Van Praat – Inleiding EDP auditing – Hoofdstuk 11 paragraaf 1-3

Samenvattend dienen er maatregelen te zijn die het gemeenschappelijk gebruik van

gegevens en informatie niet dwarsbomen mits de bescherming van gegevens en informatie
gewaarborgd is. (Bescherming wordt hier bedoelt: vertrouwelijk, integer en beschikbaar)

Hiervoor is een systeem van toegangsbeveiliging nodig. Zo´n systeem is in 3 onderdelen te

verdelen:
1. Externe (toegangs-)beveiliging: de communicatie van buitenaf beveiligen
2. Interne fysieke beveiliging: waarbij vooral de beschikbaarheid van de
informatiesystemen gewaarborgd moet zijn.
3. Interne logische beveiliging: hier is bedoelt om elke functionaris de bevoegdheden
toe te wijzen die nodig zijn voor vervulling van zijn of haar functie. Samengevat niet te
veel en ook niet te weinig bevoegdheden zodat alle gegevens voldoende gesplitst zijn
met behulp van de juiste views toegekend aan de juiste gebruikers.

Externe beveiliging

Het kunnen inloggen vanuit buitenaf in het geïntegreerd systeem door gebruik van een
laptop. Om van buitenaf contact te leggen met de competentietabel waarin de
bevoegdheden per medewerker zijn geregeld, moeten de volgende maatregelen worden
genomen:
• Het inrichten van een firewall waarbij een onafhankelijke functionaris
(beheermedewerker) deze inrichting beheert. Je hebt een proxyfirewall (meest veilig)
en een stateful inspection firewall (minder veilig)
• Het opstellen van toegangsregels voor inrichting van de firewall.
• Het verstrekken van beveiligingscertificaten aan de gebruikers door de onafhankelijke
functionaris op schriftelijke aanwijzing van personeelszaken of de verantwoord
business manager.

Interne beveiliging

Indien medewerkers aanloggen op het systeem is de logische beveiliging zeer belangrijk.

Immers het geïntegreerd systeem met authorisaties per medewerker vervangt de in vroegere
tijden gehanteerd mechanisme van functiescheiding omtrent beschikken, bewaren en
registreren. Om op een verantwoorde manier de functiescheiding te vervangen zijn 4
groepen van eisen nodig met de daarbij behorende maatregelen:

Identificatie
Om vast te stellen wie welke activiteiten in het systeem heeft verricht, is het belangrijk om te
weten wie de gebruiker is. Hiervoor helpt een userID die een unieke koppeling heeft met elke
medewerker die activiteiten in het systeem verricht. De userID moet automatisch blokkeren
na een aantal mislukte aanlog pogingen. Bij uitdiensttreding of geen gebruik van de userID
voor langere periodes dient de userID verwijdert te zijn door de beheermedewerker.

Een beheermedewerker is belast met het toekennen, wijzigen of intrekken van userID´s en
kan deze taak alleen uitvoeren op basis van een schriftelijke mededeling waarvoor ook
procedures zijn opgesteld door de organisatie. Een personeelsadviseur samen met de
afdelingshoofden verstrekken de mededeling aan de beheermedewerker.
Authenticatie
Na de identificatie is het aan de gebruiker om aan te tonen dat de gebruiker is wie hij of zij
zegt wie de gebruiker is. Deze authenticatie gebeurt door middel van een
wachtwoordsysteem. De technische maatregelen zijn dat wachtwoorden een minimale lengte
hebben, regelmatig en frequent gewijzigd worden, wachtwoorden niet voorspelbaar zijn of
leesbaar op scherm tijdens invoer en gebruikers moeten zelf het wachtwoord wijzigen. En bij
de wetenschap van anderen dat het wachtwoord niet meer persoonlijk is, moet ook het
wachtwoord gewijzigd worden. Zodoende om het wachtwoord persoonlijk te maken en te
houden.

Naast de technische maatregelen zijn er ook procedurele en organisatorische maatregelen.

Een beheermedewerker is belast met het beheren van de wachtwoorden zodat alle
technische maatregelen worden ingesteld en nageleefd gebaseerd op het beveiligingsbeleid
en procedures. Ook moeten de medewerkers schriftelijk bevestigen dat voor alle gegevens
en het wachtwoord geheimhouding geldt door de medewerker. Dit kan door de
personeelsadviseur aan het arbeidscontract worden bijgevoegd.

Authorisatie
Het systeem moet de gebruiker de bevoegdheden geven die nodig zijn. Welke
bevoegdheden een gebruiker nodig heeft, moet de verantwoordelijk manager of hoofd
toekennen en deze schriftelijk doorgeven aan de beheermedewerker van de
automatiseringsafdeling. Deze beheermedewerker kent de rechten toe aan het userID in een
competentietabel van het systeem. Het opstellen van procedures die het opzetten, wijzigen
en intrekken van bevoegdheden regelt met controle op de naleving door de controller.

Rapportering
Controle op het beveiligingssysteem kan alleen gebeuren indien:
• Wijzigingen in de identificatie en authenticatiegegevens automatisch gelogd worden
in een logbestand
• Alle activiteiten van elke gebruikers automatisch gelogd worden in een logbestand
met inbegrip van type activiteit.
• Het logbestand moet opgeslagen worden door het systeem en beoordeeld worden
door een onafhankelijke functionaris zoals de controller of de externe accountant
indien deze aanwezig is.
• Het wijzigen of verwijderen van een logbestand alleen mogelijk is via procedures door
een onafhankelijk functionaris los van technisch of functioneel beheer.