Segregation of Duties (SoD)

In dit artikel

Wat is de Segregation of Duties (SoD)?
Voorbeelden Segregation of Duties?
Waarom is SoD belangrijk?
Voordelen van Segregation of Duties
Hoe pas je Segregation of Duties toe?
Meer weten over functiescheiding met behulp van IAM?

Wat is de Segregation of Duties (SoD)?

Segregation of Duties (SoD) – ook wel Separation of Duties – kun je letterlijk vertalen met ‘functiescheiding’. De Amerikaanse standaardisatieorganisatie NIST omschrijft het – vrij vertaald – als het principe dat geen enkele gebruiker voldoende rechten mag krijgen om systemen te misbruiken voor zichzelf. Een eenvoudig voorbeeld is dat de persoon die salarisbetalingen goedkeurt niet dezelfde mag zijn als de persoon die deze betalingen uitvoert. In dat geval zou deze persoon namelijk zichzelf eerst een enorm salaris kunnen toekennen en het vervolgens ook nog laten uitbetalen zonder dat er voorlopig een haan naar kraait.

Het maakt Segregation of Duties een belangrijk onderdeel van een veilige en integere bedrijfsvoering. We gaan er in dit artikel iets verder op in en leggen ook uit welke rol Identity en Access Management systemen kan spelen bij SoD.

Voorbeelden Segregation of Duties?

Hieronder geven we wat concrete voorbeelden van processen waarbij de Segregation of Duties wordt doorgevoerd:

Inkoop versus Betaling: Een inkoopmanager of zijn medewerkers zijn verantwoordelijk voor leveranciersselecties, aanbestedingen en inkooporders. Maar ze mogen niet óók de uiteindelijke inkoopfacturen goedkeuren en laten uitbetalen.
Goedkeuring versus Boekhouding: De medewerker die bepaalde uitgaven goedkeurt mag deze vervolgens nooit zelf verwerken in de boekhouding.
Voorraadbeheer versus Inventarisatie: De beheerder van de voorraden in het magazijn mag niet zelf voorraadinventarisaties uitvoeren of deze controleren.
Projectmanagement versus projectevaluatie: Projectmanagers zijn verantwoordelijk voor de projectuitvoering maar mogen nooit zelf de evaluatie verzorgen en een décharge geven.

Zo zijn er talloze voorbeelden maar ze hebben allemaal hetzelfde uitgangspunt. Er mogen geen bedrijfsprocessen zijn met een financieel of een ander groot bedrijfsbelang die van A tot Z door één persoon – of een klein team – wordt uitgevoerd en gecontroleerd. Er moet altijd een andere persoon of groep betrokken zijn. In dit verband wordt ook wel eens de term ‘vierogen principe’ gebruikt.

Waarom is SoD belangrijk?

Segregation of Duties is uiteraard belangrijk om bewuste misbruik en fraude te voorkomen. Door een consequent doorgevoerde interne controle zorg je dat er altijd meerdere mensen verantwoordelijk zijn voor een bepaald deel van de bedrijfsvoering en voorkom je dat mensen zichzelf kunnen bevoordelen of verrijken.

We voorkomen met Segregation of Duties echter niet alleen doelbewuste, vooropgezette misbruik of fraude. De Segregation of Duties is minstens zo belangrijk om te voorkomen dat mensen in een grijs gebied terechtkomen. Denk aan de goedbedoelende ondernemer die financieel in zwaar weer terechtkomt. Wat dan begint met creatief boekhouden om facturen en salarissen te betalen kan al snel leiden tot fraude. Nooit bedoeld maar evengoed schadelijk en strafbaar.

Daarom ook moet iedere organisatie van enige omvang een externe account hebben die volledig onafhankelijk de bedrijfsvoering en rolscheiding beoordeelt. En om dezelfde reden zijn er steeds meer specifieke functiegebieden waar partners, klanten of de overheid eisen dat een externe auditor hierover een oordeel geeft. Denk aan het vakgebied van Tools4ever – informatiebeveiliging – waarin het voor klanten en partners belangrijk is dat wij voldoen aan de ISO 27001 standaard en daarin ook gecertificeerd zijn.

Voordelen van Segregation of Duties

Daarmee zijn er voor organisaties tal van voordelen van de invoering van Segregation of Duties. We zetten er hier een aantal op een rij:

Minder risico op fraude en misbruik: Zoals beschreven zorgt de verbeterde interne controle dat het veel moeilijker wordt voor medewerkers om hun bevoegdheden te misbruiken om zichzelf of anderen te bevoordelen.
Geoptimaliseerde bedrijfsvoering: Hoewel dat niet een direct doel is van de rolscheiding maak je je processen vaak ook slimmer, efficiënter en nauwkeuriger. Je voorkomt niet alleen fraude maar ook onbewuste fouten omdat er altijd iemand meekijkt en meedenkt.
Betere compliance: Segregation of Duties is vaak een harde eis in veel moderne wet- en regelgeving. Zo stelt de Baseline Informatiebeveiliging Overheid (BIO) expliciet dat ‘conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen’.

Hoe pas je Segregation of Duties toe?

Het structureel doorvoeren van Segregation of Duties kan beginnen met een SoD project of programma. Het gaat er immers om alle relevante processen en de organisatiestructuur in kaart te brengen en de huidige taakverdeling te evalueren. Daaruit volgen werkgebieden waar één persoon of een klein team te veel controle heeft. Op basis van die analyse moeten taken en verantwoordelijkheden dan worden herverdeeld. Dat kan best complex zijn en veel overleg vragen terwijl het ook geen eenmalige bezigheid is; het is belangrijk om de rolscheiding regelmatig te blijven beoordelen.

Belangrijk is daarbij de hulp van technologie. Bedrijfsprocessen zijn tegenwoordig steeds verder geautomatiseerd, waarbij een (groot) deel van de taken wordt uitgevoerd door ERP, CRM en andere financiële, planning- en managementsystemen. Het is dan belangrijk dat alle gebruikers van die systemen worden voorzien van de juiste toegangsrechten. Iedereen moet de rechten hebben die hij of zij nodig heeft om het werk te kunnen doen, maar niet méér dan dat. Dit principe wordt wel het Principle of Least Privilege genoemd en is dus belangrijk om je Segregation of Duties effectief te ondersteunen.

Een modern IAM platform als HelloID ondersteunt je dan ook op meerdere manieren bij het implementeren van je functiescheiding:

HelloID Provisioning maakt het mogelijk toegangsrechten zoveel mogelijk geautomatiseerd te verstrekken op basis van attributen; zoals iemands rol, competenties, afdeling en/of werklocatie. In de gebruikte business rules kunnen we met zogeheten Toxic Policies voorkomen dat conflicterende rechten worden uitgedeeld.
Bovendien kunnen we met behulp van Service Automation ervoor zorgen dat het verstrekken van aanvullende toegangsrechten altijd automatisch wordt voorafgegaan door een controle door de juiste manager(s). Pas daarna past het systeem de rechten aan. En desgewenst kun je een tijdlimiet configureren waardoor toegangsrechten ook tijdig worden ingetrokken. Ook kun je ‘segregation’ beleidsregels instellen, waardoor iemand die toegang krijgt tot applicatie/functionaliteit A, niet ook toegang mag krijgen tot applicatie/functionaliteit B.
Uiteraard ondersteunt HelloID ook functiescheiding tussen de verschillende beheerfuncties rondom je IAM omgeving. Zodat bijvoorbeeld het beheer van de configuratie door andere medewerkers wordt uitgevoerd dan de uitgifte van individuele toegangsrechten.
Last but not least worden alle handelingen automatisch gelogd. In een onverhoopt geval van incidenten of problemen is altijd te traceren wie, welke handelingen heeft uitgevoerd en wanneer.

Meer weten over functiescheiding met behulp van IAM?

Wil je meer weten over hoe HelloID jou ondersteunt bij de implementatie van Segregation of Duties bij jouw organisatie? Dan kan je hier contact opnemen met ons.

Separation of duties is synoniem voor Segregation of Duties, een concept waarin verantwoordelijkheden en taken binnen een organisatie worden verdeeld over verschillende medewerkers om fouten en fraude zoveel mogelijk te beperken.

Ja, in de ISO 27001 – en ook in daarvan afgeleide normen als BIO en NEN 7510 – is expliciet voorgeschreven dat conflicterende taken en verantwoordelijkheden gescheiden moeten worden.