Externe beveiliging
Het kunnen inloggen vanuit buitenaf in het geïntegreerd systeem door gebruik van een
laptop. Om van buitenaf contact te leggen met de competentietabel waarin de
bevoegdheden per medewerker zijn geregeld, moeten de volgende maatregelen worden
genomen:
• Het inrichten van een firewall waarbij een onafhankelijke functionaris
(beheermedewerker) deze inrichting beheert. Je hebt een proxyfirewall (meest veilig)
en een stateful inspection firewall (minder veilig)
• Het opstellen van toegangsregels voor inrichting van de firewall.
• Het verstrekken van beveiligingscertificaten aan de gebruikers door de onafhankelijke
functionaris op schriftelijke aanwijzing van personeelszaken of de verantwoord
business manager.
Interne beveiliging
Identificatie
Om vast te stellen wie welke activiteiten in het systeem heeft verricht, is het belangrijk om te
weten wie de gebruiker is. Hiervoor helpt een userID die een unieke koppeling heeft met elke
medewerker die activiteiten in het systeem verricht. De userID moet automatisch blokkeren
na een aantal mislukte aanlog pogingen. Bij uitdiensttreding of geen gebruik van de userID
voor langere periodes dient de userID verwijdert te zijn door de beheermedewerker.
Een beheermedewerker is belast met het toekennen, wijzigen of intrekken van userID´s en
kan deze taak alleen uitvoeren op basis van een schriftelijke mededeling waarvoor ook
procedures zijn opgesteld door de organisatie. Een personeelsadviseur samen met de
afdelingshoofden verstrekken de mededeling aan de beheermedewerker.
Authenticatie
Na de identificatie is het aan de gebruiker om aan te tonen dat de gebruiker is wie hij of zij
zegt wie de gebruiker is. Deze authenticatie gebeurt door middel van een
wachtwoordsysteem. De technische maatregelen zijn dat wachtwoorden een minimale lengte
hebben, regelmatig en frequent gewijzigd worden, wachtwoorden niet voorspelbaar zijn of
leesbaar op scherm tijdens invoer en gebruikers moeten zelf het wachtwoord wijzigen. En bij
de wetenschap van anderen dat het wachtwoord niet meer persoonlijk is, moet ook het
wachtwoord gewijzigd worden. Zodoende om het wachtwoord persoonlijk te maken en te
houden.
Authorisatie
Het systeem moet de gebruiker de bevoegdheden geven die nodig zijn. Welke
bevoegdheden een gebruiker nodig heeft, moet de verantwoordelijk manager of hoofd
toekennen en deze schriftelijk doorgeven aan de beheermedewerker van de
automatiseringsafdeling. Deze beheermedewerker kent de rechten toe aan het userID in een
competentietabel van het systeem. Het opstellen van procedures die het opzetten, wijzigen
en intrekken van bevoegdheden regelt met controle op de naleving door de controller.
Rapportering
Controle op het beveiligingssysteem kan alleen gebeuren indien:
• Wijzigingen in de identificatie en authenticatiegegevens automatisch gelogd worden
in een logbestand
• Alle activiteiten van elke gebruikers automatisch gelogd worden in een logbestand
met inbegrip van type activiteit.
• Het logbestand moet opgeslagen worden door het systeem en beoordeeld worden
door een onafhankelijke functionaris zoals de controller of de externe accountant
indien deze aanwezig is.
• Het wijzigen of verwijderen van een logbestand alleen mogelijk is via procedures door
een onafhankelijk functionaris los van technisch of functioneel beheer.