Skip to main content

Even een brainstromdingetje.

We zijn de controltesting verder aan het inrichten. Waar lopen we onder meer tegen aan?

Bijvoorbeeld maatregel uit de NEN7510  
9.2.5 BEHEERSMAATREGEL 48 Beoordeling van toegangsrechten van gebruikers
 
Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen.

Dit is een verplichte control uit de NEN7510. Ik wil aantoonbaar hebben dat eigenaren van bedrijfsmiddelen periodiek de autorisaties controleren en wat hiervan het resultaat is. Dus control testing periodiek en dan per softwarepakket (assets kaartenbak).

Bij de instellingen kun je teksten aanpassen, maar niet de koppen.

De eerste vraag: is deze control aanwezig?
Daar heb ik van gemaakt: Ja, de toegangsrechten van gebruikers zijn beoordeeld.
Als men toch voor Nee kiest, dan zijn ze dus niet beoordeeld door bijvoorbeeld drukte of andere omstandigheden.

De tweede vraag: is deze control effectief? 
Wat wil ik dat daar de uitkomst van is. De maatregel is er om onbedoelde accounts te herkennen en weg te halen. 
Mooi zou zijn dat ik dan bij antwoord JA zou kunnen aangeven, Ja, de maatregel is effectief want er waren veel accounts aanwezig die er niet meer actief hadden moeten zijn en die ik dus mooi heb kunnen herkennen en verwijderen. Dus die controle is noodzakelijk en effectief.

Bij deels effectief - er was een enkel onbedoeld account.
En bij Nee, niet effectief - er waren geen onbedoelde accounts aanwezig.

Maar als alle systemen goed werken zouden de accounts al up to date zijn en dan zouden er tijdens de controltesting geen onbedoelde accounts meer aanwezig zijn. Dus de JA is eigenlijk dan het verkeerde antwoord.

Hier zou het beste (groene) antwoord NEE zijn, echter dat kunnen wij niet wijzigen en ook de tekst "Ja, effectief" niet.

Mooi zou zijn als we de basis teksten kunnen aanpassen en kunnen sturen op wanneer iets groen, oranje of rood is.

Nu kunnen we in toelichtende teksten wel hetzelfde bereiken, maar toch.

Hoe zouden anderen dit doen?

Groet, Rudi Evers

Control testing is bedoeld om te controleren of de Control werkt (controleren of de toegangsrechten daadwerkelijk beoordeeld zijn). Niet om de control uit te voeren (het controleren van de toegangsrechten).

Tijdens de control test moet je dus aangeven of de Control aanwezig is: "zijn de rechten daadwerkelijk gecontroleerd?"

Is de control effectief: de Control is effectief wanneer er geen verkeerde toegangsrechten aanwezig zijn. Als die er wel zijn is de control niet goed uitgevoerd en dus niet effectief. Als ze er niet zijn, zijn ze goed opgeruimd (effectief) of kan het ook zijn dat er nooit ongeoorloofde rechten zijn geweest. In dat geval is de Control nog steeds effectief denk ik, alleen overbodig gebleken. Een rookmelder is ook nog steeds effectief als er geen brand geweest is

Hallo Paul, wat jij aangeeft klopt in basis natuurlijk. Maar dat zou dus betekenen dat we op een andere manier medewerkers een taak moeten sturen op periodiek de rechten te controleren (meerdere functioneel beheerders van de softwarepakketten). Daarna is er de controltest om te beoordelen of de taak uitgevoerd en wat het resultaat was. Dat zou dus dubbel zijn. Mooi als alles zou kunnen binnen de controltesting.

Groet, Rudi

Hoi Revers, 

Ik volg Paul in deze. Ook omdat je voor vaste terugkerende taken een taakschema kan maken die periodiek een taak uitzet naar de aangeven persoon/personen. Ook een Zenya team kan taken toegewezen krijgen.

Dan blijft de control het controleren of de terugkerende taken (tijdig) worden uitgevoerd en of er vanuit die taken vaak een verbeteractie wordt uitgezet. Dit omdat er geconstateerd is dat er accounts actief staan die niet actief moeten zijn.

Het stopzetten van accounts moet uitgevoerd worden in het proces van personeelswijzigingen. Als iemand een andere functie krijgt moeten rechten in systemen aangepast worden. Daar heb je dus een vangnet voor ingericht  de taak die geregeld uitgevoerd moet worden en dan de Control of de taak uitgevoerd wordt en het proces loopt zoals de bedoeling is. 

 

Groet Lia Hazen

Kwaliteitsfunctionaris en applicatiebeheerder Microvida

 

 

 

Reageer


Algemene voorwaardenCookie instellingen

Algemene voorwaarden | Privacyverklaring