Aanpak Access Governance op documentniveau met IRMAccess Governance betekent: het op orde hebben en houden van de toegang tot informatie. Access Governance is een belangrijke pijler waar de business op draait. De toegangsrechten en gebruikersrechten binnen de ICT omgeving moeten de bedrijfsprocessen optimaal ondersteunen. Daarnaast dient men te voorkomen dat er misbruik van bevoegdheden plaatsvindt of dat er niet wordt voldaan aan relevante wet- en regelgeving, zoals Sarbanes-Oxley.

Inleiding Access GovernanceDe Sarbanes-Oxley Act van 2002 vereist dat iedere organisatie, die een beursnotering heeft in de Verenigde Staten, aantoonbaar inzicht heeft en “in control” is over welke medewerkers toegang hebben tot welke informatiesystemen. Daarnaast moeten deze organisaties zekerstellen dat de toegangsrechten van hun medewerkers ook regelmatig worden gecontroleerd en indien nodig aangepast.

Andere relevante wet- en regelgeving met vergelijkbare eisen zijn: BASEL III, Solvency II, ISO27001, PCI-DSS en NEN7510.

Veel organisaties investeren in Access Governance projecten om hiermee de toegang tot IT-Systemen en de autorisaties binnen deze systemen te beheersen. Access Governance oplossingen hebben grote toegevoegde waarde in het verkleinen van de administratieve belasting. Enerzijds om te kunnen voldoen aan de genoemde richtlijnen uit de wet- en regelgeving. Anderzijds om risico’s te beheersen om fraude te voorkomen, intellectueel eigendom te beschermen en imagoschade te voorkomen.

Access Governance geeft invulling aan het volgende certificeringsproces:

Inzichtelijk maken wie welke toegangs- en gebruikersrechten heeft en of hiermee wordt voldaan aan het geldende autorisatiebeleid;

Helder inzicht geven in afwijkingen, overtredingen en bijbehorende risico’s; Voorleggen toegangs- en gebruikersrechten ter beoordeling aan de relevante verantwoordelijken in de

organisatie; In gang zetten van wijzigingen in toegangs- en gebruikersrechten, zodat dit in overeenstemming is met

het vigerende toegangsbeleid; Inzichtelijk maken, beheersen en controleren van gebruikersrollen met veel toegangsrechten, zoals IT-

beheerders, technisch specialisten en database- en applicatiebeheerders; Periodiek ter beoordeling voorleggen van de toekenning en samenstelling van toegangs- en

gebruikersrechten aan managers en business owners.

Rollen, rechten en toegangsniveaus worden ingericht en beheerd in applicaties, IT-systemen, databases, document management systemen, maar ook op fileservers en mailservers. Dus met Access Governance is men ook in staat om inzichtelijk te maken wie toegang heeft tot welke folder op een fileserver, wie toegang heeft tot welke mailbox en wie toegang heeft tot welke bibliotheek op een Document Management Systeem, enzovoort.

Hoe zit dit nu met ongestructureerde informatie, zoals documenten en e-mails? In de praktijk is gebleken dat de meeste gevoelige informatie van organisaties is opgenomen in deze ongestructureerde informatie.

De vraag is nu: heeft men nu ook inzicht in wie toegang heeft tot deze ongestructureerde informatie? Het antwoord hierop is nee!

Met Access Governance geen grip op ongestructureerde informatieDocumenten, zoals Word, Excel, Powerpoint, PDF, maar ook E-mail hebben de eigenschap dat ze niet statisch op een fileserver, mailserver of welk ander systeem dan ook blijven. Een document en kopieën daarvan, bevindt zich doorgaans op veel plekken in de organisatie. Een document wordt aangemaakt op de laptop van een medewerker en wordt hier ook opgeslagen. Vervolgens plaatst de medewerker het document op de fileserver. Een andere medewerker stuurt dit betreffende document via de e-mail naar collega’s , waarvan er één het document vervolgens via de e-mail op zijn tablet ontvangt. Met andere woorden van één enkel document kunnen er tientallen kopieën rondzwerven op allerlei systemen, mailomgevingen en devices binnen en buiten de organisatie. De meeste organisaties bevestigen dat men totaal geen inzicht heeft waar deze documenten zich bevinden. Laat staan of men “in control” is over wie er toegang heeft tot de documenten en wat men met deze documenten mag. Aangezien documenten een hoger risicoprofiel (privacy, intellectueel eigendom, financiële/ concurrentiegevoelige gegevens of contracten) kunnen hebben dan de informatiesystemen zelf, kan dit grote risico’s voor organisaties met zich meebrengen.

Access Governance met IRMDe oplossing hiervoor is om de toegangs- en gebruikersrechten aan individuele documenten toe te kennen, ongeacht op welke plaats het document is opgeslagen of hoe het document is verstuurd. Gebruikersrechten moeten geldig zijn per document en alle in omloop zijnde kopieën van dit document. Dit realiseert men door Information Rights Management (IRM) door te voeren in de organisatie. Met IRM heeft een organisatie de controle over WIE toegang heeft tot de informatie, WAT men met deze informatie mag doen, WANNEER en WAAR vandaan men toegang heeft tot de informatie. De implementatie van IRM omvat de volgende drie stappen:

Policy definitie: De organisatie stelt vast wie toegang heeft tot welke informatie. Welke gebruikersrechten deze persoon heeft (lezen, edit, print, doorsturen). Wanneer en vanaf welke plaats men toegang heeft;

Policy implementatie: De organisatie implementeert de bovenstaande definities op haar gevoelige informatie;

Policy audit: De organisatie heeft exact inzicht wie toegang heeft gehad tot welk vertrouwelijk document, op welk tijdstip en vanaf welke plaats. Daarnaast weet men precies wat men met de specifieke informatie heeft gedaan.

Zijn de gebruikersrechten eenmaal geïmplementeerd, dan zijn deze geldig voor het betreffende document en alle in omloop zijnde kopieën van dit document. In het geval dat een medewerker uit dienst gaat of een andere rol krijgt in de organisatie, dan kan men met één druk op de knop ervoor zorgen dat de medewerker geen toegang meer heeft tot het betreffende document en al haar kopieën.

Wat voegt IRM nu toe aan Access Governance?

Access Governance geeft inzicht in de toegang tot en autorisaties binnen applicaties, IT systemen, DMS, fileservers en databases. Met IRM krijgt de organisatie ook grip op de toegang en gebruikersrechten op ongestructureerde informatie als documenten, e-mails, tekeningen en foto’s. Door vanuit Access Governance ook inzicht te hebben in de gebruikersrechten op documenten (via IRM), wordt het totaaloverzicht van wie toegang heeft tot welke informatie veel completer dan voorheen.

Stappenplan voor Access Governance op documenten met behulp van IRMIn het volgende stappenplan wordt een gedegen aanpak beschreven om ervoor te zorgen dat een organisatie grip krijgt op de beveiliging van haar ongestructureerde informatie:

1. Vaststellen scope: Voor het inrichten van access governance is het noodzakelijk om de scope vast te stellen. Er moet worden geïnventariseerd binnen welke processen en afdelingen documenten worden verwerkt, die een hoog betrouwbaarheidsniveau kennen. Dit wil zeggen waarbij het van groot belang is dat de vertrouwelijkheid en/ of integriteit van een document gewaarborgd is;

2. Vaststellen betrouwbaarheidsniveau: Met behulp van een Business Impact Analyse (BIA) kan men vaststellen wat de gevolgen zijn als gevoelige documenten in verkeerde handen terecht komen of dat de informatie in deze documenten onjuist of onvolledig is;

3. Vaststellen classificatie: Op basis van de hiervoor genoemde betrouwbaarheidsniveau kan de classificatie aan het document worden gekoppeld;

4. Vaststellen gebruikersrechten: Nadat gevoelige documenten zijn geclassificeerd, moet worden vastgesteld welke gebruikers toegang nodig hebben tot deze documenten en vooral welke gebruikersrechten men precies nodig heeft volgens de ‘least privilege’- en ‘need to know’-principes. Speciale aandacht verdienen de accounts van de beheerders. Beheerders hebben doorgaans veel meer rechten dan eindgebruikers en hebben daarom ook toegang tot alle fileservers, DMS en mailsystemen, waar de documenten zijn opgeslagen. Beheerders hebben geen toegang nodig tot deze documenten voor de uitvoering van hun beheerwerkzaamheden. Gebruikersrechten instellen op documentniveau en monitoring zijn hier belangrijke maatregelen;

5. Formalisatie gebruikersrechten: De gewenste gebruikersrechten op de geclassificeerde documenten moeten in overzichten worden ondergebracht en worden vastgesteld (ondertekend) door de verantwoordelijke managers. Dit is in Access Governance termen de zogenaamde Soll situatie, de gewenste situatie;

6. Inventarisatie IST situatie: Het in kaart brengen van de huidige situatie, waar de geclassificeerde documenten zich bevinden en wie toegang heeft tot de documenten. De inventarisatie kan eventueel worden uitgevoerd middels gespecialiseerde discovery tools of de discovery modus van Data Leak Prevention tools.

7. Implementatie gebruikersrechten: In de voorgaande fases zijn de geclassificeerde documenten in kaart gebracht en is zowel de IST als de SOLL situatie geïnventariseerd en vastgesteld. Op basis hiervan kan op geleidelijke schaal de gebruikersrechten in de vorm van IRM policies gekoppeld worden aan de geclassificeerde documenten.

Zoals in de eerste stap is aangegeven, is de scope van het project van belang. De meeste documenten in een organisatie hebben geen of slechts een beperkt vertrouwelijk karakter. Of de integriteit van een document is van minder urgent belang. Het vaststellen van de scope is dus belangrijk om de hoeveelheid werk onder controle te houden.

Op de volgende pagina is een voorbeeld opgenomen van een classificatieschema met voorbeelden en op welk classificatieniveau Information Rights Management moet worden toegepast. Is Access Governance op documentniveau goed geregeld, dan heeft de organisatie hier profijt van. Documenten kunnen dan op iedere willekeurige wijze worden gedeeld met anderen en kunnen worden ingezien op ieder willekeurig device vanaf ieder willekeurige plaats. Dit geeft maximale flexibiliteit, waardoor organisaties kunnen blijven meebewegen met de veranderende omstandigheden en, waar nodig, informatie kunnen delen. Tegelijkertijd moet worden voorkomen dat er misbruik van bevoegdheden plaatsvindt of dat er niet wordt voldaan aan relevante wet- en regelgeving. Dit kan worden geregeld met Information Rights Management.

Voorbeeld classificatieschema met IRM maatregelen

Vertrouwelijkheid

Inte

grite

it

Zeer laagPublieke informatie

LaagInterne informatie

MiddenVertrouwelijk informatie

HoogStrikt vertrouwelijke informatie

Zeer HoogSleutelmateriaal

Voorbeelden: Publiek toegankelijke, openbare informatie.

Algemene klantgegevens (NAW), interne handboeken, richtlijnen, notities, procedures en notulen

Vertrouwelijke klantgegevens (WBP risicoklasse II), algemene managementinformatie, auditrapportages, informatie over personeel, salarissen, arbeidscontracten

Zeer vertrouwelijke klant-personeelsgegevens (medisch, geaardheid, etc, WBP risicoklasse III), gevoelige informatie over bedrijven, Strategische management informatie, veiligheidsonderzoeken, gegevens mbt gevoelige vergunningen

Sleutelmateriaal voor encryptie van gegevens en authenticatiemiddelen (encryptiesleutels, wachtwoorden, certificaten, etc)

Staatsgeheimen

Zeer laagOnjuiste of onvolledige informatie leiden niet direct tot schade

Publiek toegankelijke, openbare informatie

IRM gebruikersrechten

IRM gebruikersrechten

Two factor authentication

LaagOnjuiste of onvolledige informatie kunnen leiden tot beperkte schadeclaims (<€5000) of imagoschade intern

Interne informatie IRM gebruikersrechten

IRM gebruikersrechten

Two factor authentication

MiddenOnjuiste of onvolledige informatie kan leiden tot schadeclaims (< €50.000) of imagoschade binnen regio

Klantgegevens, vergunningen, aanbestedingen, contractinformatie

IRM gebruikersrechten:

IRM gebruikersrechten

IRM gebruikersrechten

Two factor authentication

HoogOnjuiste of onvolledige informatie kan leiden tot hoge schadeclaims (< €500.000) of tot negatieve publiciteit op landelijk niveau

Gevoelige vergunningen, veiligheidsonderzoekenMedisch dossier

IRM gebruikersrechten

IRM gebruikersrechten

IRM gebruikersrechten

IRM gebruikersrechten

Two factor authentication

IRM gebruikersrechten

PKI authentication

Audit trail

Zeer hoogOnjuiste of onvolledige informatie kan leiden tot zeer hoge schadeclaims (>€500.000) en tot maatschappelijke verontwaardiging. Negatieve publiciteit Internationaal

Gevoelige vergunningen, veiligheidsonderzoekenStrafrechtelijke informatie

IRM gebruikersrechten

Two factor authentication

IRM gebruikersrechten

Two factor authentication

IRM gebruikersrechten

Two factor authentication

IRM gebruikersrechten

PKI authentication

Audit trail

IRM gebruikersrechten

PKI authentication

Icm Biometrie

Audit trail en realtime detectie