Binnen de cybersecurity is het belangrijk om de juiste maatregelen te nemen om bedrijfsgegevens en informatie te beschermen tegen externe bedreigingen. Eén van deze maatregelen is het implementeren van segregation of duties (SOD), ook wel scheiding van taken genoemd. Dit houdt in dat bepaalde taken binnen een bedrijf verdeeld worden over meerdere personen, om fraude en andere vormen van misbruik te voorkomen. Ook binnen ISO 27001 is dit een belangrijk onderdeel. CW Greenport geeft op 11 april een Q&A sessie over ISO 27001 voor deelnemers.
SOD is ontstaan als een reactie op de toenemende complexiteit van bedrijfsprocessen en de groei van IT-systemen. Het idee is dat door het verdelen van taken over meerdere personen, het risico van fraude en misbruik van informatie wordt verminderd. Dit komt doordat elke persoon slechts beperkte toegang heeft tot gegevens en systemen, waardoor het moeilijker wordt om ongeautoriseerde handelingen uit te voeren. Dit kan in principe binnen een hele organisatie plaatsvinden, maar juist binnen de cybersecurity is het belangrijk dat SoD toegepast wordt.
Voorbeelden van risico’s wanneer SOD niet wordt geïmplementeerd
Als SOD niet wordt geïmplementeerd, kan dit verschillende risico’s met zich meebrengen. Eén van de grootste risico’s is dat één persoon ongeautoriseerde handelingen kan uitvoeren zonder dat dit wordt opgemerkt. Denk bijvoorbeeld aan het wijzigen van belangrijke informatie zonder een tweede paar ogen die dit beoordeelt en goedkeurt, of een persoon welke de rechten binnen een applicatie heeft om zonder controle mensen toegang te geven. Dit kan leiden tot financiële schade, reputatieschade en andere problemen voor het bedrijf. Een ander risico is dat gevoelige informatie per ongeluk of opzettelijk wordt gelekt, waardoor bedrijfsgeheimen openbaar worden gemaakt en concurrenten een voorsprong krijgen. Een derde risico is verminderde efficiëntie. Hoewel dit tegenstrijdig lijkt, kan een goede scheiding van taken de efficiëntie juist verbeteren door ervoor te zorgen dat taken worden verdeeld over meerdere personen met gespecialiseerde vaardigheden. Zonder SoD bestaat het risico van dubbel werk, vertragingen en verwarring over rollen en verantwoordelijkheden.
Best practices voor bedrijven die net begonnen zijn met cybersecurity
Als je net begint met cybersecurity, zijn er een aantal best practices die je kunt volgen om ervoor te zorgen dat je bedrijf veilig blijft. Ook organisaties die dit al bewust geïmplementeerd hebben, kunnen onderstaande best practices gebruiken om hun beleid en processen op te toetsen. Hieronder zijn enkele best practices voor het implementeren van effectieve functiescheiding:
- Definieer duidelijk rollen en verantwoordelijkheden: Maak een duidelijke en beknopte functiebeschrijving voor elke functie binnen de organisatie. Dit helpt om te zorgen dat elke medewerker zijn of haar specifieke taken en verantwoordelijkheden begrijpt en minimaliseert het risico dat taken over het hoofd worden gezien of niet goed worden uitgevoerd;
- Maak een organigram: Een visuele weergave van de hiërarchie van de organisatie kan helpen om eventuele belangenverstrengelingen te identificeren en ervoor te zorgen dat verantwoordelijkheden correct worden toegewezen;
- Stel passende toegangscontroles in: Beperk de toegang tot gevoelige gegevens, systemen en processen tot alleen die personen die dit nodig hebben om hun taken uit te voeren. Dit heeft ook wel de principle of least privilege: krijg alleen toegang tot informatie die daadwerkelijk benodigd is voor je werk. Implementeer sterke toegangscontrole in, zoals multifactor authenticatie, om ervoor te zorgen dat alleen geautoriseerd personeel toegang krijgt;
- Implementeer regelmatige beoordelingen en audits: Beoordeel en audit regelmatig de processen en controles van de organisatie om ervoor te zorgen dat ze effectief blijven en dat er geen mogelijkheden zijn voor fraude of misbruik. Dit kan helpen bij het identificeren van zwakke punten in het systeem en het mogelijk maken om corrigerende maatregelen te nemen voordat er significante schade optreedt;
- Zorg voor adequate training en opleiding: Zorg ervoor dat werknemers de juiste training en opleiding krijgen over het belang van functiescheiding, evenals over de specifieke beleidslijnen en procedures die binnen de organisatie van kracht zijn.