Privacy en informatiebeveiliging spelen binnen projecten een grote rol
Situatie
Steeds meer organisaties worstelen met hun teams waarbinnen frequent leden worden toegevoegd en leden weer vertrekken. Aangezien bevoegdheden in lijn moeten zijn met de rol/functie van werknemers, dienen de bevoegdheden dus ook frequent te worden aangepast zodat werknemers geen ongeautoriseerde toegang tot gegevens behouden.
Dit kunnen groepen ontwikkelaars zijn die agile samenwerken, waarbij ontwikkelaars en testers tegelijkertijd in verschillende teams zitten. Ook door adviseurs wordt regelmatig in teams samengewerkt, waarbij gegevens dienen te worden afgeschermd van anderen die geen onderdeel uitmaken van het team. Hierbij moet worden afgestapt reguliere hiërarchische indeling van organisaties conform organogrammen.
Werkzaamheden
HODARI begeleidt haar opdrachtgevers bij het ontwikkelingen en implementeren van tooling om frequent wisselende bevoegdheden in goede banen te leiden. Als eerste kijken wij naar de risico's die in dit proces zitten om te waarborgen dat deze adequaat worden afgedekt in beheersmaatregelen.
- Eén van de risico's dat dat wij regelmatig aantreffen, is dat de bevoegdheden van voormalige teamleden niet tijdig worden ingetrokken.
- Ook dient er uitgebreid bij stil te worden gestaan, wie verantwoordelijk is voor de juistheid van de bevoegdheden: hoofd van het betreffende team, de afdeling HR, de afdeling IT, de leidinggevenden van de werknemer zelf, ...
Veelal moet er maatwerk worden ontwikkeld, waarbij wij aan de hand van bijvoorbeeld ISO 25010 en pentesten de kwaliteit van de software beoordelen. Om er voor te zorgen dat bevoegdheden van teamleden tijdig (geautomatiseerd) worden ingetrokken kan de toegang worden gekoppeld aan systemen waar werknemers hun uren registreren ten laste van het betreffende team. Daarnaast kunnen periodieke reviews van de bevoegdheden van teamleden worden afgedwongen, waarbij hoofden van de teams de bevoegdheden van hun teamleden moeten reviewen.
Resultaat
Dergelijke tooling zorgt er voor dat accounts en bevoegdheden in lijn blijven met de rol/functie van werknemers, ook al wisselt de samenstelling van teams regelmatig. Door middel van tooling, beleid en procedures kunnen risico's op het gebied van identity and access management adequaat worden afgedekt.
Contact
Voor meer informatie kunt u contact opnemen met:
L. (Lodewijk) Benjaminse
071-2032385
lodewijk.benjaminse@hodari.nl
U kunt ook ons gehele team bekijken of op andere wijze contact met ons opnemen.
