4: Beperk toegang

Wees bewust wie je toegang geeft tot welke data en services

Inleiding

Om de kans op ongelukken en misbruik zo klein mogelijk te maken, is het belangrijk dat iedereen binnen en buiten de onderneming alleen toegang heeft tot de systemen die passen bij de werkzaamheden en de periode waarvoor toegang nodig is. Uitgebreide toegangsrechten moeten alleen worden gegeven voor wie dit nodig is.

Waarom dit basisprincipe?

Door toegangsrechten per medewerker te beperken en te bepalen, voorkom je dat mensen binnen en buiten je bedrijf toegang krijgen tot systemen en data die ze voor het uitvoeren van hun werk niet nodig hebben.

In een hotel wil je graag dat gasten zich vrij kunnen bewegen tussen de verschillende ruimten en voorzieningen in het hotel. Toch wil je niet dat ze met hun toegangspassen vrij in de keuken kunnen rondlopen of dat in kamers van andere gasten naar binnen kunnen. Voor leveranciers of hotelpersoneel gelden weer andere beperkingen.

Wat moet je doen?

  1. Definieer per medewerker tot welke systemen en data zij toegang zouden moeten hebben om hun werk te kunnen doen.
  2. Zorg er vervolgens voor dat een medewerker kan inloggen op de systemen en zich kan identificeren als die medewerker met bijbehorende toegangsrechten.
  3. Gebruik veilige en sterke wachtwoorden en realiseer inloggen door middel van tweestapsverificatie voor belangrijke systemen en data.
  4. Beperk de fysieke toegang van medewerkers tot ruimtes waar systemen draaien (zoals servers) of apparaten (zoals externe harde schijven en USB-sticks) en documenten zijn opgeslagen.

En verder

  • Zorg dat de toegangsrechten worden aangepast als iemand (van binnen en/of van buiten) een nieuwe functie krijgt of bij de onderneming vertrekt. In het geval van een plotseling (niet vrijwillig) vertrek van een systeembeheerder is dit extra belangrijk. Dit geldt ook indien er wordt gewerkt met bijvoorbeeld een nieuwe leverancier of boekhouder.