Toegangscontrole

Wat betekent toegangscontrole in het ICT-landschap?

Toegangscontrole, of Access Control in het Engels, is een veiligheidsmaatregel die verzekert dat alleen de bevoegde personen of apparaten toegang krijgen tot bepaalde systemen of fysieke locaties. Deze controle is een onderdeel van Identity and Access ManagementIdentity and Access Management is een parapluterm voor het beheer van gebruikers en hun toegangsrechten binnen een (bedrijfs)netwerk. Het idee is hierbij dat een bedrijf de controle kan houden over wie inlogt en bewerkingen doet in de systemen, applicaties, databases etc. Dit kunnen werknemers zijn, maar ook klanten of leveranciers.. Meestal wordt er gebruik gemaakt van een toegangspasje, gebruikersnaam en wachtwoord, een vingerafdruk, gezichtsherkenning of een irisscan.

Er bestaan twee soorten toegangscontrole:

• Fysieke toegangscontrole: regelt de toegang tot fysieke plaatsen, zoals bepaalde afdelingen of sites van een bedrijf of werkterrein.
• Toegangscontrole voor software: regelt de toegang tot bepaalde systemen, informatieportalen, netwerken, digitale archievenBedrijven lopen tegen verschillende soorten problemen aan bij het opslaan en bewaren van archiefdocumenten. Aan de ene kant zijn er de bedrijven die een goed geclassificeerd, maar nog volledig fysiek archief hanteren. Aan de andere kant bestaan er bedrijven die alle documentatie juist wel digitaal hebben opgeslagen, maar niet op een geordende manier. Tot slot zijn er de bedrijven die zich ergens in het midden van deze twee uitersten bevinden. Een digitaal archief kan een oplossing bieden voor deze problemen. Het doel is om tot een archief te komen waarin alles digitaal én goed geclassificeerd is. en databasesIn een database, ook wel gegevensbank of databank genoemd, worden gegevens verzameld, georganiseerd en gelinkt aan elkaar. Vanaf gekoppelde computers kunnen er zo snel data worden opgevraagd. Via het databasemodel zijn tegenwoordig ook uitgebreide analyses mogelijk. De meest moderne databases zijn tot slot ook in staat om gespecialiseerde rapportages te maken van complexe gegevens..

Toegangscontrole voor documentbeheer

De toegang tot bedrijfsdocumenten wordt idealiter erg streng bewaakt, gezien de inhoud erg gevoelig kan zijn. Denk maar aan klantgegevens of documenten die delen van de bedrijfsstrategie prijsgeven. Het is daarom belangrijk dat alleen de bevoegde personen in het DMS-pakketVeel bedrijven hebben moeite om documenten terug te vinden, erin samen te werken, of ze correct te archiveren. Een Document Management Systeem kan zorgen voor meer orde en efficiëntie in het beheer van documenten en documentstromen. Maar hoe doet deze software dat precies? kunnen werken, en dat er per document de juiste inkijk- en bewerkrechten worden ingesteld (ook wel lees- en schrijfrechten genoemd). Een ingenieurVoor ingenieursbureaus, technisch adviesbedrijven, architecten, vastgoedontwikkelaars, aannemers en andere bedrijven binnen de bouw- en ingenieursbranche zijn sectorspecifieke document management systemen het bekijken waard. Maar welke functionaliteiten zijn van belang? Geven bedrijven binnen de sector vaker de voorkeur aan een sectorspecifiek DMS, of juist vaker aan een standaardpakket? moet bijvoorbeeld wel de AutoCAD-tekeningenCAD staat voor Computer Aided Design. Met een CAD-programma kunnen, met behulp van de muis of een tekenpen, digitale technische tekeningen worden gemaakt. CAD wordt in veel sectoren gebruikt: van de architectuur tot de autobouw (automotive). kunnen bewerken, maar niet de facturen – en voor de boekhouder geldt dit vice versa. Ook voor het printen, downloaden of uploaden van documenten kunnen dit soort rechten worden ingesteld.

Let op! Toegangsbeveiliging is niet de enige manier om de veiligheid van data in een DMS te waarborgen. In de DMS WijzerDe DMS Wijzer is een essentiële leidraad voor projectleiders die zich oriënteren op de aanschaf van een (nieuw) softwarepakket voor documentbeheer. U vindt er onder andere: prijzen, verschillende leveranciers, functionaliteiten, een pakkettenvergelijk, en tips omtrent wetgeving. staat een checklijst voor de compliance van documentbeheer met bepaalde wetten of sectorspecifieke richtlijnen.

Op documentniveau worden toegangsregels meestal opgesteld op basis van metadataMetadata kunnen worden omschreven als gegevens over gegevens. De term meta komt van het Griekse prefix μετά, dat “nadien” of “over” betekent. Deze prefix wordt meestal gebruikt om aan te geven dat er verder op de basisterm zal worden ingegaan. Metadata geven dus de context, een beschrijving en extra informatie over een basiselement zoals een document, een webpagina, een afbeelding of een video. In het geval van webpagina’s zijn metadata terug te vinden in de vorm van metatags.. Deze data geven het document namelijk context en extra informatie mee, waaronder wie het recht heeft het document in te kijken en/of te bewerken. Ook als deze rechten zelf nog niet zijn vastgesteld, helpen de andere metadata deze te bepalen. Op basis van bijvoorbeeld de datum, de afdeling waar het document gecreëerd is, of de auteur kan er dan ingesteld worden wie allemaal toegang mag of moet hebben tot het document. In onderstaande afbeelding staat een voorbeeld van twee afdelingen met de documenten waartoe ze toegang zouden kunnen krijgen.

Toegangscontrole voor Human Resource Management

In de HRM-wereld wordt toegangscontrole het meeste gebruikt bij het portaal voor Employee Self Service (ESS)Niet alleen de personeelsafdeling, maar het hele bedrijf zou baat moeten hebben bij HRM-software. Employee Self Service draagt hieraan bij door werknemers meer zelfstandigheid te geven op het gebied van personeelsadministratie. Software voor Employee Self Service biedt medewerkers de mogelijkheid om eigen persoonlijke informatie waarover de werkgever beschikt in te zien en aan te passen. Het gaat daarbij niet uitsluitend om persoonlijke informatie, maar ook om gegevens met betrekking tot het (verzette) werk zelf. Via een portaal voor ESS kunnen werknemers aanpassingen direct doorvoeren in het HRM-systeem. Zo behoren minder efficiënte werkwijzen zoals het doorgeven van gewerkte uren en verlofaanvragen aan de HR-dienst per e-mail tot het verleden. en Manager Self Service (MSS)Manager Self Service (MSS) helpt leidinggevenden bij het uitvoeren van hun nieuwe HR-taken. Via dit portaal wordt de benodigde personeelsinformatie gecentraliseerd, en kunnen leidinggevenden aanvragen (voor bijvoorbeeld verlof of shiftwissels) goedkeuren of afwijzen. Een MSS wordt meestal gecombineerd met een portaal voor Employee Self Service (ESS). De aanvragen die werknemers zelf doen via het ESS, komen dan meteen in het MSS ter goedkeuring.. Door het gebruik van toegangscontrole kan een werknemer alleen zijn of haar eigen gegevens inzien en aanpassen. Bovendien krijgt de werknemer de mogelijkheid om bijvoorbeeld verlofaanvragen te doen, maar niet om die ook meteen goed te keuren. Dit recht heeft alleen zijn of haar manager dan weer. In de HRM WijzerDe HRM Wijzer is een essentiële leidraad voor projectleiders die zich oriënteren op de aanschaf van een (nieuw) softwarepakket voor Human Resource Management. U vindt er onder andere: prijzen, verschillende leveranciers, functionaliteiten, een pakkettenvergelijk, tips en belangrijke valkuilen. staan tips en checklijsten om de ESS- en MSS-modules optimaal in te richten.

Ook binnen de HR-afdeling zelf kunnen er toegangsrechten ingesteld worden in het systeem. Zo heeft een medewerker recrutering volledige toegang nodig tot de curriculums van sollicitanten (eventueel uit de ATS-moduleEen applicant tracking system (afkorting: ATS) is een softwareoplossing waarmee een bedrijf bijna het volledige werving- en selectieproces kan automatiseren. Er wordt ook wel gesproken van een kandidaat volgsysteem. Vooral voor bedrijven die regelmatig sollicitatieprocedures starten kan het systeem van waarde zijn. Geschat wordt dat meer dan 95% van de bedrijven uit de Fortune 500 een dergelijk systeem gebruikt, en dan vooral de organisaties die voor elke vacature duizenden aanmeldingen binnen krijgen.), maar is er geen reden om deze zelfde medewerker de salarisadministratieWanneer een organisatie zich oriënteert op een (nieuw) systeem voor loonadministratie, is het essentieel om eerst de salarisworkflow goed te begrijpen. Elk bedrijf voert een variatie uit op het standaardproces voor salarisadministratie. Deze standaard bestaat uit de verzameling van loongegevens voor een bepaalde periode (input), de loonberekening op basis van deze gegevens (verwerking), en de uitvoering van de betaling en creatie van loonstroken (output). te laten inzien. Een ander voorbeeld vinden we bij managers die alle evaluaties van hun team moeten kunnen bewerken, terwijl de teamleden zelf alleen hun eigen evaluatie mogen inkijken (niet die van hun teamgenoten).

Bij personeelsbeheer komt er naast toegang tot systemen ook vaak een fysieke toegangscontrole kijken. Hiervoor wordt bepaalde hardwareDe hardware van een informatiesysteem is de materiële component, alles wat je fysiek kan aanraken. Voorbeelden hiervan zijn de computermuis, het scherm, het toetsenbord, de processor, de harde schijf etc. Om een informatiesysteem te doen werken, moet deze hardware aangedreven worden door verschillende programma’s, die niet materieel zijn. Zo is er een besturingssysteem nodig (zoals Windows of MacOS), en wordt er vaak extra software geïnstalleerd voor de uitvoering van specifieke taken. Dit kunnen eenvoudige taken zijn zoals tekstverwerking, maar ook video-editing of zelfs de gehele Enterprise Resource Planning. ingezet. De toegang tot fysieke bedrijfslocaties wordt meestal geregeld door middel van een toegangspoortje met een scanner. Bij het binnenkomen wordt dan een persoonlijke toegangskaart gescand en het poortje gaat wel of niet open naargelang de rechten van de werknemer. In sommige gevallen kan er ook een code gebruikt worden, of worden werknemers rechtstreeks herkend door camera’s of biometrische scanners. Met deze registratie wordt bovendien ook aan tijdregistratieDe urenregistratie van het personeel kan voor bedrijven een vervelende dagelijkse klus zijn. Toch is het een belangrijk onderdeel van Human Resource Management, aangezien een slechte tijdregistratie minder loon of een lagere uitgaande factuur kan betekenen. Daarom is er software voor tijdregistratie op de markt, waarmee exact kan worden geregistreerd hoeveel uren er zijn gewerkt. Dit kan op projectniveau door gewerkte uren te koppelen aan bepaalde projecten van opdrachtgevers. Bij de meeste systemen is het mogelijk om indien gewenst een meer gedetailleerde urenverantwoording toe te voegen. Er zijn veel verschillende pakketten voor urenregistratie op de markt. gedaan. Het is dan namelijk meteen duidelijk hoe laat de werknemer aangekomen is op bedrijfslocatie X of Y.

Wist je dat? (Fysieke) toegangscontrole is niet slechts een controlemiddel, maar dient ook om de veiligheid van werknemers te garanderen. Als er bijvoorbeeld geëvacueerd moet worden, is het belangrijk te weten welke medewerkers aanwezig zijn op het bedrijfsterrein, en op welke afdeling ze zich precies bevinden.

Toegangscontrole in andere software

Systemen voor documentbeheerVeel bedrijven hebben moeite om documenten terug te vinden, erin samen te werken, of ze correct te archiveren. Een Document Management Systeem kan zorgen voor meer orde en efficiëntie in het beheer van documenten en documentstromen. Maar hoe doet deze software dat precies? en HRMHRM staat voor Human Resources Management. Software voor HRM stroomlijnt en automatiseert personeelszaken. Meestal hebben organisaties met veel personeel een speciale personeelsafdeling, oftewel een HR-afdeling. Bij Human Resource Management ligt de focus op de aandacht voor het personeel, het registreren van verzuim en van gewerkte uren, salaris en verlofaanvragen. Er zijn softwaresystemen op de markt waardoor deze HRM-zaken sneller en vloeiender kunnen verlopen. Vraag kosteloos de HRM Wijzer aan voor een vergelijking tussen verschillende soorten HRM-systemen. zijn niet de enige softwareproducten die gebruik maken van toegangscontrole. Ook in een ERP-systeemEen ERP-systeem brengt belangrijke informatie van verschillende bedrijfsafdelingen samen. Actuele gegevens over de productie, in- en verkoop, logistiek en administratie worden gekoppeld. Automatische werkprocessen verhogen de productiviteit, en verlagen de kosten. of CRM-pakketCustomer Relationship Management (CRM) is de term die gebruikt wordt voor het beheer van klantrelaties binnen een bedrijf. Een CRM-systeem wordt gebruikt voor de opslag, analyse en inzet van alle relevante klantinformatie. speelt deze functionaliteit een belangrijke rol. Zo wordt er bijvoorbeeld gegarandeerd dat niet zomaar elke werknemer betalingen kan uitvoeren, producteigenschappen of recepturen kan aanpassen, of klanten kan verwijderen uit het systeem.

Uit welke fases bestaat toegangscontrole?

Toegangscontrole bestaat uit een reeks vrij complexe beveiligingsmaatregelen. De systemen van tegenwoordig onderscheiden maar liefst vijf fases:

1. Authorization (goedkeuring)
2. Authentification (gegevenscontrole)
3. Access (toegang)
4. Manage (beheer)
5. Audit (controle)

Autorization

In deze fase wordt een buitenstaander, zoals een nieuwe klant, leverancier of werknemer, in het systeem opgenomen als lid. Om de toegang van het nieuwe lid correct in te stellen, moeten allereerst de beleidsrichtlijnen duidelijk zijn. Er moet voor alle gebruikersprofielen goed op papier staan welke functionaliteiten en inhoud van de softwareOnder software verstaan we alle programma’s en applicaties die ervoor zorgen dat een informatiesysteem naar behoren werkt. Dit zijn niet-materiële componenten, in tegenstelling tot hardware. Software kan je dus niet aanraken, maar is wel nodig om een informatiesysteem taken te laten uitvoeren. Deze programma’s zorgen er onder andere voor dat een computer gebruikt kan worden voor tekstverwerking, om te surfen op het internet of om video’s te bewerken. zichtbaar en bewerkbaar zullen zijn, of op welke fysieke afdelingen op de site het lid mag komen. Ook is het belangrijk te bepalen of de leden zelf de toegang mogen verlenen aan derden. Voor authorization worden vooral de volgende vier beleidsvormen wereldwijd toegepast:

• Mandatory Access Control (MAC): gebaseerd op verplichte richtlijnen die door een centrale autoriteit binnen het bedrijf vastgelegd zijn. In de MAC wordt het beveiligingsniveau van alle fysieke locaties en systemen bepaald. Een plaats, systeem of document krijgt hierbij een classificatie (top secret, confidentieel, open in te kijken etc.) en een categorie (bijvoorbeeld het departement of project waartoe de locatie hoort). Alleen werknemers die voldoen aan de voorwaarde opgelegd door classificatie en categorie, krijgen toegang. Zo moet een gebruiker bijvoorbeeld bevoegd zijn om zowel confidentiële documenten, als die van afdeling X in te kijken, om een document dat deze classificatie en categorie heeft meegekregen te raadplegen. Dit is de meest veilige manier van toegangscontrole, maar ook de meest arbeidsintensieve. Het instellen van al deze parameters vergt namelijk veel planningswerk.
• Discretionary Access Control (DAC): gebaseerd op de identiteit van de persoon die toegang aanvraagt en op het toegangsniveau dat aan deze persoon is toegekend. De meeste besturingssystemen (operating systems) werken volgens het DAC-model. DAC maakt gebruik van Access Control Lists (ACL). Dit soort lijsten geeft voor elke locatie, systeem of document aan welke werknemer of groep er precies toegang toe krijgt en welke handeling of acties deze persoon of groep vervolgens mag uitvoeren. De toegangsrechten worden in dit systeem niet rechtstreeks bepaald door de centrale autoriteit, maar wel door de beheerders van het systeem, de locatie of het document waartoe toegang gewenst is. Dit systeem is meer flexibel en meer werkbaar dan MAC, maar ook iets gevoeliger voor fouten of misbruik. Een medewerker die tot dezelfde groep behoort kan namelijk vaak documenten inzien die toch uitsluitend voor collega’s bedoeld zijn. Denk hierbij bijvoorbeeld aan de situatie waarin een account manager de financiële gegevensDe financiële administratie, ook wel boekhouding genoemd, is voor de meeste mensen niet meteen het meest spannende deel van bedrijfsbeheer. Facturatie en jaarrekeningen lijken soms maar bijzaak voor werknemers. Toch is een financieel systeem het hart van efficiënte bedrijfsvoering. Voor de debiteuren- en crediteurenadministratie is het bijvoorbeeld belangrijk uitgaande facturen correct op te stellen, en binnenkomende facturen binnen de afgesproken termijn te betalen. van een klant van een collega kan zien.
• Role Based Access Control (RBAC) of Non Discretionary Access Control: gebaseerd op de rol van het nieuwe lid en de rechten die aan deze rol zijn toegekend. Eerst worden rollen vastgelegd, en worden aan elke rol bepaalde toegangsrechten toegekend. Een nieuw lid krijgt vervolgens één van de vastgelegde rollen toegekend. Deze vorm is eenvoudig te gebruiken en te beheren, want de verschillende rollen en bijbehorende rechten hoeven maar één keer ingesteld te worden. Wanneer er echter nieuwe systemen bijkomen, moeten wel alle rollen worden herzien.
• Rule Based Control (RBAC): gebaseerd op normen die de administrateur van het systeem heeft vastgelegd. Net als bij DAC worden er lijsten opgemaakt van wie er toegang heeft. In dit geval gaat het echter niet puur om de identiteit van de persoon die toegang vraagt, maar worden de lijsten opgemaakt op basis van bepaalde regels. Zo krijgen collega’s Jan en Lisa bijvoorbeeld beiden toegang tot een bepaald document, maar steeds afwisselend in de ochtend of de middag.

Authentification

In deze fase wordt er een verdere controle doorgevoerd van wie toegang vraagt. Leden moeten voor de gegevenscontrole een vorm van accreditatie voorleggen. Deze accreditatie hebben ze gekregen toen ze officieel als lid werden aanvaard. Accreditatie bestaat uit verschillende vormen. De meest voorkomende zijn:

1. Identificatie door middel van een token, digitale handtekeningDe term digitale handtekening wordt gebruikt om te refereren aan een elektronische vorm van handtekenen. Dit kan gaan om een gewone elektronische handtekening, of een gekwalificeerde elektronische handtekening. Soms wordt alleen deze tweede vorm echt als digitaal tekenen gedefinieerd. of beveiligingsapparaat (zoals een key card of druppel)
2. Gebruik van een wachtwoord
3. Identificatie door middel van biometrische gegevens (lezen van vingerafdruk, stemherkenning, irisscan, gezichtsherkenning etc.)

Access

Als de gegevenscontrole (authentification) een positief resultaat oplevert, is de gebruiker gevalideerd. Nu kan er worden overgegaan naar de echte toegang tot specifieke delen van het systeem of de locatie. Hierbij worden deze specifieke (fysieke of digitale) locaties ontgrendeld (unlocked). Een installatie kan bijvoorbeeld betreden worden door het indrukken van een knop, maar het kan ook zijn dat een lid voor de toegang opnieuw zijn toegangspasje nodig heeft. Het indrukken van de knop of tonen van het pasje is dus een trigger om de locatie te ontgrendelen.

Manage

Deze fase heeft betrekking op het continue beheer van het toegangssysteem. De beheerder moet waarschijnlijk voortdurend nieuwe toegangspunten opzetten, nieuwe gebruikers toevoegen (deel van onboardingOnboarding of de integratie van nieuwe werknemers is meer dan het welkom heten van nieuwe werknemers. Het gaat ook verder dan het regelen van praktische zaken, zoals toegang tot bedrijfssoftware of het bestellen van een werkuniform. Bij onboarding wordt de medewerker namelijk helemaal wegwijs gemaakt in de nieuwe werkomgeving en in zijn of haar rol binnen het bedrijf. Het idee is dat de nieuwe collega zich echt thuis gaat voelen en zich betrokken voelt bij de activiteiten van het bedrijf. en ex-leden uit het systeem verwijderen (onder andere bij offboardingOffboarding is de verzamelnaam voor alle processen die te maken hebben met het vertrek van een werknemer. Bijvoorbeeld de administratieve afhandeling van ontslag, of het in gang zetten van pensioenregelingen. Offboarding is echter meer dan het afhandelen van praktische zaken. Er worden ook maatregelen getroffen waarmee de samenwerking kan worden stopgezet zonder negatieve gevoelens of consequenties. Oud-werknemers en werkgevers kunnen namelijk ook na de uittreding uit de organisatie nog van waarde voor elkaar zijn.. Ook de beveiliging van het systeemIT-security is het geheel van beveiligingsmaatregelen om ervoor te zorgen dat bedrijfsinformatie beschermd wordt. Hiervoor worden verschillende soorten technologie gebruikt. Het kan gaan over de beveiliging van digitale data, maar ook van data op fysieke dragers (die met technologische middelen beschermd worden).  moet steeds geëvalueerd worden en eventuele problemen moeten voorkomen of opgelost worden.

Audit

In deze fase wordt een register gemaakt van wie toegang heeft gekregen tot het systeem, het document of de locatie gedurende X tijd. Dit register dient als extra controlemiddel om ervoor te zorgen dat de toegangscontrole correct is ingesteld en werkt. Ook de wijzigingen die leden aanbrengen na toegang worden opgeslagen. Zo kunnen (ongeoorloofde) wijzigingen gecontroleerd of ongedaan gemaakt worden. Daarnaast kunnen beveiligingsagenten van dit register gebruik maken bij een eventueel onderzoek naar ongewoon gedrag voor wat betreft de toegang tot fysieke locaties of systemen.

Naast interne controle zijn bepaalde bedrijven ook verplicht om een register van de toegangscontrole bij te houden. Bepaalde bedrijven die persoonsgegevens verwerken bijvoorbeeld, zijn onder de Algemene Verordening Gegevensbescherming (AVG)De General Data Protection Regulation (GDPR), of Algemene Verordening Gegevensbescherming (AVG) is een uniforme Europese wet die de bescherming van persoonsgegevens verzekert. Ze overschreef op 25 mei 2018 de nationale privacywetten, zoals de Nederlandse Wet bescherming persoonsgegevens (Wbp). verplicht om een verwerkingsregister bij te houden. Ook voor bedrijven die bepaalde ISO-normenDe ISO-normen zijn internationale standaarden voor de optimalisatie van bedrijfsprocessen, opgesteld door de International Organization for Standardization. De leden van de ISO zijn afgevaardigden van nationale normalisatie-instituten zoals de Hoofdcommissie voor de Normalisatie van Nederland (NEN), en het Bureau voor Normalisatie in België (NBN). Deze afgevaardigden stellen de ISO-normen in consensus op. Deze overeenstemming wordt opgetekend in een Engelstalig document en te koop aangeboden door de ISO. Nationale organisaties bieden ook vertalingen aan. ISO-normen zijn geen wetten die een bedrijf verplicht moet volgen, maar ISO kan wel een houvast zijn voor het verbeteren van bijvoorbeeld kwaliteitsmanagement (ISO 9001), informatieveiligheidsmanagement (ISO 27001) en milieumanagement (ISO 14001). Er is bovendien ook de mogelijkheid om je te laten certificeren voor één of meerdere ISO-richtlijnen. Deze certificering is een soort keurmerk dat kan helpen bij het overtuigen van potentiële klanten om een bepaald product of dienst aan te schaffen. Zo kan een bedrijf zijn positie op de markt versterken. willen of moeten naleven, is zo’n register een absolute noodzaak. Naast het register zijn er echter nog andere voorwaarden. In de DMS WijzerDe DMS Wijzer is een essentiële leidraad voor projectleiders die zich oriënteren op de aanschaf van een (nieuw) softwarepakket voor documentbeheer. U vindt er onder andere: prijzen, verschillende leveranciers, functionaliteiten, een pakkettenvergelijk, en tips omtrent wetgeving. vinden oriënterende projectleiders daarom tips om het systeem in te richten helemaal voor compliance met de AVG en ISO-richtlijnen.