Autorisaties beheersbaar inrichten
Al zolang organisaties gebruikmaken van informatietechnologie speelt toegangsverlening (autorisaties) tot de informatie van een organisatie een belangrijke rol. Informatie is voor de meeste bedrijven immers een erg waardevol bezit. Het is dus van belang dat iemand over de juiste informatie kan beschikken en dat onbevoegden geen toegang hebben tot informatie die wordt gebruikt voor de besturing en uitvoering van de primaire processen.
Naast het op orde krijgen van autorisaties, is het van minstens even groot belang om deze autorisaties op orde te houden. Organisaties dienen te weten of de verstrekte autorisaties correct zijn en een goed up-to-date overzicht te hebben van de verstrekte autorisaties. Door middel van autorisatiebeheer kunnen autorisaties ingetrokken of (tijdelijk) toegekend worden.
Dit is van belang als u afscheid neemt van medewerkers, bij (zwangerschaps)verlof of bij functiewijzigingen. Door de autorisaties op orde te houden voorkomt u fraude en fouten en wordt overdracht naar een collega eenvoudiger. Het is dus van groot belang dat de autorisaties op een heldere en beheersbare manier zijn ingericht om zo fouten bij autorisatiebeheer te voorkomen. Maar wanneer zijn autorisaties helder en beheersbaar ingericht?
Aandachtspunten opzet autorisatiebeheer
Autorisatiebeheer maakt de controleerbaarheid van autorisaties en het uitvoeren van deze controles mogelijk en verdient daarom aandacht.
Voor de opzet van autorisatiebeheer zijn de volgende zaken van belang:
- Duidelijke werkinstructies. Hierin dienen alle werkzaamheden te zijn uitgewerkt die van toepassing zijn op het beheer van autorisaties.
- Heldere en consequente naamgeving van machtigingensets en gebruikersgroepen of organisatierollen. Kan iemand die geen verstand van autorisaties heeft begrijpen wat je met de inrichting beoogt te bereiken?
- De naamgeving dient begrijpelijk te zijn waardoor de kans op fouten beperkt blijft.
- Gebruik zoveel mogelijk de termen die in de interface terugkomen: dit geeft herkenning.
- Gebruik functienamen als naam voor gebruikersgroepen of organisatierollen.
- Geen vermenging of misbruik van inrichting om een ander doel te bereiken dan waar die voor bedoeld is.
- Voor het beheer van autorisaties dient een verantwoordelijke te worden aangewezen.
- Autorisatiebeheerprocedures dienen voor alle Dynamics bedrijven gelijk te zijn om verwarring te voorkomen.
- Neem autorisaties mee in het change management voor NAV: bij installatie van nieuwe objecten moeten autorisaties vaak ook aangepast worden.
- Test autorisatie-inrichting twee keer: zelf én laat dit door een (kern)gebruiker. Doel moet zijn om zoveel mogelijk fouten er vooraf uit te halen.
- Leg foutmeldingen vast in een ticketsysteem incl. screenshot van het volledige scherm, gebruiker en wat de gebruiker probeert te bereiken. Dit is lang niet altijd duidelijk.
- Log wijzigingen in de inrichting zoveel mogelijk in tickets. Vaak kan bij inrichting een opmerking gemaakt worden, verwijs daarin naar het relevante ticket.
- Documentatie over de opbouw van de autorisaties dient volledig en up-to-date te zijn.