RBAC, ofwel Role Based Access Control, is in! Steeds meer organisaties die ik spreek zien het belang van op een gestructureerde wijze toekennen en beheren van autorisaties in het netwerk. De situatie is nu vaak dat bij het toekennen van autorisaties een kopie gemaakt van een collega die ‘ongeveer’ dezelfde functie heeft. Zo krijgen nieuwe medewerkers vaak toegang tot systemen en applicaties die zij helemaal niet nodig hebben. Er wordt zelden aandacht besteed aan het ontnemen van autorisaties na het kopiëren van een gebruiker. En dat heeft consequenties voor onder meer de licentiekosten en de informatiebeveiliging.
RBAC is één van de mogelijkheden om dit probleem op te lossen. RBAC bestaat uit een matrix van rollen, functies en specifieke toegangsrechten. Als bijvoorbeeld een nieuwe medewerker in dienst komt, dan wordt via de RBAC matrix bepaalt wat de nieuwe medewerker mag op het netwerk. Zover de theorie. In de praktijk blijkt dat met name het vullen van een dergelijke matrix veel problemen met zich meebrengt. Want medewerkers voelen zich vaak uniek en dit leidt niet zelden tot net zoveel rollen als er medewerkers zijn. En dat levert uiteindelijk een eindeloze en onwerkbare matrix op. Organisaties zijn daarom bang om RBAC binnen hun organisatie te implementeren. Toch zijn er organisaties die eraan beginnen en er dan naar streven om 100 procent van de medewerkers in de RBAC matrix te krijgen. Dit is mijns inziens onbegonnen werk en neemt jaren tijd in beslag van zowel management als de Security-officer.
Wil je een snelle start maken met RBAC? Dat is heel goed mogelijk, maar streef dan niet naar 100 procent in de eerste instantie. Op basis van de informatie uit het HR-systeem is het heel goed mogelijk om de top 50 meest voorkomende combinaties van afdelingen en functies in de organisatie te ontdekken. Hiermee kan al 80 procent van de RBAC matrix worden gevuld. En dat kan al binnen een paar dagen! Vervolgens wordt via een workflowapplicatie de overige 20 procent handmatig ingevuld door de manager van een medewerker.
Het kan misschien wel jaren duren voordat de RBAC matrix 100 procent ingevuld is, maar door gebruik te maken van bestaande systemen en bronnen – zoals het HR-systeem – én het centraal stellen van de manager wordt het vullen van de RBAC matrix een hanteerbaar proces met een direct resultaat. Dat betekent voordeel met betrekking tot haalbaarheid van RBAC, de hoeveelheid benodigde moeite en een positieve IT audit-normering. Een indirecte spin-off is een reductie van onder meer licentiekosten, opslag en security-incidenten.
Meer informatie over RBAC van Tools4ever kan je vinden op Hoe werkt Role Based Access Control RBAC by Indentity Management?
woensdag 18 augustus 2010
donderdag 1 juli 2010
IAM valkuilen voor directie en Raad van Bestuur
Ik kom bij veel organisaties over de vloer en praat dan meestal met de afdeling ICT over het stroomlijnen van user account beheer. Liever zie ik ook een business manager aan tafel. Maar het implementeren van een Identity en Access Management (IAM) technologie wordt binnen organisaties bijna altijd gezien als een puur technische zaak. En natuurlijk moet er technisch één en ander gebeuren om het beheren van identiteiten (léés user accounts) te vereenvoudigen. Denk maar aan het stroomlijnen van het user accountbeheer door helpdesk, applicatiebeheerders en systeembeheerders. En dan hebben we vaak te maken met een mix van systemen en applicaties.
Echter, de scope van een IAM oplossing beperkt zich volgens mij absoluut niet alleen tot de afdeling ICT en heeft een veel bredere impact. Raad van Bestuur en directie realiseren zich (nog) niet dat een IAM-omgeving ook een aantal belangrijke organisatorische wijzigingen met zich meebrengt. En daarmee stoten zij zich tegen het hoofd.
Bredere impact
Een IAM-omgeving heeft effect op de gehele organisatie en niet alleen ICT. Zo kan de technologie een belangrijke rol spelen als het gaat om het naleven van wet- en regelgeving of vraagt het van de organisatie om eens goed na te denken over de hiërarchie. Echter, veel organisaties zien dit niet en ontwikkelen geen beleid ten aanzien van een IAM-omgeving. Deze organisaties trappen in een aantal valkuilen.
Mogelijke valkuilen
Een eerste valkuil is dat organisaties te ‘snel’ willen voldoen aan auditeisen en daarvoor simpelweg een export/rapportage oplossing implementeren. Zij voldoen hiermee aan de gestelde auditeisen, maar het is zeker geen structurele oplossing. Want vervuiling die ooit is ontstaan in het bronsysteem komt bij iedere rapportage weer boven.
Hieruit vloeit direct een tweede valkuil. Organisaties die geen beleid uitdenken, stellen het bronsysteem – lees HR-systeem - niet centraal als het gaat om het bijhouden van in- en uitdienst, wijzigingen van functie en/of afdeling en de hiërarchie van alle medewerkers, inclusief uitzendkrachten, freelancers, interim medewerkers en vrijwilligers. En wat is er nu mooier dan een bronsysteem gebruiken dat altijd up-to-date is.
Daarnaast vergeten de organisaties vaak de medewerker en de manager centraal te stellen in het IAM proces. Daarentegen staat de afdeling ICT centraal. De manager weet exact welke resources haar/zijn medewerkers nodig hebben om hun werkzaamheden te kunnen uitvoeren. En een medewerker is prima instaat om aan te geven wat zij/hij nodig heeft om werkzaamheden uit te voeren. Door de medewerker en manager zelf resources te laten aanvragen, wordt de afdeling ICT minder belast met dit soort taken. En de lastige en langdurige communicatie tussen ICT en manager over de juiste resources blijft achterwege.
Tot slot
Tot slot resulteert het ontbreken van een beleid in de valkuil om veel stappen in het IAM-proces tegelijk in te voeren, terwijl dit juist heel goed gefaseerd kan.
Het wordt tijd dat ICT en de business samenwerken als het gaat om het implementeren van een Identity & Access Management omgeving. En dat bestaat uit zowel technologie als beleid. Creëer zo veel mogelijk draagvlak bij het management om te voorkomen dat uw organisatie ook in een valkuil belandt.
Lees meer op de website van Tools4ever over Indentity & Access Management oplossingen en wat dit voor uw organisatie kan betekenen.
Echter, de scope van een IAM oplossing beperkt zich volgens mij absoluut niet alleen tot de afdeling ICT en heeft een veel bredere impact. Raad van Bestuur en directie realiseren zich (nog) niet dat een IAM-omgeving ook een aantal belangrijke organisatorische wijzigingen met zich meebrengt. En daarmee stoten zij zich tegen het hoofd.
Bredere impact
Een IAM-omgeving heeft effect op de gehele organisatie en niet alleen ICT. Zo kan de technologie een belangrijke rol spelen als het gaat om het naleven van wet- en regelgeving of vraagt het van de organisatie om eens goed na te denken over de hiërarchie. Echter, veel organisaties zien dit niet en ontwikkelen geen beleid ten aanzien van een IAM-omgeving. Deze organisaties trappen in een aantal valkuilen.
Mogelijke valkuilen
Een eerste valkuil is dat organisaties te ‘snel’ willen voldoen aan auditeisen en daarvoor simpelweg een export/rapportage oplossing implementeren. Zij voldoen hiermee aan de gestelde auditeisen, maar het is zeker geen structurele oplossing. Want vervuiling die ooit is ontstaan in het bronsysteem komt bij iedere rapportage weer boven.
Hieruit vloeit direct een tweede valkuil. Organisaties die geen beleid uitdenken, stellen het bronsysteem – lees HR-systeem - niet centraal als het gaat om het bijhouden van in- en uitdienst, wijzigingen van functie en/of afdeling en de hiërarchie van alle medewerkers, inclusief uitzendkrachten, freelancers, interim medewerkers en vrijwilligers. En wat is er nu mooier dan een bronsysteem gebruiken dat altijd up-to-date is.
Daarnaast vergeten de organisaties vaak de medewerker en de manager centraal te stellen in het IAM proces. Daarentegen staat de afdeling ICT centraal. De manager weet exact welke resources haar/zijn medewerkers nodig hebben om hun werkzaamheden te kunnen uitvoeren. En een medewerker is prima instaat om aan te geven wat zij/hij nodig heeft om werkzaamheden uit te voeren. Door de medewerker en manager zelf resources te laten aanvragen, wordt de afdeling ICT minder belast met dit soort taken. En de lastige en langdurige communicatie tussen ICT en manager over de juiste resources blijft achterwege.
Tot slot
Tot slot resulteert het ontbreken van een beleid in de valkuil om veel stappen in het IAM-proces tegelijk in te voeren, terwijl dit juist heel goed gefaseerd kan.
Het wordt tijd dat ICT en de business samenwerken als het gaat om het implementeren van een Identity & Access Management omgeving. En dat bestaat uit zowel technologie als beleid. Creëer zo veel mogelijk draagvlak bij het management om te voorkomen dat uw organisatie ook in een valkuil belandt.
Lees meer op de website van Tools4ever over Indentity & Access Management oplossingen en wat dit voor uw organisatie kan betekenen.
vrijdag 25 juni 2010
Koppelen van Beaufort, AFAS, SAP HCM, Active Directory, Exchange, TopDESK, PlanON, Ultimo, etc.
Een medewerker in een organisatie heeft vaak toegang tot meerdere applicaties in het netwerk. De toegang wordt gereguleerd door authenticatie (username/password) en autorisatie (toegang tot resources binnen de applicatie) van de medewerker in het netwerk. Het beheer van de authenticatie en autorisaties is belegd bij de afdeling ICT en de functioneel beheerders van de applicaties.
Het efficiënt en effectief inrichten van het beheer van de authenticatie en autorisaties is één van de onderdelen van Identity en Access Management. Een belangrijk criterium bij de keuze van een Identity en Access Management oplossing is de mogelijkheid om te kunnen koppelen met de betreffende systemen.
Welke aspecten zijn hierbij van belang? Hieronder worden een aantal punten belicht die u wellicht kunnen helpen bij de afweging om een systeem te koppelen.
Type koppelingen
Meestal wordt er een onderscheid gemaakt tussen een bronkoppeling en een doelkoppeling. Een bronkoppeling is de input/invoer voor het identity management proces en is de start voor het in-/uit- en doorstroomproces van een user account van een medewerker. Gangbare bronsystemen zijn: PZ systeem, Datawarehouse, flexpoolsysteem, rooster- en planningsystemen, etc. Een doelkoppeling is een afnemend systeem van het identity management proces (ook wel downstream provisioning genoemd). Het identity management systeem beheert dan volledig automatisch de user accounts tbv authenticatie en autorisatie in het doelsysteem.
Welke doelsystemen moeten gekoppeld worden?
Tijdens de eerste oriëntatie van een identity management systeem wordt vaak aangegeven dat alle of zoveel mogelijk applicaties gekoppeld moeten worden. Waarbij zoveel gestreefd wordt naar 100% auto provisioning. Dit streven is begrijpelijk maar wellicht niet verstandig omdat, zoals zovaak, 100% automatisering meestal sub optimaal is. Ik kom vaak organisaties tegen met een applicatielandschap van +500 applicaties en een wens om zoveel mogelijk te koppelen. Het is dan goed om te kijken hoeveel user accounts per applicatie beheerd moeten worden. Indien een applicatie minder dan 300 user accounts heeft, loont (een positieve ROI) het over het algemeen niet om een koppeling te realiseren. Aan de andere kant is het beter om met de applicaties te beginnen waar nagenoeg iedere medewerker een account in heeft. Denk hierbij aan Active Directory, Email (Exchange), zorgsysteem, internetportaal, telefoonboek, telefooncentrale, facility management systeem, etc.
Koppelingen van Tools4ever
Om een implementatie snel en kostenefficiënt te realiseren is het van belang dat de leverancier van de identity management oplossing een groot aantal out-of-the-box koppelingen beschikbaar heeft. Voor een Nederlands bedrijf is het dan goed om te kijken naar ondersteuning van locale (Nederlandse) systemen en applicaties. Denk hierbij aan koppelingen met Beaufort, AFAS, TopDesk, Ultimo, EZIS (Chipsoft), Focus/Helios (Databalk), Cura (Unit4), etc. Tools4ever is een van oorsprong Nederlands softwarebedrijf en heeft een groot aan koppelingen direct beschikbaar. Zie Koppelingen Beaufort, AFAS, SAP HCM, Active Directory, Exchange, TopDESK, PlanON, Ultimo voor een overzicht van de koppelingen.
Het efficiënt en effectief inrichten van het beheer van de authenticatie en autorisaties is één van de onderdelen van Identity en Access Management. Een belangrijk criterium bij de keuze van een Identity en Access Management oplossing is de mogelijkheid om te kunnen koppelen met de betreffende systemen.
Welke aspecten zijn hierbij van belang? Hieronder worden een aantal punten belicht die u wellicht kunnen helpen bij de afweging om een systeem te koppelen.
Type koppelingen
Meestal wordt er een onderscheid gemaakt tussen een bronkoppeling en een doelkoppeling. Een bronkoppeling is de input/invoer voor het identity management proces en is de start voor het in-/uit- en doorstroomproces van een user account van een medewerker. Gangbare bronsystemen zijn: PZ systeem, Datawarehouse, flexpoolsysteem, rooster- en planningsystemen, etc. Een doelkoppeling is een afnemend systeem van het identity management proces (ook wel downstream provisioning genoemd). Het identity management systeem beheert dan volledig automatisch de user accounts tbv authenticatie en autorisatie in het doelsysteem.
Welke doelsystemen moeten gekoppeld worden?
Tijdens de eerste oriëntatie van een identity management systeem wordt vaak aangegeven dat alle of zoveel mogelijk applicaties gekoppeld moeten worden. Waarbij zoveel gestreefd wordt naar 100% auto provisioning. Dit streven is begrijpelijk maar wellicht niet verstandig omdat, zoals zovaak, 100% automatisering meestal sub optimaal is. Ik kom vaak organisaties tegen met een applicatielandschap van +500 applicaties en een wens om zoveel mogelijk te koppelen. Het is dan goed om te kijken hoeveel user accounts per applicatie beheerd moeten worden. Indien een applicatie minder dan 300 user accounts heeft, loont (een positieve ROI) het over het algemeen niet om een koppeling te realiseren. Aan de andere kant is het beter om met de applicaties te beginnen waar nagenoeg iedere medewerker een account in heeft. Denk hierbij aan Active Directory, Email (Exchange), zorgsysteem, internetportaal, telefoonboek, telefooncentrale, facility management systeem, etc.
Koppelingen van Tools4ever
Om een implementatie snel en kostenefficiënt te realiseren is het van belang dat de leverancier van de identity management oplossing een groot aantal out-of-the-box koppelingen beschikbaar heeft. Voor een Nederlands bedrijf is het dan goed om te kijken naar ondersteuning van locale (Nederlandse) systemen en applicaties. Denk hierbij aan koppelingen met Beaufort, AFAS, TopDesk, Ultimo, EZIS (Chipsoft), Focus/Helios (Databalk), Cura (Unit4), etc. Tools4ever is een van oorsprong Nederlands softwarebedrijf en heeft een groot aan koppelingen direct beschikbaar. Zie Koppelingen Beaufort, AFAS, SAP HCM, Active Directory, Exchange, TopDESK, PlanON, Ultimo voor een overzicht van de koppelingen.
dinsdag 12 januari 2010
Ga voor de quick win in Indentity Management!
Organisaties beginnen inmiddels de noodzaak voor een identity management oplossing in te zien. Dat wordt vooral gedreven door compliance en auditing eisen. Maar organisaties zijn erg huiverig voor het implementeren van een identity management oplossing. Waardoor komt dat?
Het antwoord is op die vraag eenvoudig. Een strategische identity management omgeving gaat in veel gevallen gepaard met een langdurig implementatietraject; meerdere consultants, projectleiders en allerlei administratieve en organisatorische handelingen die bij ieder IT-project komen kijken. En dan nog maar te zwijgen over het prijskaartje wat sommige leveranciers hanteren. Mijns inziens kan met een IDM project zeer snel en eenvoudig een eerste stap naar een complete identity management worden gezet.
In zo’n eerste stap kan bijvoorbeeld een koppeling tussen een HR-systeem met de Active Directory worden gerealiseerd. Eventuele functiewijzigingen en medewerkers die in of uit dienst treden binnen een organisatie kunnen geheel of automatische gesynchroniseerd worden in de Active Directory. Een eerste stap kan er voor zorgen dat user account direct aangemaakt zijn en het basis account (bijvoorbeeld Exchange en Office) direct beschikbaar is voor de medewerker. Resultaat, een significante reductie van de doorlooptijd en een verhoogde productiviteit van medewerkers.
En de eerste stap naar een strategische identity management omgeving is daarmee gezet. Al binnen enkele weken. Die omgeving kunt u vervolgens verder gefaseerd uitbouwen met bijvoorbeeld workflow management, RBAC of auditing.
Uit ervaring weet ik dat 20 procent van de effort 80 procent van het resultaat oplevert. Mijn advies is dus “schrap de poespas en ga voor de quick win. ”
Lees meer over de mogelijkheden van Identity Management op: complexiteit beheer user accounts medewerker in een organisatie
Het antwoord is op die vraag eenvoudig. Een strategische identity management omgeving gaat in veel gevallen gepaard met een langdurig implementatietraject; meerdere consultants, projectleiders en allerlei administratieve en organisatorische handelingen die bij ieder IT-project komen kijken. En dan nog maar te zwijgen over het prijskaartje wat sommige leveranciers hanteren. Mijns inziens kan met een IDM project zeer snel en eenvoudig een eerste stap naar een complete identity management worden gezet.
In zo’n eerste stap kan bijvoorbeeld een koppeling tussen een HR-systeem met de Active Directory worden gerealiseerd. Eventuele functiewijzigingen en medewerkers die in of uit dienst treden binnen een organisatie kunnen geheel of automatische gesynchroniseerd worden in de Active Directory. Een eerste stap kan er voor zorgen dat user account direct aangemaakt zijn en het basis account (bijvoorbeeld Exchange en Office) direct beschikbaar is voor de medewerker. Resultaat, een significante reductie van de doorlooptijd en een verhoogde productiviteit van medewerkers.
En de eerste stap naar een strategische identity management omgeving is daarmee gezet. Al binnen enkele weken. Die omgeving kunt u vervolgens verder gefaseerd uitbouwen met bijvoorbeeld workflow management, RBAC of auditing.
Uit ervaring weet ik dat 20 procent van de effort 80 procent van het resultaat oplevert. Mijn advies is dus “schrap de poespas en ga voor de quick win. ”
Lees meer over de mogelijkheden van Identity Management op: complexiteit beheer user accounts medewerker in een organisatie
Abonneren op:
Posts (Atom)
