertrouwelijke bedrijfsgegevens.