3 september 2014 -
In de huidige complexe bedrijfsomgevingen is het cruciaal om de toegang tot gevoelige informatie goed te beheren. Er zijn meerdere mogelijkheden om informatiebeveiliging te reguleren.
Dat stelt Arnout van der Vorst, Identity Management Architect bij Tools4ever. Eén van die mogelijkheden is geautomatiseerd user lifecycle management.Van der Vorst: "Onder de user lifecycle verstaan we de stappen die een user/gebruiker binnen een organisatie doorloopt. Van in dienst, doorstroom tot uit dienst. Iedere stap heeft consequenties voor de toegangsrechten die een gebruiker heeft in het netwerk. Bij de eerste stap dienen de juiste toegangsrechten worden aangemaakt voor de nieuwe medewerker. Gedurende het dienstverband van de medewerker moeten deze toegangsrechten accuraat blijven en uiteraard dienen alle verleende toegangsrechten ingetrokken te worden als de medewerker de organisatie verlaat."
Drie stappen
Voor iedere stap van de user lifecycle zijn oplossingen beschikbaar. Hieronder volgt een uiteenzetting.
1. In dienst: toekennen rechten nieuwe medewerker
Wanneer een medewerker in dienst komt heeft hij toegang nodig tot het netwerk en moet hij gebruik kunnen maken van diverse applicaties. Normaal gesproken is een IT-afdeling verantwoordelijk voor het toekennen van deze toegangsrechten. Dit is handmatig werk en daarom kostbaar en foutgevoelig. Er zijn softwareoplossingen verkrijgbaar die de mogelijkheid bieden om een HR-systeem te koppelen aan de Active Directory. Wanneer een nieuwe medewerker wordt opgevoerd in het HR-systeem, wordt er automatisch een gebruikersaccount in het netwerk aangemaakt. Door vervolgens gebruik te maken van een op rollen gebaseerde matrix voor toegangsbeheer (RBAC) is het dan ook mogelijk om automatisch rechten toe te wijzen aan dit nieuwe account op basis van de afdeling, locatie en functie van die nieuwe medewerker. Op deze manier worden nooit teveel rechten toegekend en informatiebeveiliging wordt daardoor verbeterd.
2. Doorstroom: Extra rechten tijdens dienstverband
Toegangsrechten hebben vaak de neiging om tijdens het dienstverband van een medewerker verschillende domeinen binnen te sluipen. Zo is het mogelijk dat er speciale rechten voor een project worden toegekend aan een gebruiker die waarneemt voor een collega die met verlof is. Het kan ook gebeuren dat een medewerker van afdeling wisselt of nieuwe verantwoordelijkheden krijgt en de oude toegangsrechten behoudt. Het intrekken van deze speciale of historische rechten vindt zelden plaats. Voor dit soort gevallen zijn er ook softwareoplossingen beschikbaar. Deze maken het mogelijk om de rechten van medewerkers te analyseren en de resultaten om te zetten in praktische informatie waarop actie kan worden ondernomen. Een dergelijke oplossing kan bijvoorbeeld detecteren of iemand rechten heeft op projectmappen of rechten heeft op applicaties die in een andere (oude) functie worden gebruikt en niet bij de huidige functie horen.In het geval van onregelmatigheden kan er een melding worden verzonden naar de manager en de eigenaar van het systeem, die vervolgens een controle kunnen uitvoeren en waar nodig de toegangsrechten kunnen intrekken.
3. Uitstroom: Rechten afnemenDe laatste stap in het proces wordt vaak over het hoofd gezien of niet op tijd uitgevoerd. Dit gaat om het intrekken van toegangsrechten tot het netwerk, data en alle applicaties, inclusief cloud-gebaseerde oplossingen. Dit is iets wat direct moet gebeuren wanneer een medewerker uit dienst gaat, maar helaas vaak wordt vergeten.
Bij het opzetten van een proces voor medewerkers die uit dienst treden, is het meest gebruikelijke scenario om een koppeling met het HR-systeem te realiseren. Wanneer een medewerker de organisatie verlaat, moet er een synchronisatieproces in werking treden dat de gebruikersaccounts voor alle interne en externe systemen beslaat. Daarvoor kan bijvoorbeeld gebruik worden gemaakt van een webservices of application programming interfaces (API’s) of een e-mailworkflow waarbij eigenaars van systemen een melding ontvangen dat ze de gebruikersaccount van de vertrekkende medewerker moeten deactiveren.
Automatisch proces
"Is het voor uw organisatie van groot belang om de juiste beveiligingsmaatregelen te treffen? Zodat medewerkers tijdens hun dienstverband toegang hebben tot alle relevante data, groepen en applicaties — en niet meer dan dat? En is het al even belangrijk dat alle toegang wordt ingetrokken zodra uw medewerkers de organisatie verlaten? Het hele user life cycle proces kan geautomatiseerd verlopen en dat is een goede en eenvoudige stap richting optimale informatiebeveiliging," besluit Van der Vorst.
