Opgeruimd staat netjes

Personen die toegang hebben tot applicaties waar ze helemaal geen toegang tot mogen hebben en accounts waarvan de eigenaar al jaren uit dienst is: bij veel bedrijven is het toezicht over het accountbeheer een rommeltje. En dat kan je als organisatie duur komen te staan.

Vooral bij banken, verzekeraars en zorginstellingen is de uitgifte en het beheren van accounts een hot topic. Toezichthouders als De Nederlandsche Bank, de Inspectie voor de Gezondheidszorg en de Europese Unie hebben het zorgvuldig omgaan met allerlei data steeds hoger op het prioriteitenlijstje staan.

Maar ook voor kleinere organisaties is het onderwerp relevant: hackers verschaffen zich via ongebruikte accounts steeds vaker toegang tot computersystemen, zo vertelt Henk Marsman, manager bij Deloitte Risk Services.

"Ik heb het meegemaakt dat bleek dat een account van een ex-werknemer actief gebruikt werd, waarmee dus een hacker maandenlang in het systeem zou kunnen rondneuzen, zonder dat iemand dat doorhad. Als je dat pas bij toeval ontdekt dan is zo’n hacker al volledig vertrouwd met het systeem. En er is dus geen reguliere gebruiker die opmerkt dat ‘zijn’ account vreemde dingen doet."

Op orde

Marsman houdt zich de laatste tijd veel bezig met het zogenoemde identity cleaning: het bij bedrijven weer op orde maken van het accountbeheer, zodat alleen daadwerkelijk bestaande werknemers een account hebben en alleen degenen met de juiste rechten toegang krijgen tot bepaalde applicaties.

Dat gebeurt stapsgewijs: eerst wordt de lijst van medewerkers simpelweg gematcht met de lijst van accounts. "Bij organisaties met achttienduizend medewerkers komt het soms voor dat we dan in een applicatie zien dat er twintigduizend ‘accounts’ zijn, waarvan we er in eerste instantie maar tienduizend accounts kunnen matchen", zegt Marsman. De andere tienduizend accounts worden dan met allerlei data-analysetechnieken bekeken: sommige accountnamen horen bijvoorbeeld wel bij een medewerker, maar bevatten een typefout.

Weggooien

Marsman: "Uiteindelijk blijven er dan nog een paar honderd accounts over die we handmatig bekijken. Dat moet heel zorgvuldig gebeuren. Het is eerder gebeurd dat een bedrijf de accounts opschoonde en een systeemaccount weggooide waarvan eigenlijk niemand wist waar deze voor bedoeld was. Aan het einde van het jaar bleek dat het account nodig was voor het opstellen van de jaarrekening, maar toen was het account al verwijderd. Het opstelling van de jaarrekening liep dus flinke vertraging op."

Proces vormgeven

Als je als organisatie wil voorkomen dat je na het opschonen van alle accounts al snel weer met vervuilde exemplaren te maken krijgt, is het belangrijk dat er een goed beleid komt. "Ik zeg altijd tegen onze klanten dat wanneer ze willen voorkomen dat wij weer snel langs moeten komen, ze de rollen en verantwoordelijkheden met betrekking tot dit onderwerp duidelijk moeten gaan beschrijven. Denk na over het proces en over wie welke beslissingen neemt."

Elk bedrijf zal dit proces op zijn eigen manier vormgeven, zegt Marsman. "Maar dat is ook precies hoe het moet. Je kunt wel ‘best practices’ uit de kast halen en toepassen, maar het succes is vooral afhankelijk van of het wordt geaccepteerd én gedaan door de hele organisatie."

"Hoe vaak gebeurt het niet dat wanneer iemands account tijdelijk geblokkeerd wordt een manager nog een account van een ex-medewerker achter de hand heeft? Of dat een nieuwe medewerker even tijdelijk met het account van een afwezige collega - die veel meer rechten heeft - werkt? Het is dus vooral belangrijk dat je je hele organisatie bewust maakt van het belang van het zorgvuldig omgaan met accounts. Want uiteindelijk hoeft een hacker maar 1 gaatje te vinden om binnen te komen, en ben je zo sterk als je zwakste schakel."