Word partner
Word gematcht
IBgidsNL
Vind een aanbieder
Bedrijven 643 cybersecurity aanbieders ZZP'ers Freelance security professionals Sprekers Experts voor jouw event
Governance, Risk & ComplianceTraining & AwarenessSecurity AssessmentsIdentity & Access ManagementCloud SecurityEndpoint SecurityNetwork SecurityMonitoring & Incident ResponseManaged Security ServicesData SecuritySoftware SecurityTalent & Staffing
MKBOverheidOnderwijsZorgITTransportTelecomIndustrieRetailFinancieelEnergieDefensie
Werk & events
Vacatures Cybersecurity banen in Nederland Evenementen Conferenties, meetups en training
Kennisbank
Nieuws Laatste cybersecurity-nieuws Blog Artikelen en inzichten Bedrijfsupdates Updates van partners Externe bronnen Geselecteerde bronnen Woordenboek Cybersecurity begrippen Auteurs Onze kennisexperts
Aanmelden
Bedrijf aanmelden Kom op IBgidsNL als aanbieder ZZP'er aanmelden Meld je profiel aan als freelancer Spreker aanmelden Voor events en lezingen Auteur aanmelden Schrijf voor IBgidsNL
Word gematcht

Functiescheiding

Concepten

Uitgangspunt dat er verschillende personen nodig zijn om een serie van kwetsbare activiteiten uit te voeren. Dit zijn activiteiten die men eenvoudig kan misbruiken of een hoge mate van beveiliging vereisen. Bijvoorbeeld, een persoon geeft toestemming voor een nieuw account. Een ander maakt het account aan en weer een ander bepaalt de rechten die iemand krijgt. Zo kan niet één persoon alles zelf uitvoeren waardoor het risico op misbruik afneemt.

Functiescheiding, in het Engels segregation of duties (SoD), is een fundamenteel principe binnen informatiebeveiliging en organisatiebeheersing. Het houdt in dat kritieke taken en verantwoordelijkheden worden verdeeld over meerdere personen, zodat geen enkel individu volledige controle heeft over een compleet proces. Dit principe voorkomt fraude, fouten en misbruik van bevoegdheden door een systeem van checks and balances te creeren. Functiescheiding speelt een centrale rol in frameworks zoals ISO 27001, de BIO en NIS2-regelgeving.

Het concept stamt oorspronkelijk uit de financiele wereld, waar het al decennialang standaardpraktijk is dat degene die een betaling aanmaakt niet dezelfde persoon is die deze goedkeurt. In de context van cybersecurity is functiescheiding minstens zo belangrijk geworden. Een systeembeheerder die zowel toegangsrechten kan toekennen als transacties kan uitvoeren, vormt een beveiligingsrisico. Functiescheiding dwingt organisaties om taken zo te verdelen dat minimaal twee personen nodig zijn voor het uitvoeren van kritieke handelingen. Dit geldt voor zowel IT-processen als bedrijfsprocessen.

Waarom is functiescheiding belangrijk?

Functiescheiding is een van de meest effectieve maatregelen tegen interne dreigingen. Volgens onderzoek is een aanzienlijk deel van alle beveiligingsincidenten te herleiden naar interne actoren, of het nu gaat om opzettelijk misbruik of onbedoelde fouten. Door taken te scheiden verklein je de kans dat een enkele medewerker, bewust of onbewust, schade kan aanrichten aan je organisatie.

Voor Nederlandse organisaties is functiescheiding extra relevant vanwege wet- en regelgeving. De BIO (Baseline Informatiebeveiliging Overheid) schrijft functiescheiding expliciet voor als norm OR.02. ISO 27001 behandelt het onder controle 5.3 als onderdeel van de organisatorische beveiligingsmaatregelen. Met de komst van NIS2 en de Cyberbeveiligingswet worden steeds meer organisaties verplicht om aantoonbaar functiescheiding toe te passen in hun processen. Niet-naleving kan leiden tot boetes en aansprakelijkheid voor bestuurders.

Daarnaast vergroot functiescheiding de betrouwbaarheid van je audit trail. Wanneer meerdere personen betrokken zijn bij kritieke processen, ontstaat er automatisch een controlemechanisme. Afwijkingen worden sneller opgemerkt omdat elke stap in een proces door een andere persoon wordt uitgevoerd of gecontroleerd. Dit maakt het ook eenvoudiger om tijdens een security audit aan te tonen dat je organisatie adequate beheersmaatregelen heeft getroffen.

Hoe pas je functiescheiding toe?

De implementatie van functiescheiding begint met het in kaart brengen van alle kritieke processen en de bijbehorende rollen. Identificeer welke taken een risico vormen als ze door dezelfde persoon worden uitgevoerd. Typische voorbeelden zijn het scheiden van ontwikkeling en productie-deployment, het scheiden van gebruikersbeheer en systeembeheer, en het scheiden van goedkeuring en uitvoering van financiele transacties.

Op technisch niveau implementeer je functiescheiding via role-based access control (RBAC). Je definieert rollen met specifieke rechten en wijst medewerkers toe aan rollen die niet conflicteren. Moderne identity and access management systemen kunnen automatisch controleren of rolcombinaties een SoD-conflict opleveren. In DevOps-omgevingen betekent functiescheiding dat een developer niet dezelfde persoon is die code naar productie deployt, en dat wijzigingen altijd een goedkeuringsproces doorlopen via pull requests met verplichte reviews.

Voor kleinere organisaties kan strikte functiescheiding een uitdaging zijn vanwege beperkte personele bezetting. In dat geval kun je compenserende maatregelen treffen, zoals uitgebreide logging, periodieke controles door een externe partij, of het vier-ogenprincipe waarbij twee personen gezamenlijk kritieke handelingen goedkeuren. Het belangrijkste is dat je de afweging expliciet maakt en documenteert welke risico’s je accepteert wanneer volledige functiescheiding niet haalbaar is.

Functiescheiding in de praktijk

Een middelgroot productiebedrijf implementeert functiescheiding in zijn IT-afdeling als volgt. De netwerkbeheerder beheert de firewallregels, maar heeft geen toegang tot de applicatieservers. De applicatiebeheerder beheert de software, maar kan geen netwerkwijzigingen doorvoeren. De securitymanager bewaakt de logging en rapportages, maar heeft geen beheertoegang tot systemen. Wijzigingen aan kritieke systemen vereisen goedkeuring van minimaal twee personen via een change management proces.

In de praktijk levert functiescheiding soms spanning op met de behoefte aan snelheid en flexibiliteit. Wanneer een storing zich voordoet buiten kantooruren en slechts een persoon beschikbaar is, kan strikte functiescheiding vertragend werken. Organisaties lossen dit op met break-glass procedures: noodtoegang die de functiescheiding tijdelijk doorbreekt, maar waarbij alle handelingen automatisch worden gelogd en achteraf worden beoordeeld. Deze procedures zijn zelf ook onderworpen aan strikte regels en worden jaarlijks getest.

Functiescheiding gaat verder dan IT alleen. In het inkoopproces is het gebruikelijk om degene die een bestelling plaatst te scheiden van degene die de factuur betaalt. Bij incident response worden de rollen van coordinator, technisch onderzoeker en communicatieverantwoordelijke bewust bij verschillende personen belegd. Dit voorkomt dat een individu zowel de omvang van een incident kan bepalen als de communicatie erover kan sturen.

Een ander belangrijk aspect van functiescheiding is de scheiding tussen ontwikkel-, test- en productieomgevingen. Developers mogen geen directe toegang hebben tot productiesystemen, en beheerders van productie mogen geen code kunnen wijzigen. Deze scheiding voorkomt dat een enkele persoon ongetest code in productie kan plaatsen of productiedata kan manipuleren. In cloud-omgevingen implementeer je dit door aparte accounts of subscriptions te gebruiken per omgeving, elk met hun eigen toegangsrechten en beveiligingspolicies.

Het documenteren van je functiescheidingsmatrix is een essentieel onderdeel van het proces. In deze matrix leg je vast welke rollen bestaan, welke rechten elke rol heeft en welke rolcombinaties niet zijn toegestaan. Deze matrix vormt de basis voor periodieke SoD-reviews en maakt het eenvoudig om bij organisatiewijzigingen te controleren of de functiescheiding intact blijft. Bewaar de matrix als levend document en actualiseer het bij elke wijziging in de organisatiestructuur of IT-omgeving. Automatiseer waar mogelijk de controle op SoD-conflicten via je identity management systeem.

Veelgestelde vragen over functiescheiding

Wat is het verschil tussen functiescheiding en het vier-ogenprincipe?

Functiescheiding verdeelt taken structureel over verschillende rollen, terwijl het vier-ogenprincipe vereist dat twee personen gezamenlijk een specifieke handeling goedkeuren. Het vier-ogenprincipe is vaak een compenserende maatregel wanneer volledige functiescheiding niet mogelijk is.

Is functiescheiding verplicht voor het MKB?

Functiescheiding is niet wettelijk verplicht voor alle MKB-bedrijven, maar wordt sterk aanbevolen door ISO 27001 en is verplicht voor organisaties die onder NIS2 of de BIO vallen. Bovendien verwachten auditors en verzekeraars steeds vaker dat je functiescheiding toepast als onderdeel van je risicobeheer.

Hoe implementeer je functiescheiding met een klein team?

Bij kleine teams is volledige functiescheiding lastig. Gebruik compenserende maatregelen zoals uitgebreide logging, periodieke externe reviews, het vier-ogenprincipe voor kritieke handelingen, en automatische alerts bij afwijkend gedrag. Documenteer bewust welke risico’s je accepteert.

Welke IT-taken moeten minimaal gescheiden worden?

De belangrijkste scheidingen zijn: ontwikkeling versus productie-deployment, gebruikersbeheer versus systeembeheer, goedkeuring versus uitvoering van wijzigingen, en backup-beheer versus restore-autorisatie. Elke combinatie van deze rollen bij een persoon vormt een beveiligingsrisico.

Hoe controleer je of functiescheiding effectief is?

Voer periodieke SoD-reviews uit waarbij je rolcombinaties controleert op conflicten. Gebruik IAM-tools die automatisch SoD-violations detecteren. Analyseer audit logs op patronen die wijzen op het omzeilen van functiescheiding en test break-glass procedures jaarlijks.

Zorg voor goede functiescheiding in je organisatie. Bekijk Governance, Risk & Compliance oplossingen op IBgidsNL.