Wat betekent toegangscontrole in het ICT-landschap?
Toegangscontrole, of Access Control in het Engels, is een veiligheidsmaatregel die verzekert dat alleen de bevoegde personen of apparaten toegang krijgen tot bepaalde systemen of fysieke locaties. Deze controle is een onderdeel van Identity and Access Management . Meestal wordt er gebruik gemaakt van een toegangspasje, gebruikersnaam en wachtwoord, een vingerafdruk, gezichtsherkenning of een irisscan.
Er bestaan twee soorten toegangscontrole:
- Fysieke toegangscontrole: regelt de toegang tot fysieke plaatsen, zoals bepaalde afdelingen of sites van een bedrijf of werkterrein.
- Toegangscontrole voor software: regelt de toegang tot bepaalde systemen, informatieportalen, netwerken, digitale archieven en databases .
Toegangscontrole voor documentbeheer
De toegang tot bedrijfsdocumenten wordt idealiter erg streng bewaakt, gezien de inhoud erg gevoelig kan zijn. Denk maar aan klantgegevens of documenten die delen van de bedrijfsstrategie prijsgeven. Het is daarom belangrijk dat alleen de bevoegde personen in het DMS-pakket kunnen werken, en dat er per document de juiste inkijk- en bewerkrechten worden ingesteld (ook wel lees- en schrijfrechten genoemd). Een ingenieur moet bijvoorbeeld wel de AutoCAD-tekeningen kunnen bewerken, maar niet de facturen – en voor de boekhouder geldt dit vice versa. Ook voor het printen, downloaden of uploaden van documenten kunnen dit soort rechten worden ingesteld.
Let op! Toegangsbeveiliging is niet de enige manier om de veiligheid van data in een DMS te waarborgen. In de DMS Wijzer staat een checklijst voor de compliance van documentbeheer met bepaalde wetten of sectorspecifieke richtlijnen.
Op documentniveau worden toegangsregels meestal opgesteld op basis van metadata . Deze data geven het document namelijk context en extra informatie mee, waaronder wie het recht heeft het document in te kijken en/of te bewerken. Ook als deze rechten zelf nog niet zijn vastgesteld, helpen de andere metadata deze te bepalen. Op basis van bijvoorbeeld de datum, de afdeling waar het document gecreëerd is, of de auteur kan er dan ingesteld worden wie allemaal toegang mag of moet hebben tot het document. In onderstaande afbeelding staat een voorbeeld van twee afdelingen met de documenten waartoe ze toegang zouden kunnen krijgen.
Toegangscontrole voor Human Resource Management
In de HRM-wereld wordt toegangscontrole het meeste gebruikt bij het portaal voor Employee Self Service (ESS) en Manager Self Service (MSS) . Door het gebruik van toegangscontrole kan een werknemer alleen zijn of haar eigen gegevens inzien en aanpassen. Bovendien krijgt de werknemer de mogelijkheid om bijvoorbeeld verlofaanvragen te doen, maar niet om die ook meteen goed te keuren. Dit recht heeft alleen zijn of haar manager dan weer. In de HRM Wijzer staan tips en checklijsten om de ESS- en MSS-modules optimaal in te richten.
Ook binnen de HR-afdeling zelf kunnen er toegangsrechten ingesteld worden in het systeem. Zo heeft een medewerker recrutering volledige toegang nodig tot de curriculums van sollicitanten (eventueel uit de ATS-module ), maar is er geen reden om deze zelfde medewerker de salarisadministratie te laten inzien. Een ander voorbeeld vinden we bij managers die alle evaluaties van hun team moeten kunnen bewerken, terwijl de teamleden zelf alleen hun eigen evaluatie mogen inkijken (niet die van hun teamgenoten).
Bij personeelsbeheer komt er naast toegang tot systemen ook vaak een fysieke toegangscontrole kijken. Hiervoor wordt bepaalde hardware ingezet. De toegang tot fysieke bedrijfslocaties wordt meestal geregeld door middel van een toegangspoortje met een scanner. Bij het binnenkomen wordt dan een persoonlijke toegangskaart gescand en het poortje gaat wel of niet open naargelang de rechten van de werknemer. In sommige gevallen kan er ook een code gebruikt worden, of worden werknemers rechtstreeks herkend door camera’s of biometrische scanners. Met deze registratie wordt bovendien ook aan tijdregistratie gedaan. Het is dan namelijk meteen duidelijk hoe laat de werknemer aangekomen is op bedrijfslocatie X of Y.
Wist je dat? (Fysieke) toegangscontrole is niet slechts een controlemiddel, maar dient ook om de veiligheid van werknemers te garanderen. Als er bijvoorbeeld geëvacueerd moet worden, is het belangrijk te weten welke medewerkers aanwezig zijn op het bedrijfsterrein, en op welke afdeling ze zich precies bevinden.
Toegangscontrole in andere software
Systemen voor documentbeheer en HRM zijn niet de enige softwareproducten die gebruik maken van toegangscontrole. Ook in een ERP-systeem of CRM-pakket speelt deze functionaliteit een belangrijke rol. Zo wordt er bijvoorbeeld gegarandeerd dat niet zomaar elke werknemer betalingen kan uitvoeren, producteigenschappen of recepturen kan aanpassen, of klanten kan verwijderen uit het systeem.
Uit welke fases bestaat toegangscontrole?
Toegangscontrole bestaat uit een reeks vrij complexe beveiligingsmaatregelen. De systemen van tegenwoordig onderscheiden maar liefst vijf fases:
- Authorization (goedkeuring)
- Authentification (gegevenscontrole)
- Access (toegang)
- Manage (beheer)
- Audit (controle)
Autorization
In deze fase wordt een buitenstaander, zoals een nieuwe klant, leverancier of werknemer, in het systeem opgenomen als lid. Om de toegang van het nieuwe lid correct in te stellen, moeten allereerst de beleidsrichtlijnen duidelijk zijn. Er moet voor alle gebruikersprofielen goed op papier staan welke functionaliteiten en inhoud van de software zichtbaar en bewerkbaar zullen zijn, of op welke fysieke afdelingen op de site het lid mag komen. Ook is het belangrijk te bepalen of de leden zelf de toegang mogen verlenen aan derden. Voor authorization worden vooral de volgende vier beleidsvormen wereldwijd toegepast:
- Mandatory Access Control (MAC): gebaseerd op verplichte richtlijnen die door een centrale autoriteit binnen het bedrijf vastgelegd zijn. In de MAC wordt het beveiligingsniveau van alle fysieke locaties en systemen bepaald. Een plaats, systeem of document krijgt hierbij een classificatie (top secret, confidentieel, open in te kijken etc.) en een categorie (bijvoorbeeld het departement of project waartoe de locatie hoort). Alleen werknemers die voldoen aan de voorwaarde opgelegd door classificatie en categorie, krijgen toegang. Zo moet een gebruiker bijvoorbeeld bevoegd zijn om zowel confidentiële documenten, als die van afdeling X in te kijken, om een document dat deze classificatie en categorie heeft meegekregen te raadplegen. Dit is de meest veilige manier van toegangscontrole, maar ook de meest arbeidsintensieve. Het instellen van al deze parameters vergt namelijk veel planningswerk.
- Discretionary Access Control (DAC): gebaseerd op de identiteit van de persoon die toegang aanvraagt en op het toegangsniveau dat aan deze persoon is toegekend. De meeste besturingssystemen (operating systems) werken volgens het DAC-model. DAC maakt gebruik van Access Control Lists (ACL). Dit soort lijsten geeft voor elke locatie, systeem of document aan welke werknemer of groep er precies toegang toe krijgt en welke handeling of acties deze persoon of groep vervolgens mag uitvoeren. De toegangsrechten worden in dit systeem niet rechtstreeks bepaald door de centrale autoriteit, maar wel door de beheerders van het systeem, de locatie of het document waartoe toegang gewenst is. Dit systeem is meer flexibel en meer werkbaar dan MAC, maar ook iets gevoeliger voor fouten of misbruik. Een medewerker die tot dezelfde groep behoort kan namelijk vaak documenten inzien die toch uitsluitend voor collega’s bedoeld zijn. Denk hierbij bijvoorbeeld aan de situatie waarin een account manager de financiële gegevens van een klant van een collega kan zien.
- Role Based Access Control (RBAC) of Non Discretionary Access Control: gebaseerd op de rol van het nieuwe lid en de rechten die aan deze rol zijn toegekend. Eerst worden rollen vastgelegd, en worden aan elke rol bepaalde toegangsrechten toegekend. Een nieuw lid krijgt vervolgens één van de vastgelegde rollen toegekend. Deze vorm is eenvoudig te gebruiken en te beheren, want de verschillende rollen en bijbehorende rechten hoeven maar één keer ingesteld te worden. Wanneer er echter nieuwe systemen bijkomen, moeten wel alle rollen worden herzien.
- Rule Based Control (RBAC): gebaseerd op normen die de administrateur van het systeem heeft vastgelegd. Net als bij DAC worden er lijsten opgemaakt van wie er toegang heeft. In dit geval gaat het echter niet puur om de identiteit van de persoon die toegang vraagt, maar worden de lijsten opgemaakt op basis van bepaalde regels. Zo krijgen collega’s Jan en Lisa bijvoorbeeld beiden toegang tot een bepaald document, maar steeds afwisselend in de ochtend of de middag.
Authentification
In deze fase wordt er een verdere controle doorgevoerd van wie toegang vraagt. Leden moeten voor de gegevenscontrole een vorm van accreditatie voorleggen. Deze accreditatie hebben ze gekregen toen ze officieel als lid werden aanvaard. Accreditatie bestaat uit verschillende vormen. De meest voorkomende zijn:
- Identificatie door middel van een token, digitale handtekening of beveiligingsapparaat (zoals een key card of druppel)
- Gebruik van een wachtwoord
- Identificatie door middel van biometrische gegevens (lezen van vingerafdruk, stemherkenning, irisscan, gezichtsherkenning etc.)
Access
Als de gegevenscontrole (authentification) een positief resultaat oplevert, is de gebruiker gevalideerd. Nu kan er worden overgegaan naar de echte toegang tot specifieke delen van het systeem of de locatie. Hierbij worden deze specifieke (fysieke of digitale) locaties ontgrendeld (unlocked). Een installatie kan bijvoorbeeld betreden worden door het indrukken van een knop, maar het kan ook zijn dat een lid voor de toegang opnieuw zijn toegangspasje nodig heeft. Het indrukken van de knop of tonen van het pasje is dus een trigger om de locatie te ontgrendelen.
Manage
Deze fase heeft betrekking op het continue beheer van het toegangssysteem. De beheerder moet waarschijnlijk voortdurend nieuwe toegangspunten opzetten, nieuwe gebruikers toevoegen (deel van onboarding en ex-leden uit het systeem verwijderen (onder andere bij offboarding . Ook de beveiliging van het systeem moet steeds geëvalueerd worden en eventuele problemen moeten voorkomen of opgelost worden.
Audit
In deze fase wordt een register gemaakt van wie toegang heeft gekregen tot het systeem, het document of de locatie gedurende X tijd. Dit register dient als extra controlemiddel om ervoor te zorgen dat de toegangscontrole correct is ingesteld en werkt. Ook de wijzigingen die leden aanbrengen na toegang worden opgeslagen. Zo kunnen (ongeoorloofde) wijzigingen gecontroleerd of ongedaan gemaakt worden. Daarnaast kunnen beveiligingsagenten van dit register gebruik maken bij een eventueel onderzoek naar ongewoon gedrag voor wat betreft de toegang tot fysieke locaties of systemen.
Naast interne controle zijn bepaalde bedrijven ook verplicht om een register van de toegangscontrole bij te houden. Bepaalde bedrijven die persoonsgegevens verwerken bijvoorbeeld, zijn onder de Algemene Verordening Gegevensbescherming (AVG) verplicht om een verwerkingsregister bij te houden. Ook voor bedrijven die bepaalde ISO-normen willen of moeten naleven, is zo’n register een absolute noodzaak. Naast het register zijn er echter nog andere voorwaarden. In de DMS Wijzer vinden oriënterende projectleiders daarom tips om het systeem in te richten helemaal voor compliance met de AVG en ISO-richtlijnen.