Het is je waarschijnlijk geen verrassing dat het nauwgezet toekennen van rechten en rollen met betrekking tot het gebruik van software en toegang data van essentieel belang is in elke organisatie. Niet alleen moet de organisatie precies moet weten wie welke rechten heeft in de organisatie. Maar ook de medewerkers zelf dienen op de hoogte te zijn van hun grenzen.
Maar hoe goed (en wie) heeft deze opdracht geheel onder controle in de praktijk? Om daarachter te komen, hebben we dit onderzocht via de 1-minute poll.
De resultaten ontdek je hieronder:
- 25,9% benoemde de algemeen directeur als verantwoordelijke voor deze opdracht.
- 11,1% wees de IT-verantwoordelijke aan.
- 3,7% gaf aan dat de verantwoordelijke voor interne zaken dit bepaalt.
- 59,3% van de respondenten gaf aan dat 'iemand anders' (naast IT-verantwoordelijke of algemeen directeur of verantwoordelijke interne zaken) deze beslissing neemt, zoals een DPO, campusdirecteur, personeel-verantwoordelijke, diensthoofd, HR-afdeling, clusterverantwoordelijke, etc. De rolverdeling varieert en blijkt afhankelijk te zijn van type toepassing en functie.
Diensthoofden bepalen normaliter welke toepassingen medewerkers moeten gebruiken en afhankelijk van de toepassing kan het zijn dat een ander team dit bepaald. Voorbeeld: de financieel directeur is verantwoordelijk voor boekhoudkundige toepassingen, het secretariaat voor notulen en IT voor SharePoint. Deze duidelijke rolverdeling zorgt ervoor dat beslissingen worden genomen door de persoon die het beste inzicht heeft in de situatie. Bij privacygevoelige gegevens ligt de uiteindelijke beslissing vaak bij het diensthoofd, de DPO of algemeen directeur. De IT-afdeling zorgt voor de implementatie wanneer de diensthoofd over de benodigde toegangen (niet-betalende licenties) heeft beslist. Wanneer het over betalende licenties gaat, dan beslist de directeur dit.
Andere mogelijke aanspreekorganen zijn het team gebruikersbeheer en informatiebeheer archief. Dit team zorgt gezamenlijk mee voor een vlot en correct proces.
In een andere situatie gaf een gemeente aan dat er bij hun een cascade-systeem geldt waarbij medewerkers een aanvraag doen via een app, die vervolgens door hun teamleader wordt gevalideerd en uiteindelijk goedgekeurd wordt door de bevoegde directeur. De applicatieverantwoordelijke ontvangt vervolgens een melding om de rechten toe te kennen. Alles wordt in dit systeem ook gelogd, wat zorgt voor gedeelde verantwoordelijkheid.
- 25,9% zei dat elke medewerker een eigen reeks krijgt.
- 40,7% van de respondenten meldde dat iedere werknemer aan een voorgedefinieerde groep wordt toegevoegd.
- 33,3% gaf 'een andere manier' van aanpak aan. Hieruit bleek dat, naast de voorgedefinieerde groepen, soms extra individuele rechten worden toegekend. Dit kan gebeuren tijdens de onboarding, waarbij het diensthoofd een document invult dat alle benodigde werkmiddelen, inclusief softwaretoegang, opsomt. In sommige gevallen worden vaste pakketten per functie toegewezen via een Software Access Management-tool.
Verder vroegen we ook naar situaties waarin er 'te weinig' of 'geen' vaste afspraken zijn over dit proces. De antwoorden waren zeer divers: er wordt nog te vaak ad hoc toekenningen gedaan, er zijn in flink wat gevallen veel te weinig concrete afspraken en er worden geregeld uitzonderingen gemaakt, bijv. bij een te grote groep die toegang krijgt tot Microsoft-tools. Daarnaast melden een aantel lokale besturen: dat ze 'een softwaretool' missen om dit nauwkeurig per persoon bij te kunnen houden.
Conclusie
Uit de resultaten van deze 1-minute poll kunnen we afleiden dat de procedure rond het toekennen van rechten en rollen binnen de organisatie:
1/ vaak nog onduidelijk is wat leidt tot inefficiëntie en onveilige situaties waar men geen grip op heeft.
2/ Veel medewerkers krijgen hun rechten ad-hoc toegewezen, terwijl men in de 'ideale wereld' best streeft naar een zwart-wit gestandaardiseerd systeem.
Een goed beheer van rechten en rollen is cruciaal voor de veiligheid en efficiëntie binnen onze organisatie. Door duidelijke verantwoordelijkheden te definiëren, gestandaardiseerde processen in te voeren en medewerkers op te leiden, creëren we een omgeving waarin iedereen zijn of haar rechten kent.
Hieronder geven we enkele tips mee voor een sterkere werking:
- Duidelijke rolverdeling
Zorg ervoor dat duidelijk is wie binnen de organisatie verantwoordelijk is voor het toekennen van rechten en rollen. - Zorg voor een gestandaardiseerd proces
Ontwikkel een systeem waarbij medewerkers rechten krijgen op basis van functie met ruimte voor maatwerk waar nodig. Het gebruik van softwaretools kan hierbij ondersteunen. - Voer regelmatig evaluaties
Controleer regelmatig of medewerkers nog de juiste rechten hebben om veiligheidsrisico's te minimaliseren. - Opleiding en informatie
Bied de mogelijkheid van een opleiding of training aan zodat iedereen binnen de organisatie het belang en de werking van effectief toegangsbeheer begrijpt.