Het probleem dat niemand ziet tot de audit komt
Je kent de situatie. Een medewerker verhuist van finance naar sales. Hij krijgt nieuwe toegangen. De oude blijven staan.
Herhaal dat vijf jaar lang, over tientallen medewerkers. Dan zit je met een berg aan rechten die niemand nog overziet.
Dat noemen we permission creep. Het is stille technische schuld. En het valt pas op wanneer een auditor, een verzekeraar of NIS2 ernaar vraagt.
Deze post is geschreven voor de IT-verantwoordelijke die dit herkent. Geen marketingtaal. Wel een werkbare aanpak voor access authorization management.
Wat access authorization management concreet inhoudt
Access authorization management is het geheel van beleid, processen en controles rond wie toegang krijgt tot wat, en waarom.
Het gaat over drie vragen die je continu moet kunnen beantwoorden:
- Wie heeft toegang tot deze data of dit systeem?
- Waarom heeft die persoon die toegang?
- Wanneer werd die toegang laatst herzien?
Klinkt eenvoudig. In de praktijk verzuipt een intern IT-team van twee man hierin. Zeker als de tickets blijven binnenstromen.
Authenticatie versus autorisatie
Even de basis scherpstellen, want de begrippen worden vaak door elkaar gebruikt.
Authenticatie beantwoordt de vraag: ben je wie je zegt te zijn? Denk aan een wachtwoord met MFA (tweestapsverificatie).
Autorisatie beantwoordt de vraag: wat mag je doen nu je binnen bent? Dat is een andere laag. En het is precies die laag waar de meeste organisaties het overzicht verliezen.
Least-privilege: het principe dat alles vereenvoudigt
Het uitgangspunt is simpel. Elke gebruiker krijgt exact de rechten die hij nodig heeft om zijn werk te doen. Niet meer.
Dat heet least-privilege. In het Nederlands: het principe van minimale rechten.
Waarom werkt dit? Omdat het je oppervlakte voor problemen verkleint. Een gecompromitteerd account met beperkte rechten richt beperkte schade aan.
Van uitzondering naar structuur
De valkuil is dat least-privilege in de praktijk een uitzonderingenmodel wordt. Iedereen krijgt standaard veel, en je knipt achteraf weg.
Draai het om. Begin bij niets. Ken rechten toe op basis van rol.
Dat brengt ons bij role-based access control, of RBAC (toegang op basis van functie).
RBAC in de praktijk
Je definieert rollen die overeenkomen met echte functies. Een boekhouder-rol. Een sales-rol. Een projectleider-rol.
Aan elke rol koppel je een vast pakket rechten. Een nieuwe medewerker krijgt een rol, geen losse toegangen.
Verandert iemand van functie? Dan wisselt de rol, en de rechten volgen automatisch. Geen restanten meer.
In een Microsoft 365-omgeving vertaal je dit naar security groups en toegangspakketten. Zo blijft het beheersbaar, ook bij groei.
De levenscyclus van toegang
Toegang is geen eenmalige instelling. Het is een cyclus met drie momenten die je moet vastleggen.
Instroom. Een nieuwe medewerker start. Zijn rechten worden toegekend op basis van rol, op zijn eerste werkdag.
Doorstroom. Iemand verandert van functie. Oude rechten vervallen, nieuwe komen erbij. Dit moment wordt het vaakst vergeten.
Uitstroom. Iemand vertrekt. Zijn account wordt op de dag zelf gedeactiveerd, niet weken later.
Joiner-mover-leaver, noemt men dat. Zonder afspraken hierrond blijft je toegangsbeheer een verzameling losse eindjes.
Access reviews: controle die je kunt aantonen
Beleid op papier is niet genoeg. Je moet periodiek aantonen dat de rechten kloppen met de realiteit.
Dat doe je met access reviews. Een terugkerende controle waarbij eigenaars van data of systemen bevestigen wie nog toegang mag hebben.
Stel een ritme in. Kritieke systemen elk kwartaal. De rest halfjaarlijks of jaarlijks.
Het resultaat is een logboek. Precies dat wil een auditor zien. En precies dat mist het overbevraagde interne IT-team meestal.
Waar NIS2 hierin past
NIS2 is de Europese richtlijn rond cyberbeveiliging. Ze breidt het aantal betrokken organisaties fors uit.
Valt je onderneming eronder? Dan wordt toegangsbeheer geen goed voornemen meer, maar een verplichting.
NIS2 vraagt onder meer om:
- Beleid rond toegangscontrole, aantoonbaar en actueel.
- Multifactor-authenticatie op accounts.
- Registratie en herziening van toegangsrechten.
- Een aanpak voor het beheer van bevoorrechte accounts, zoals beheerdersrechten.
Geen paniek. Je hoeft dit niet in één weekend op te lossen. Maar je hebt wel een plan nodig, en iemand die het mee draagt.
Bevoorrechte accounts verdienen extra aandacht
Een beheerdersaccount kan alles. Daarom is het ook het meest waardevolle doelwit.
Beperk het aantal beheerdersaccounts tot het strikte minimum. Werk waar mogelijk met tijdelijke, verhoogde rechten die automatisch vervallen na gebruik.
Zo geef je iemand admin-toegang voor precies de duur van een taak. Daarna valt het terug op normaal niveau.
Co-managed: versterken, niet vervangen
Dit alles kost tijd en gespecialiseerde kennis. Twee dingen die een intern IT-team zelden in overvloed heeft.
Hier komt co-managed IT in beeld. Je behoudt je eigen IT-verantwoordelijke. Wij vullen aan waar de capaciteit of expertise ontbreekt.
Concreet betekent dat: wij nemen het opzetten van RBAC, de access reviews en de NIS2-voorbereiding mee op ons. Jouw IT'er houdt de regie en blijft aanspreekpunt.
Wij vervangen hem niet. Wij ontlasten hem. Zodat hij weer aan projecten toekomt in plaats van te verdrinken in tickets.
Ons team zit in Mechelen. Je spreekt met mensen die je kent, ook wanneer je IT'er op vakantie is.
Begin met een nulmeting
Je kunt niets verbeteren wat je niet in kaart hebt.
Daarom starten we met een gratis, vrijblijvende doorlichting van je Microsoft 365-omgeving. Je krijgt een rapport met concrete bevindingen.
Je ziet zwart op wit waar de rechten scheefstaan, welke accounts geen MFA hebben, en waar de zwakke plekken zitten. Vóór je iets tekent.
Geen verkoopgesprek. Een startpunt. Plan gerust een vrijblijvend gesprek in.












