Role Based Access Control
RBAC staat voor Role Based Access Control. Dit is de meeste bekende manier om toegang tot informatie en systemen te ordenen en beheerbaar te maken. Voor RBAC worden gebruikersprofielen genormaliseerd tot rollen, zodat medewerkers de benodigde toegang kunnen krijgen op een gestructureerde manier met een voorspelbare uitkomst. Het uitgangspunt is dat medewerkers die hetzelfde werk doen, dezelfde rechten en applicaties nodig hebben. Met RBAC heeft een organisatie een krachtig middel om grote beveiligingsvraagstukken te benaderen. En zoals ieder krachtig middel, is juiste dosering en goede toepassing kritiek. Voor een goede RBAC implementatie moet een organisatie drie vragen oplossen:
- 1. Welke rollen zijn er?
- 2. Op grond waarvan krijgen gebruikers een bepaalde rol?
- 3. Wie is bevoegd welke rollen toe te kennen?
Role Mining
Voor het bepalen van welke rollen er zijn, wordt meestal een gemengde aanpak gekozen. Hierbij worden de eerst bestaande rechten geanalyseerd om een beeld te krijgen van de feitelijke situatie. Daarnaast worden de bedrijfsprocessen afgezet tegen systemen en informatieverzamelingen. Tenslotte wordt het beleid meegenomen om onwenselijke combinaties van rollen te herkennen. Uit deze informatie kan dan een rollenmodel worden samengesteld.
Rol toekenning
Voor het toekennen van gebruikers aan rollen is een hybride oplossing gangbaar. Daarbij worden sommige rollen automatisch toegekend, en anderen handmatig, op verzoek. Dit laatste wordt in toenemende mate ontsloten voor de business met workflow applicaties, zodat er een gecontroleerde zelfbediening ontstaat.
Voor meer informatie rondom RBAC oplossingen neem contact met ons op.
