Kwartaalcontroles worden door hoofdbeheerders en gebruikersbeheerders uitgevoerd in IAMconnected en zijn bedoeld als extra hulpmiddel in het borgen van de juiste toegang.
Waarom Kwartaalcontroles?
Data in PCS (en andere systemen) moet alleen toegankelijk zijn voor gebruikers die daartoe bevoegd zijn. In de praktijk komt het voor dat gebruikers die uit dienst zijn niet worden verwijderd. Daardoor kunnen ze namens het bedrijf nog steeds handelingen uitvoeren en gevoelige data bekijken, wijzigen of verwijderen. Kwartaalcontroles zijn een hulpmiddel om dit periodiek te controleren. Omdat het ook data betreft van andere community leden hebben we als community besloten om deze controle voor alle organisaties te verplichten.
Wie en Wanneer?
De Kwartaalcontroles worden uitgevoerd door de hoofdbeheerder, eventueel in samenwerking met de gebruikersbeheerders. Een kwartaalcontrole is niet nodig als er naast de hoofdbeheerder geen andere medewerkers zijn geregistreerd.
De controle moet elk kwartaal binnen twee weken worden uitgevoerd. Zowel de hoofdbeheerder als de gebruikersbeheerder(s) ontvangen een email aan het begin van het nieuwe kwartaal.
In het artikel Kwartaalcontroles uitvoeren in IAMconnected als hoofdbeheerder vind je de stappen die je moet volgen om de kwartaalcontroles uit te voeren, voor zowel enkele gebruikers als een grote groep gebruikers.
Beleid ten aanzien van niet gevalideerde medewerkers
Beheerders hebben twee weken na de start van het kwartaal de tijd om de controle uit te voeren. Na twee weken ontvang je een herinnering. Als er geen actie wordt ondernomen, worden medewerkers die gedurende meer dan 6 maanden niet hebben ingelogd, op non-actief worden gezet. Deze maatregel is bedoeld om de veiligheid te verhogen door inactieve accounts die mogelijk misbruikt kunnen worden, te blokkeren. Dit gebeurt wanneer de kwartaalcontrole niet binnen vier weken wordt afgerond. Zie ook artikel 7.3 en 7.5 van de algemene voorwaarden van Portbase.
Hoofdbeheerders en gebruikersbeheerders zullen nooit automatisch op non-actief worden gezet.
Overzicht eerdere controles
Hierin kan je voor afgelopen kwartalen zien:
- of een kwartaalcontrole is uitgevoerd
- wie een kwartaalcontrole heeft uitgevoerd
- wanneer een kwartaalcontrole is uitgevoerd.
Dit overzicht is handig als er meerdere gebruikersbeheerders zijn. Ook kan de informatie op verzoek worden getoond aan een (interne / externe) auditor of de CISO.
Aandachtspunten
- Alleen de hoofdbeheerder kan gebruikersbeheerders valideren. Gebruikersbeheerders kunnen dus niet zichzelf of elkaar valideren.
- De hoofdbeheerder hoeft zichzelf niet te valideren.
Tips
- Je kan medewerkers in de toekomst verwijderen door het ingeven van een einddatum. Op deze einddatum zal de medewerker automatisch worden verwijderd.
- Kwartaalcontroles zijn een extra slot op de deur. Vind je toch een medewerker die al uit dienst is? Vraag je dan ook af waarom deze niet vanuit jouw eigen reguliere proces is verwijderd.
- Hanteer als verantwoordelijk manager een checklist met de autorisaties die (mogelijk) moeten worden ingetrokken als iemand uit dienst gaat.
- Laat HR bij uitdiensttreding een mail versturen naar de hoofdbeheerders of gebruikersbeheerders zodat de gebruiker tijdig wordt verwijderd.
Gerelateerde artikelen
Gerelateerd aan