In visie- en beleidsstukken over informatieveiligheid en plannen voor het verbeteren van informatieveiligheid kom ik regelmatig de gevleugelde term ‘Need-to-know’ tegen. De term wordt vaak zo vanzelfsprekend geacht dat er niet eens een uitleg van wordt gegeven. Meestal wordt er klakkeloos ook even vermeld dat het ‘least-privileged-principe’ wordt gehanteerd.
Maar wat betekenen deze kreten in richtinggevende stukken voor de werking van de organisatie? Need-to-know, goed Engels voor ‘strikt noodzakelijk’, houdt in dat personen precies de informatie beschikbaar krijgen die ze nodig hebben voor het uitvoeren van hun taak. Informatie die je niet nodig hebt, hoef je niet te weten – you don’t need to know – en daar mag je dan ook niet bij.
Least privileged – minimale toegang in Nederlands – is een andere benadering van hetzelfde principe. Hierbij gaan we niet uit van de informatie die je niet hoeft weten, maar van de toegang tot diezelfde informatie.
Ter illustratie: Need-to-know zegt dat je niet in personeelsdossiers mag kijken, least privileged dat je niet in het personeelssysteem mag.
Beide principes leiden ertoe dat het noodzakelijk is om:
- Precies te weten welke taken een persoon uitvoert.
- Precies te weten welke informatie nodig is om die taak uit te voeren.
- Precies weten waar die informatie staat en hoe je de toegang daartoe is georganiseerd.
Kijkende naar deze drie noodzaken wordt duidelijk dat voor de meeste organisaties dit overal knelt. Mensen voeren meerdere taken uit die in de hitte van de strijd regelmatig veranderen. Het is vaak niet vooraf duidelijk welke informatie er nodig is voor een taak en de meeste organisaties kunnen niet precies vertellen waar welke informatie staat en op welke verschillende wijzen je daarbij kan.
Invoeren van een Need-to-know-systeem zou betekenen dat er een administratie moeten komen waarin precies staat wat de taken van de persoon zijn. Aan de andere kant moet er een inventarisatie zijn van alle informatie die beschikbaar is, inclusief voor welke taak deze informatie op welke wijze wordt gebruikt. Deze twee administraties worden dan via een intelligent systeem aan elkaar gekoppeld zodat de persoon, via een toegangscontrolesysteem, precies de toegangsrechten tot de informatie krijgt die nodig zijn om de taak uit te voeren. Om te zorgen dat dit werkt moeten de persoonsmutaties en de informatiemutaties tijdig en accuraat worden doorgevoerd in de administratiesystemen. Het resultaat is een steeds veranderende rechtenomgeving waarin voor (bijna) alle personen geldt dat ze een unieke set toegangsrechten hebben.
Uiteraard is dit technisch en organisatorisch in te richten, maar:
- Het is moeilijk te beheren en is zeer arbeidsintensief om dit in stand te houden.
- Het bewaken van de regels en risico’s is complex. Om overzicht te behouden zijn geavanceerde analysetools noodzakelijk.
- Zowel de benodigde systemen als de benodigde organisatie zullen leiden tot hoge kosten.
Je zou het natuurlijk andersom kunnen benaderen: ‘know-everything’. Dit betekent dat ik alle informatie voor iedereen beschikbaar maak. Dit heeft één groot voordeel, niemand zal komen klagen dat ze iets niet mogen. Maar de nadelen zijn erg groot:
-
Overal bij kunnen betekent niet dat ik alles kan vinden. Er zijn zoveel informatie-bomen dat ik het bos niet meer zie.
-
Wet- en regelgeving staat in bepaalde situaties dit niet toe.
-
Het toegangsbeheer wordt eenvoudig, maar daar komen maatregelen tegenover die de informatie moeten beschermen tegen verkeerd gebruik en vergissingen.
Zoals altijd ligt de waarheid in het midden, need-to-know is te duur, know-everything te risicovol. Uitgaan van ‘Need-to-NOT-know’ is mogelijk een oplossing. Need-to-not-know houdt in dat personen toegang krijgen tenzij. Dus, in tegenstelling tot need-to-know, hoef je niet te bepalen waar iemand wel bij mag, maar moet je bepalen waar iemand niet bij mag. Dit vraagt een andere kijk op zowel je informatie als de personen die er toegang toe moeten hebben. Risicobewust denken is hier de kern:
- Loop je geen risico, beperk dan de toegang niet.
- Is het risico klein, weeg dan af of de maatregel om de toegang te beperken niet kostbaarder is dan de schade als gevolg van het risico.
- Is het risico significant, zorg er dan voor dat de informatie wordt afgeschermd.
Ook dit zal leiden tot een situatie waarin moet worden bepaald of een bepaald risico zich voordoet, waarna de toegang al dan niet wordt beperkt. Maar de risico’s die een organisatie loopt zijn in het algemeen overzichtelijker en beter te bepalen dan het aantal taak-persoon combinaties die voorkomen in de organisatie.
©Steven van der Linden, maart 2020