Wire

Autorisatiebeheer in ERP-systemen: het vergeten stuk van de beveiligingspuzzel

© Unsplash

Organisaties investeren fors in firewalls, endpoint detection en SOC-diensten. Tegelijkertijd blijft een minder zichtbaar risico vaak buiten beeld: de interne autorisatiestructuur binnen bedrijfssoftware. Juist daar ontstaan kwetsbaarheden die geen enkele perimeterbeveiliging kan opvangen.

Stel dat een medewerker op de financiele afdeling zowel facturen kan aanmaken als betalingen kan goedkeuren. Of dat een ex-collega maanden na vertrek nog actieve toegangsrechten heeft in het ERP-systeem. Dit zijn geen theoretische scenario’s, maar situaties die in de praktijk verrassend vaak voorkomen bij middelgrote en grote organisaties in Nederland.

IT-auditbureaus zoals 2-Control in Breda signaleren dit patroon regelmatig. Het probleem is zelden onwil. Organisaties onderschatten simpelweg hoe snel autorisatiestructuren onbeheersbaar worden wanneer een bedrijf groeit, reorganiseert of nieuwe modules in gebruik neemt.

Hoe toegangsrechten ongemerkt uit de hand lopen

ERP-platforms zoals Microsoft Dynamics 365 Business Central ondersteunen tientallen bedrijfsprocessen tegelijk, van inkoop en verkoop tot financiele rapportage. Elk proces kent zijn eigen set permissies. In de praktijk verzamelen medewerkers steeds meer rechten naarmate ze van functie wisselen of extra taken oppakken.

IT-afdelingen hebben zelden de capaciteit om periodiek te controleren wie toegang heeft tot welke processen. Nieuwe rechten worden toegekend bij een rolwissel, maar oude rechten worden vrijwel nooit ingetrokken. Na drie of vier jaar kan een organisatie met enkele honderden gebruikers zitten die elk ver meer permissies hebben dan hun functie rechtvaardigt.

Dit verschijnsel, in auditkringen aangeduid als authorization creep, ondermijnt het principe van functiescheiding zonder dat iemand het opmerkt. Dat is niet alleen een IT-risico. Het raakt ook de financiele betrouwbaarheid en de naleving van wet- en regelgeving, iets waar toezichthouders in toenemende mate op letten.

Wat een gerichte IT-audit zichtbaar maakt

Een IT-audit die specifiek inzoomt op autorisatiebeheer brengt in kaart welke gebruikers toegang hebben tot welke processen en waar ongewenste combinaties van rechten bestaan. De uitkomst verrast het management geregeld. Functies die strikt gescheiden zouden moeten zijn, blijken gecombineerd in enkele gebruikersaccounts.

Het auditproces volgt doorgaans een gestructureerde aanpak: een scan van de huidige situatie, toetsing aan relevante normen en kaders, en vervolgens concrete aanbevelingen met een heldere assuranceverklaring. Auditors aangesloten bij NOREA, de Nederlandse Orde van Register EDP-Auditors, werken met erkende certificeringen zoals RE en CISA, wat een gestandaardiseerde methodiek garandeert.

Voor organisaties die draaien op Microsoft Dynamics 365 Business Central of het oudere NAV is platformspecifieke kennis onmisbaar. Het autorisatiemodel in Business Central werkt fundamenteel anders dan dat van SAP of Oracle. Een auditor die de architectuur van het platform niet door en door kent, mist relevante risico’s. 2-Control heeft zich sinds 2006 juist in dit Dynamics-ecosysteem gespecialiseerd, wat in de markt vrij zeldzaam is.

Grip krijgen zonder de dagelijkse operatie te verstoren

Het identificeren van problemen is slechts de helft van het verhaal. Rechten te agressief intrekken kan bedrijfsprocessen platleggen, zeker wanneer medewerkers taken uitvoeren die officieel niet bij hun rol horen maar in de praktijk onmisbaar zijn. Een gefaseerde aanpak werkt daarom beter dan een grote opschoonactie in een keer.

Gespecialiseerde software voor autorisatiebeheer kan het reviewproces automatiseren. In plaats van handmatig spreadsheets te controleren, monitoren dergelijke tools continu of toegangsrechten overeenkomen met actuele functieomschrijvingen. Binnen het Dynamics-landschap bestaan er inmiddels meerdere oplossingen die dit proces ondersteunen, waaronder tooling die 2-Control via een zusterorganisatie heeft ontwikkeld.

De AVG voegt nog een extra dimensie toe. Privacyaudits overlappen steeds vaker met autorisatiereviews, omdat overmatige toegang tot persoonsgegevens op zichzelf al een compliancerisico vormt. Organisaties die beide audits combineren, besparen tijd en krijgen een completer beeld van hun risicolandschap.

Waar de urgentie vandaan komt

De verschuiving naar cloudgebaseerde ERP-omgevingen maakt autorisatiebeheer in 2026 complexer dan een paar jaar geleden. Hybride werkmodellen, koppelingen met externe applicaties via API’s en frequentere updates van het platform zorgen ervoor dat de autorisatiestructuur voortdurend in beweging is. Wat gisteren klopte, kan na een platformupdate alweer anders liggen.

Voor IT-afdelingen die dit willen voorblijven, begint het bij een helder startpunt: breng de huidige autorisatielandschap in kaart, stel vast waar functiescheiding onder druk staat, en richt een periodieke reviewcyclus in. De complexiteit zit niet in het begrijpen van het probleem, maar in het volhouden van de discipline om permissies schoon te houden terwijl de organisatie continu verandert.


Dit artikel is geschreven door een van onze partners en valt buiten de verantwoordelijkheid van de redactie.

Google Voeg TechPulse.be toe als favoriete bron op Google!

Gerelateerde artikelen

Volg ons

Google Voeg TechPulse.be toe als favoriete bron op Google!
Haal een HomeWizard in huis en krijg een gratis Energy Display én €50 shoptegoed

Haal een HomeWizard in huis en krijg een gratis Energy Display én €50 shoptegoed

Bespaar nu