Skip to the content

Autorisatiebeheer: wat je weet maar waarschijnlijk niet (efficiënt) doet

Autorisatiebeheer Microsoft Dynamics

Al zolang organisaties gebruikmaken van informatietechnologie speelt toegangsverlening (autorisaties) tot de informatie van een organisatie een belangrijke rol. Informatie is voor de meeste bedrijven immers een erg waardevol bezit. Het is dus van belang dat iemand over de juiste informatie kan beschikken en dat onbevoegden geen toegang hebben tot informatie die wordt gebruikt voor de besturing en uitvoering van de primaire processen.

Naast het op orde krijgen van autorisaties, is het van minstens even groot belang om deze autorisaties op orde te houden. Organisaties dienen te weten of de verstrekte autorisaties correct zijn en een goed up-to-date overzicht te hebben van de verstrekte autorisaties. Door middel van autorisatiebeheer kunnen autorisaties ingetrokken of (tijdelijk) toegekend worden.

Dit is van belang als u afscheid neemt van medewerkers, bij (zwangerschaps)verlof of bij functiewijzigingen. Door de autorisaties op orde te houden voorkomt u fraude en fouten en wordt overdracht naar een collega eenvoudiger. Het is dus van groot belang dat de autorisaties op een heldere en beheersbare manier zijn ingericht om zo fouten bij autorisatiebeheer te voorkomen.

Maar wanneer zijn autorisaties helder en beheersbaar ingericht?

Aandachtspunten opzet autorisatiebeheer

Autorisatiebeheer maakt de controleerbaarheid van autorisaties en het uitvoeren van deze controles mogelijk en verdient daarom aandacht. Voor de opzet van autorisatiebeheer zijn de volgende zaken van belang:

  • Duidelijke werkinstructies. Hierin dienen alle werkzaamheden te zijn uitgewerkt die van toepassing zijn op het beheer van autorisaties.
  • Heldere en consequente naamgeving van machtigingensets en gebruikersgroepen of organisatierollen. Kan iemand die geen verstand van autorisaties heeft begrijpen wat je met de inrichting beoogt te bereiken?
    • De naamgeving dient begrijpelijk te zijn waardoor de kans op fouten beperkt blijft.
    • Gebruik zoveel mogelijk de termen die in de interface terugkomen: dit geeft herkenning.
    • Gebruik functienamen als naam voor gebruikersgroepen of organisatierollen.
  • Geen vermenging of misbruik van inrichting om een ander doel te bereiken dan waar die voor bedoeld is.
  • Voor het beheer van autorisaties dient een verantwoordelijke te worden aangewezen.
  • Autorisatiebeheerprocedures dienen voor alle Dynamics bedrijven gelijk te zijn om verwarring te voorkomen.
  • Neem autorisaties mee in het change management voor NAV: bij installatie van nieuwe objecten moeten autorisaties vaak ook aangepast worden.
  • Test autorisatie-inrichting twee keer: zelf én laat dit door een (kern)gebruiker. Doel moet zijn om zoveel mogelijk fouten er vooraf uit te halen.
  • Leg foutmeldingen vast in een ticketsysteem incl. screenshot van het volledige scherm, gebruiker en wat de gebruiker probeert te bereiken. Dit is lang niet altijd duidelijk.
  • Log wijzigingen in de inrichting zoveel mogelijk in tickets. Vaak kan bij inrichting een opmerking gemaakt worden, verwijs daarin naar het relevante ticket.
  • Documentatie over de opbouw van de autorisaties dient volledig en up-to-date te zijn.

Autorisatie aanvraag procedure

Aanvragen van wijzigingen of nieuwe autorisaties dienen te verlopen volgens een procedure. Dit is van belang om vertroebeling van de autorisatiestructuur en dus fouten of vervelende gevolgen te voorkomen. De autorisatiebeheerprocedure dient minimaal de volgende punten te bevatten:

  • Autorisatieaanvragen dienen goedgekeurd te worden door minimaal één goedkeurder die hiervoor bevoegd is. Denk hierbij aan de CFO of verantwoordelijke binnen controlling of HR afdeling.
  • Het mag níet mogelijk zijn dat gebruikers eigen aanvragen goedkeuren. De verantwoordelijkheid voor het goedkeuren van autorisatieaanvragen dienen bij één verantwoordelijke te liggen.
  • Autorisatieaanvragen dienen te worden gearchiveerd of gelogd. Iedere wijziging van autorisaties van gebruikers moet achterhaald kunnen worden.
  • Opmerkingen bij autorisatie aanvragen dienen tevens gearchiveerd of gelogd te worden.
  • Een autorisatie aanvraag hoeft niet direct goedgekeurd te worden. Een opmerking van goedkeuringsverantwoordelijke is dan vereist om op een later moment de wijziging te verantwoorden.
  • Autorisaties die tijdelijk worden toegekend aan een bestaande functie dienen vooraf te worden aangevraagd met een einddatum. Hiermee wordt voorkomen dat tijdelijke rechten permanent worden.
  • Dit geldt ook voor autorisaties die worden toegekend aan tijdelijke medewerkers. Vakantie- of interim medewerkers zijn enkele voorbeelden van gebruikers die functies toegekend moeten krijgen met een einddatum.

Organigram Authorization Box

Autorisatiewijzigingen in Dynamics

Bij wijzigingen van autorisaties is het belangrijk om rekening te houden met de impact die wijzigingen hebben op bestaande machtigingensets. Zorg er dus voor dat in de procedure de volgende zaken zijn opgenomen:

  • Een controle op wijziging van de autorisaties is van belang om zo inzichtelijk te hebben of de rechten die worden toegekend, gebruikers toegang geven tot kritische tabellen.
  • Autorisatiewijzigingen dienen te worden gecontroleerd op functiescheiding. Door wijzigingen kan de functiescheiding binnen Dynamics in het geding komen.
  • Grote aanpassingen van de autorisaties dienen waar mogelijk getest te worden op een test- of acceptatieomgeving. Hiermee wordt voorkomen dat autorisaties op een productie omgeving direct nadelige gevolgen kunnen hebben.

Medewerkers die autorisatieaanvragen mogen goedkeuren, moeten op de hoogte zijn van de inhoud van de autorisaties. De functionaris moet handelen volgens de opgezette autorisatiematrix en dient te bewaken dat de structuur helder, begrijpelijk en eenvoudig aan te passen is.
Wilt u meer tips voor autorisaties in Dynamics? Vraag ze hier aan.

Efficiënt autorisatiebeheer

Door een steeds complexer applicatielandschap, fusies en eisen van de business ten aanzien van IT, is het voor organisaties een voortdurende uitdaging om autorisaties op orde te krijgen en te houden.

Professioneel beheer van autorisaties in Dynamics NAV / Dynamics 365 Business Central zal een groot deel van de werkweek opeisen van de verantwoordelijke.

Dit lossen wij voor u op met Authorization Box. In deze applicatie kunnen autorisaties zowel ingericht als beheerd worden. Met behulp van een visueel organigram gaat het beheren snel en eenvoudig.

Toekennen, wijzigen en analyseren is flexibel en eenvoudig. Benieuwd? Bekijk dan onderstaande video en neem anders contact op met één van onze autorisatiespecialisten.



Contact

Vragen over interne beheersing, informatiebeveiliging, assurance, AVG, autorisaties in Microsoft Dynamics of iets anders? Wij helpen u graag.