Even een brainstromdingetje.
We zijn de controltesting verder aan het inrichten. Waar lopen we onder meer tegen aan?
Bijvoorbeeld maatregel uit de NEN7510
9.2.5 BEHEERSMAATREGEL 48 Beoordeling van toegangsrechten van gebruikers
Eigenaren van bedrijfsmiddelen behoren toegangsrechten van gebruikers regelmatig te beoordelen.
Dit is een verplichte control uit de NEN7510. Ik wil aantoonbaar hebben dat eigenaren van bedrijfsmiddelen periodiek de autorisaties controleren en wat hiervan het resultaat is. Dus control testing periodiek en dan per softwarepakket (assets kaartenbak).
Bij de instellingen kun je teksten aanpassen, maar niet de koppen.
De eerste vraag: is deze control aanwezig?
Daar heb ik van gemaakt: Ja, de toegangsrechten van gebruikers zijn beoordeeld.
Als men toch voor Nee kiest, dan zijn ze dus niet beoordeeld door bijvoorbeeld drukte of andere omstandigheden.
De tweede vraag: is deze control effectief?
Wat wil ik dat daar de uitkomst van is. De maatregel is er om onbedoelde accounts te herkennen en weg te halen.
Mooi zou zijn dat ik dan bij antwoord JA zou kunnen aangeven, Ja, de maatregel is effectief want er waren veel accounts aanwezig die er niet meer actief hadden moeten zijn en die ik dus mooi heb kunnen herkennen en verwijderen. Dus die controle is noodzakelijk en effectief.
Bij deels effectief - er was een enkel onbedoeld account.
En bij Nee, niet effectief - er waren geen onbedoelde accounts aanwezig.
Maar als alle systemen goed werken zouden de accounts al up to date zijn en dan zouden er tijdens de controltesting geen onbedoelde accounts meer aanwezig zijn. Dus de JA is eigenlijk dan het verkeerde antwoord.
Hier zou het beste (groene) antwoord NEE zijn, echter dat kunnen wij niet wijzigen en ook de tekst "Ja, effectief" niet.
Mooi zou zijn als we de basis teksten kunnen aanpassen en kunnen sturen op wanneer iets groen, oranje of rood is.
Nu kunnen we in toelichtende teksten wel hetzelfde bereiken, maar toch.
Hoe zouden anderen dit doen?
Groet, Rudi Evers
