De Global Admin-rol reviewen: de zwaarste categorie

Als er één categorie is waar review-discipline cruciaal is, is het Global Admin en vergelijkbare rol-rollen. Hier de afzonderlijke procedure die hier bovenop de standaard review staat.

Global Admin, AWS root, Salesforce system admin, GitHub org owner — deze rollen krijgen aparte behandeling in elke review. Geen bulk, geen steekproef, volle zichtbaarheid.

Wat review je per Global Admin?

• Nog in functie?
• Daadwerkelijk gebruikt afgelopen kwartaal? (log-check)
• Voldoet aan PAM-beleid — dedicated admin account, hardware MFA, niet voor dagelijks werk?
• Is er een back-up persoon die dezelfde toegang kan overnemen? (minstens 2, niet 1)
• Wachtwoord sinds rol-toekenning geroteerd?

Wat als iemand het 90 dagen niet gebruikt?

Red flag. Ofwel ze hebben het niet nodig — revoke. Ofwel ze doen admin-werk stiekem via hun normale user-account (policy-violation). Hoe dan ook: conversation nodig.

Just-in-time als volwassen antwoord

In Entra ID kun je PIM inzetten: Global Admin-rechten staan niet permanent aan, iemand activeert ze voor max. 8 uur met collega-approval. Elke activatie is bewijs. Zie M365 governance voor de setup.

Rapportage

Aparte sectie in het review-rapport — "Privileged Access Review" — getekend door directie. Ook als er geen wijzigingen zijn.

Zie ook: PAM-artikel, review-pillar.