Gebruikersbeheer. Tips & Tricks

Ieder (beveiligings)systeem met gebruikers heeft een administrator. Dat is degene die alles kan en mag. Wijzigingen maken, exporteren, alles bekijken, alles aanpassen. De administrator is de baas. Hij heeft daarmee veel macht en een grote verantwoordelijkheid. In principe kan er maar één iemand de baas zijn. Maar is dat ook altijd zo?

In de praktijk komen we regelmatig tegen dat dat niet zo is en dat meerdere personen in een organisatie gebruik maken van de administrator logingegevens of administrator-rechten hebben gekregen. Gewoon, omdat dat makkelijk is en men zich niet bewust is van de risico’s die dat met zich meebrengt. Overigens moet ik daar wel bij opmerken dat dit meestal speelt bij kleinere systemen en dus niet bij de grote complexe systemen. Daar is het over het algemeen wel goed geregeld.

Praktijkvoorbeeld: wie krijgt de schuld?

Bij een organisatie met een camerasysteem gebruiken meerdere personen dezelfde (administrator) login voor de recorder van het camerasysteem. Al deze personen hebben dus toegang tot de live en opgenomen camerabeelden. Ze kunnen onbeperkt aanpassingen doen of bepaalde instellingen of beelden wissen. En zo kan belangrijk bewijsmateriaal (bewust of onbewust) worden vernietigd. Het systeem kan zelfs volledig onbruikbaar worden gemaakt. Maar wie heeft het dan gedaan? Al deze mensen gebruiken dezelfde inloggegevens, dus ook de activiteitenlog biedt geen uitkomst. Het is immers altijd ‘dezelfde’ persoon. Het mag duidelijk zijn dat dit een ongewenste situatie is.

AVG wetgeving extra stimulans voor gebruikersbeheer

Met het in werking treden van de Algemene Verordening Gegevensbescherming (AVG) is er een belangrijke reden bij gekomen om uw gebruikersbeheer goed op orde te hebben. Persoonsgegevens (waaronder dus ook camerabeelden) mogen alleen toegankelijk zijn voor personen die er ook iets mee moeten doen (verwerken). En het moet herleidbaar zijn wie wat wanneer heeft gedaan. Overigens is een gedegen hiërarchie in de gebruikersstructuur niet alleen in de zakelijke sfeer van (cruciaal) belang. Ook privé blijken we het lang niet allemaal op orde te hebben en gebruiken vaak meerdere personen (gezinsleden) dezelfde login. Denk bijvoorbeeld aan uw mobiel, Netflix account of het alarmsysteem. Iedereen die de toegangscode heeft, is eigenlijk de administrator en komt overal in. Bedenk goed of u dat wel wilt…

Werken met gebruikersgroepen beperkt risico

Met veel gebruikers is het makkelijk om gebruikersgroepen te maken. Individuele personen krijgen een eigen login en kunnen worden toegevoegd aan een groep met specifieke rechten. Personen kunnen ook eenvoudig uit het systeem worden verwijderd door de individuele login te verwijderen. De andere groepsleden zullen hun rechten gewoon behouden. Maar het verwijderen van gebruikers uit het systeem blijft wel een menselijke handeling. Een handeling die vergeten kan worden, met als gevolg dat oude gebruikers lange tijd of zelfs eeuwig hun login behouden. Dat is een kwalijke zaak en vormt een behoorlijk risico voor het systeem. Door gebruik te maken van een gemeenschappelijke database, door bijvoorbeeld het HRM systeem eraan te koppelen, kan het risico hiervan beperkt worden.