Het moet de nachtmerrie zijn van elke informatiebeveiliger: de toegang regelen van 17.000 medewerkers tot de systemen van een organisatie waarin ruim 22 miljard euro per jaar omgaat. Uitkeringsinstantie UWV klaarde de klus in ruim twee jaar met RBAC: role based access control.
"Security is een nutsvoorziening. Daar moeten wij als ICT'ers de business mensen niet mee lastig vallen. Wij zijn typisch het soort organisatie waar de output heel belangrijk wordt gevonden. Wat er in de zwarte doos gebeurt, daar is niet zoveel belangstelling voor. En dat geldt al helemaal voor de controle van de toegang tot onze systemen." Toch speelt juist die toegangscontrole een hoofdrol in de ICT van Uitvoeringsinstituut Werknemersverzekeringen (UWV), zegt Bart van Staveren, security officer op het CIO Office van UWV.
Van Staveren: "UWV is nu zes jaar oud en is ontstaan uit de samenvoeging van een aantal uitkeringsinstanties. Bij de vorming van UWV waren er zes stelsels in gebruik plus nog wat extra's. Alle gebruikers waren gewend te werken in hun eigen omgeving met elk een eigen aanpak van de toegangscontrole bij het inloggen. Bij de samenvoeging tot één organisatie ontstonden er nieuwe rollen, nieuwe functies en nieuwe bevoegdheden. Al met al was er sprake van veel onduidelijkheid en ontstond er nogal wat vervuiling in de bevoegdheden van medewerkers. Dat leidde op den duur zelfs tot op- en aanmerkingen van de toezichthouder."
Twee fasen
Actie was dus geboden, en die kwam er. In 2004 zette UWV de eerste stappen op weg naar RBAC, role based access control, waarin op den duur de systeemtoegang en bevoegdheden van alle 20.000 personeelsleden zouden worden vastgelegd. Van Staveren: "We hebben het proces in twee fasen opgeknipt: het nauwkeurig definiëren van de rollen die in de business processen van UWV worden vervuld en het toekennen van precies de juiste hoeveelheid bevoegdheden en toegangsrechten aan elk van die rollen."
De grote verscheidenheid aan systemen die UWV aan de fusie heeft overgehouden, het aantal medewerkers dat bij de operatie is betrokken en de ongeveer 1800 rollen die in de loop van het proces zijn geïdentificeerd, zorgen voor een veranderingstraject van ongekende omvang. "We zijn er meer dan twee jaar intensief mee bezig geweest: we begonnen in 2004 en in 2007 is de implementatie afgerond. Het zwaartepunt van de werkzaamheden van het projectteam lag in 2005 en 2006: het opschonen van de toegangsrechten tot het netwerk, de applicaties en de kantoorautomatisering en de opbouw van de rollenbibliotheek in het personeelsinformatiesysteem," aldus Van Staveren.
Van Staveren is trots dat UWV nu de beschikking heeft gekregen over een modern identity management systeem in een federatieve omgeving, dat single sign-on combineert met functiegerelateerd inloggen. Aan de rollen zijn rechten en plichten toegekend en vervolgens zijn er ICT-voorzieningen aan gehecht. UWV beschikt nu over een heel flexibele oplossing: bij een functieverandering van een van de 17.000 medewerkers gaan de rechten en plichten automatisch mee.
Eén mutatie volstaat
"Eén mutatie is daarvoor voldoende; voordien vereiste dat handmatige aanpassing op het niveau van het netwerk en van elke applicatie. We kunnen nu alles vastleggen tot op een heel gedetailleerd niveau," zegt Van Staveren. RBAC kan alleen goed blijven functioneren als de gegevens goed worden beheerd en voortdurend geactualiseerd. Die taak ligt bij de rollenbeheerder. De taak van die manager is vooral essentieel bij het vertrek van een medewerker. "Een goed beveiligingsbeleid begint bij het adequaat en transparant regelen van de toegang tot de systemen, maar zorgt ook voor het tijdig afsluiten van die toegang zodra iemand ‘uit dienst' gaat."
‘Killen en migreren’
Tegelijk met de opbouw van het RBAC-systeem voor de toegangsrechten is bij UWV ook een grote ICT-consolidatieronde ingezet. Van Staveren: "We houden twee platforms over, waarop onze core-applicaties draaien: AIX (de Unix-variant van IBM) en Wintel. Naast de kantoorautomatisering had UWV in 2006 bij de start van het project ongeveer 1.000 applicaties in de lucht. Daar zijn er nu nog rond de 400 van over. ‘Killen en migreren' noemen we die consolidatieslag."
De totale consolidatie moet voor 1 januari 2009 zijn afgerond. IBM heeft in 2005 de Europese aanbesteding van een nieuw rekencentrum voor UWV binnengehaald. Het zevenjarige contract voorziet in de geleidelijke migratie van de huidige rekencentra naar één centraal rekencentrum. UWV en IBM zijn al een flink eind op streek. "Alle going concern applicaties draaien al bij IBM," zegt Van Staveren. "2008 Is een cruciaal jaar."
Nog meer systemen koppelen, waardoor deze makkelijker toegankelijk worden voor derden. Zo blijft de informatie over miljoenen burgers niet waar die blijven moet. Voor meer info kijk http://www.michelkraay.nl,