Autorisatiebeheer: stel de juiste rechten in

In elke digitale werkplek moet je ervoor zorgen dat mensen het juiste niveau van toegang tot applicaties hebben. Wanneer deze 'autorisaties' juist zijn, ben je in staat om een werknemer snel in te werken, je verbetert de dagelijkse werkzaamheden en houdt de beveiligingsstandaarden in stand. Autorisaties zijn niet eenduidig voor elke applicatie en er kan veel in detail worden getreden. Daarom gaan wij kijken naar een aantal aspecten van autorisatiebeheer. We vertellen waarom het belangrijk is, delen enkele praktische tips voor het schrijven van een 'delegatie van bevoegdheden' matrix, en andere kritische factoren die je kunt overwegen.

Wat is autorisatiebeheer en waarom is het belangrijk?

Autorisatiebeheer kan worden beschouwd als de aanpak en de werkwijzen die worden toegepast om ervoor te zorgen dat mensen het juiste niveau van toegang tot verschillende applicaties hebben, zodat ze hun rol kunnen uitvoeren en ondertussen de integriteit van het organisatie- en IT-beleid met betrekking tot veiligheid, privacy van gegevens en meer te behouden.

We hebben onlangs gekeken naar het beheer van rechten en toegang tot een digitale werkplek. Er zijn een aantal redenen vastgesteld waarom een robuuste aanpak op dit hele gebied, inclusief het beheer van autorisaties, belangrijk is:

• Het minimaliseren van risico's voor de veiligheid en de privacy: de gevolgen van het schenden van wettelijke en regelgevende verplichtingen kunnen zeer ernstig zijn, waaronder ernstige reputatieschade.
• Digitaal beheer van de werkplek handhaven: IT- en digitale werkplek teams moeten vaak een bepaald niveau van beheer en controle toepassen op een digitale werkplek, bijvoorbeeld door het gebruik van bepaalde tools te blokkeren.
• Individueel applicatiebeheer: om een goed beheer van de verschillende tools te garanderen, is het beheer van de autorisaties, met name over wie toegang heeft op beheerdersniveau, belangrijk.
• Een vlotte toegang: mensen binnen organisaties veranderen snel met een groot verloop van personeel, externe partijen en tijdelijk personeel - autorisaties moeten worden beheerd om de veranderingen bij te houden en iedereen in staat te stellen om succesvol te werken.

Daarnaast kan een applicatie een aantal licentievoorwaarden hebben met betrekking tot bijvoorbeeld het aantal personen dat gemachtigd is om volledig toegangsbeheerder te hebben, en dit moet mogelijk ook strak worden beheerd.

Welke factoren moeten er worden overwogen bij het definiëren van autorisatiebeheer?

Er zijn meerdere factoren die moeten worden overwogen om te helpen bij het definiëren van de details van de autorisatie die je voor verschillende apps instelt. Dit zijn:

• Het beveiligingsbeleid van je bedrijf en de IT-functie die worden gedreven door juridische, regelgevende en technische overwegingen.
• De structuur van de organisatie en de manier waarop IT wordt ondersteund, wat verschillende niveaus van autorisatie kan bepalen, bijvoorbeeld een centraal team, een regionaal team en vervolgens een lokaal team.
• De middelen van het centrale IT- of digitale werkplek team, en de relatieve middelen van gebruikers en eigenaren in de hele business, die van invloed kunnen zijn op de vraag of bepaalde taken centraal of lokaal worden uitgevoerd.
• Het expertiseniveau dat nodig is om bepaalde taken met een app uit te voeren en de ervaring van lokale gebruikers.
• Hoe individuele apps zijn opgezet en de mate van granulariteit die kan worden toegepast op rechten om verschillende taken uit te voeren (het is bijvoorbeeld misschien niet mogelijk om lokale beheerders veel rechten te geven omdat de manier waarop de app is gebouwd te veel rechten aan hun geeft).
• De mate waarin de app wordt gebruikt - bijvoorbeeld een zeer gespecialiseerde app die slechts door één bedrijfsteam wordt gebruikt, valt mogelijk niet eens onder het autorisatiebeheerbeleid.
• De zakelijke waarde van het verlenen van autorisatie aan verschillende rollen.
• Het grotere plaatje rond het beheer en de adoptie van digitale werkplekken kan van invloed zijn op de overdracht van meer macht aan lokale beheerders om een duurzamere digitale werkplek te helpen realiseren.

Dit alles klinkt misschien complex en gedetailleerd, maar zodra je de details van je autorisatiebeheer doorloopt, is het eenvoudiger dan je denkt. Een goede plek om te beginnen is met het concept van de "delegatie van bevoegdheden" om de niveaus van de toegangsrollen uit te werken die nodig zijn, en vervolgens een autorisatiematrix te definiëren.

Hoe stel je een autorisatiematrix op?

In bredere zakelijke zin is een "delegatie van bevoegdheden" een beleid of een controle, meestal geschreven als een verklaring, die de verantwoordelijkheden en het niveau van de bevoegdheden van een bepaalde rol bepaalt.

Met name wat betreft de bedrijfsprocessen en taken die zij kunnen uitvoeren en de beslissingen die zij kunnen nemen. Deze worden bijvoorbeeld gebruikt om het bedrijfsbestuur te waarborgen en het bedrijfsrisico tot een minimum te beperken.

Het delegeren van bevoegdheden is een nuttig concept om te overwegen bij het uitwerken van de autorisaties die je in bepaalde applicaties toekent.

Een van de megatrends van de afgelopen twee decennia in de manier waarop de IT-afdelingen de rest van de organisatie ondersteunen, is hoe steeds meer macht geleidelijk aan is overgedragen in de hele organisatie. Deze decentralisatie van de IT heeft ertoe geleid dat nu power users, lokale beheerders en zelfs eindgebruikers in de hele organisatie bevoegd zijn om steeds meer taken en operaties uit te voeren.

Voorbeeld van bevoegdheidsdelegatie

Zo kan een power user op een bepaalde applicatie binnen een specifiek team geautoriseerd worden om samenwerkingssites op te zetten en gebruikers uit te nodigen om zich bij hen aan te sluiten. In grotere, complexere en wereldwijd opererende bedrijven gebeurt deze 'decentralisatie' soms op meerdere niveaus, waarbij centrale IT-teams, lokale IT-teams in een bepaald land en vervolgens power users, allemaal geautoriseerd zijn om verschillende taken uit te voeren.

Het beleid afstemmen op de delegatieautoriteit

Het beleid van 'wie kan wat doen' voor elke applicatie kan worden gekoppeld aan een 'delegatie van bevoegdheden', waarbij je bepaalt welke rollen in de organisatie bevoegd zijn om welke taken binnen een bepaalde applicatie uit te voeren, de verantwoordelijkheid effectief delegeert vanuit de centrale IT en het beheer, en mensen en de business vertrouwt en in staat stelt om applicaties te beheren en te gebruiken.

Als je dus tijd besteedt aan het definiëren van een delegatie van bevoegdheden voor verschillende rollen, kan je vervolgens de specifieke rechten voor verschillende applicaties uitwerken die voor die rollen moeten worden gedefinieerd.

Realistisch gezien zullen de centrale IT- en digitale werkplek teams moeten samenwerken met lokale zakelijke belanghebbenden en contacten in de hele organisatie. Hier kan het hebben van een template in Word of Excel, dat helpt bij het in detail delegeren van bevoegdheden voor verschillende rollen over verschillende divisies, helpen. Dit zou moeten omvatten:

• Belangrijke taken met betrekking tot verschillende applicaties (bijvoorbeeld een lokale gebruiker uitnodigen voor de app)
• De rollen die de bevoegdheid hebben om taken in die divisie uit te voeren (bv. Team Lead, Executive Assistant, Power User netwerk lid)
• De namen van eventuele corresponderende personen of Active Directory-groepen
• Het toegangsniveau binnen de app dat overeenkomt met het niveau van de autoriteit (bijv. lokale beheerderstoegang)

Welke niveaus van autoriteit zijn er in applicaties?

Verschillende apps zullen verschillende niveaus van rechten hebben, afhankelijk van wat ze doen, maar op een hoog niveau kan dit zijn:

• Centrale beheerders die meestal wereldwijd toegang hebben tot het wijzigen van bedrijfsbrede instellingen, meestal binnen de IT-functie
• Divisiebeheerders die wellicht instellingen kunnen toekennen voor een specifieke afdeling van de organisatie en kunnen bepalen wie de power users zijn
• Power users, of lokale- of teambeheerders, die misschien meer rechten hebben en met een van de site-eigenaren of eindgebruikers werken voor hun sectie
• Locatie-eigenaren, die een bepaalde groep of locatie beheren, indien van toepassing
• Normale eindgebruikers
• Read-only gebruikers

Uiteraard zullen deze verschillen van organisatie tot organisatie, en van toepassing tot toepassing. De elementen die belangrijk zijn om te overwegen in al het bovenstaande:

• De mogelijkheid om globale instellingen te maken die het IT-beleid weerspiegelen
• De mogelijkheid om nieuwe beheerders en nieuwe gebruikers toe te voegen
• De mogelijkheid om bepaalde sites of informatie te bekijken
• De mogelijkheid tot interactie met verschillende elementen van de app.

Hoe stel je een autorisatiematrix op?

Als je al deze informatie hebt, kun je het allemaal samenbrengen in een autorisatiematrix of delegatie van autorisatiematrix, wat betekent dat je de benodigde autorisaties voor elke app kunt matchen met de rollen in elke divisie. Voor een centraal IT- of digitaal werkplek team hoef je wellicht alleen de toegang op hoger niveau vast te leggen, omdat de toegang op lokaal niveau wordt bepaald door lokale beheerders.

Dus, ook al klinkt wat we in dit artikel hebben beschreven potentieel complex en zeer gedetailleerd, je autoriteitsmatrix zal waarschijnlijk veel eenvoudiger zijn wanneer je het daadwerkelijk in detail beschrijft.

Vaak heb je bijvoorbeeld voor de meeste taken gewoon een aantal lokale beheerders of power users.

Onze ervaring is dat de matrix meestal het best wordt vastgelegd op een spreadsheet. Je kunt verschillende tabbladen hebben voor elke toepassing. Er is geen standaardformaat, maar een sheet kan wel vastleggen:

• De verschillende divisies of locaties in je organisatie, bijvoorbeeld HR, Brussels Office
• De belangrijkste taken die relevant zijn voor de app en het bijbehorende toegangsniveau, bijvoorbeeld het opzetten van nieuwe gebruikers (Local Admin access)
• De bijbehorende rollen in elke divisie of locatie
• Potentieel ook de namen van de mensen in die rol.

Verduurzaming van het autorisatiebeheer

Verschillende benaderingen kunnen je helpen om je aanpak van het autorisatiebeheer te verduurzamen. Dit zijn:

• Houd de documentatie bij die de machtigingsniveaus voor elke app weergeeft
• Wanneer nieuwe apps in gebruik worden genomen binnen de organisatie, voeg ze dan toe aan je autorisatiematrix.
• Laat iedereen je autorisatiematrix bekijken, bijvoorbeeld via de intranetpagina van het IT-team. Dit zorgt voor transparantie en moedigt je aan om het up-to-date te houden
• Zorg voor een duidelijk proces voor wanneer een gebruiker toegang tot een app wil aanvragen
• Training over specifieke apps voor rollen en verantwoordelijkheden in de autorisatiematrix
• Een proces hebben om autorisaties bij te werken wanneer mensen het bedrijf verlaten en zich bij het bedrijf aansluiten.

Autorisatiebeheer en Workspace 365

Omdat we het belang van autorisatiebeheer erkennen, hebben we dit geintegreerd in Workspace 365, ook hebben we dit recentelijk behandeld in ons artikel over het beheer van applicaties. Workspace 365-instellingen hebben de granulariteit die past bij het detail van je autorisatiematrix.

Het is bijvoorbeeld heel eenvoudig om in te stellen wie toegang heeft tot een bepaalde app die via Workspace 365 toegankelijk is. In de App Store heeft elke individuele app instellingen, waaronder de Conditional Access-functie, waarmee IT-teams op basis van verschillende criteria, zoals apparaattype of netwerk, beleid kunnen instellen met betrekking tot de toegang tot een individuele app.

In Workspace 365 zijn er ook robuuste controls over wie de verschillende aspecten van elke werkplek kan controleren. Rechten kunnen eenvoudig worden ingesteld voor verschillende mogelijkheden, waaronder de mogelijkheid om je eigen werkplek te bewerken, apps te maken in de app store, aankondigingen te maken en te beheren, enzovoort.

Autorisatiebeheer in een demo

Autorisatiebeheer kan vrij gedetailleerd en complex zijn, maar met behulp van de juiste tools en benaderingen kan het veel eenvoudiger zijn. Het gebruik van een autorisatiematrix op basis van delegatie van bevoegdheden is een goede plek om te beginnen.