De locaties tot fysieke toegang worden beveiligd met een pas of een sleutel. De uitgifte en het beheer van toegangspassen of een sleutelkluis loopt bij vrijwel alle organisaties via de (applicatie)beheerder van het security management systeem of van de sleutelkluis. De applicatiebeheerder voegt handmatig nieuwe gebruikers aan het systeem toe of maakt wijzigingen voor bestaande gebruikers, bijvoorbeeld naar aanleiding van een afdelingswijziging. Is dit handmatige proces nog wel van deze tijd?
Bij het toekennen van fysieke toegang middels een security management systeem wordt vaak een kopie gemaakt van een collega die ongeveer dezelfde functie vervult. Dit wordt ook wel ‘voorbeeldgebruiker’ genoemd. De nieuwe medewerker krijgt toegang tot die fysieke locaties die ook voor zijn collega gelden. Maar dit is niet altijd correct en de medewerker kan zo misschien toegang krijgen tot locaties die hij/zij helemaal niet nodig heeft. Daarnaast wordt er niet veel aandacht besteed aan het ontnemen van toegangsrechten, bijvoorbeeld bij het wijzigen van een afdeling. Het is immers van groter belang dat de medewerker zijn/haar werk kan doen op de fysieke locatie en in eerste instantie niet waar er mogelijk teveel toegang tot is. Vroeg of laat is er geen zicht meer op wie waar fysieke toegang toe heeft.
> Lees ook Flexibel toegangscontrolesysteem voor revalidatiecentrum
Fysieke toegang
Wanneer organisaties te maken krijgen met wet- en regelgeving, neem bijvoorbeeld de NEN7510 en NEN7511 normering die voor zorginstellingen van kracht is, volstaat deze handmatige manier van werken niet meer. Organisaties moeten dan namelijk inzichtelijk hebben en kunnen voorleggen welke medewerkers waar fysieke (en ook logische) toegang tot hebben. En wat te denken van organisaties die te maken hebben met hoge risico zones, zoals vervaardigers van defensiemateriaal, rechtbanken, of grondpersoneel dat vliegtuigen bevoorraadt. Hoe gaan organisaties met dit probleem om? Hoe standaardiseren zij de uitgifte en beheer van fysieke toegang?
User life-cycle
Het toekennen van toegang tot fysieke ruimtes is in feite een onderdeel van de user life-cycle van een medewerker. Onder de user life-cycle verstaan we de stappen die een medewerker (user) binnen een organisatie doorloopt. Van in dienst, doorstroom tot uit dienst. Iedere stap heeft consequenties voor de toegangsrechten die een gebruiker heeft in het netwerk (logische toegang), maar ook voor de fysieke toegang. Op het moment dat een medewerker in dienst treedt, dienen de juiste toegangsrechten worden aangemaakt. Gedurende het dienstverband van de medewerker moeten deze toegangsrechten accuraat blijven en uiteraard dienen alle verleende toegangsrechten ingetrokken te worden als de medewerker de organisatie verlaat. Zo kunnen toegangspassen niet meer door oud-medewerkers worden gebruikt.
HR-systeem
Voor het beheren van de user life-cycle is het personeelssysteem een uitstekende bron. Immers, veel van de informatie die nodig is voor het beheren van de life-cycle bevindt zich al in het personeelssysteem en wordt goed onderhouden door de afdeling P&O. Denk bijvoorbeeld aan NAW-gegevens, start- en einddatum van het contract, kostenplaats, functie, ‘manager-medewerker’-relatie en afdeling. Door deze informatie te koppelen met het netwerk en een security management systeem, is het mogelijk om het personeelssysteem als basis te nemen voor het beheren van logische en fysieke toegangsrechten. Op basis van informatie uit het personeelssysteem (bijv. functie, afdeling en kostenplaats) worden dan geheel automatisch rechten toegekend aan (nieuwe) medewerkers. In de achterliggende autorisatiematrix of rollenmodel is omschreven welke logische en fysieke toegangsrechten (lees: zones) bij welke rol horen. Het rol gebaseerd toekennen van rechten wordt ook wel Role Based Access Control (RBAC) genoemd.
Toegangsrechten
Het toekennen van fysieke en toegangsrechten is een onderdeel van de user life-cycle van een medewerker. Het personeelssysteem kan gekoppeld worden aan het security management systeem en daardoor als basis dienen voor het beheren van fysieke toegangsrechten.
Dit artikel schreef Arnout van der Vorst (Identity Management Architect bij Tools4ever) en is gepubliceerd in Security Management 12/2014