Stakeholders eisen dat accounts en bevoegdheden worden gereviewd
Situatie
Organisaties hebben veelal procedures voor de zogenaamde in-, door- en uitstroom van werknemers. Deze procedures beschrijven hoe accounts worden aangemaakt en geblokkeerd en hoe bevoegdheden worden toegekend en ingetrokken. Veelal hanteren organisaties het least privilege of need to know principe, opdat de bevoegdheden in lijn zijn met de rol/functie van werknemers en zij – onder andere op last van de AVG – geen toegang hebben tot andere (persoons)gegevens. Desondanks sluipen er soms fouten in de uitvoering van deze procedures, moet er met spoed een tijdelijk account aangemaakt of worden bevoegdheden buiten de procedures om toegekend. Om deze risico's te beperken, wordt HODARI regelmatig gevraagd periodieke reviews op accounts en bevoegdheden uit te voeren.
Werkzaamheden
Bij vele opdrachtgevers hebben wij reviews op accounts en bevoegdheden uitgevoerd. Hierbij richten wij ons in eerste instantie op de systemen die relevant zijn voor de jaarrekening. Hiervoor koppelen wij informatie over accounts en bevoegdheden uit diverse systemen met onze eigen tools en scripts aan elkaar, waarna wij hierop diverse analyses uitvoeren. Enkele gebruikelijke bronnen zijn Active Directory (voor informatie over de toegang tot het netwerk), personeelsadministratie van HR (met informatie over de werknemers die in dienst zijn) en de te onderzoeken systemen zelf (voor informatie over de accounts en bevoegdheden).
Uit onze analyses komen vrijwel altijd bevindingen naar voren, daar waar accounts langere tijd niet meer worden gebruikt omdat personen bijvoorbeeld al uit dienst zijn of wanneer personen bevoegdheden hebben in systemen waar dit niet meer in lijn is met hun rol/functie binnen de organisatie.
