Bij veel organisaties is door de jaren heen de nodige vervuiling opgetreden in de rechtenstructuur van het filesysteem. Dit kan een technische vervuiling zijn als gevolg van bijvoorbeeld wijziging van gebruikte server (van Novell naar NT4 naar Windows 2003 en vervolgens Windows 2008, et cetera). Dit kan ook het gevolg zijn van organisatorische veranderingen, zoals het centraliseren van ict-diensten en samenvoegen van afdelingen. Wat is de impact van deze vervuiling op de organisatie?
Vrijwel iedere organisatie begint om de zoveel jaar met een schone lei en dan ziet de wereld van mappen en rechten er gestructureerd uit. Na verloop van tijd verandert de samenstelling van de organisatie en de samenstelling van de gebruikte data. Een structuur van mappen en rechten beweegt helaas niet zo flexibel mee met de organisatie. En zo ontstaat geleidelijk een structuur en indeling van rechten die niet meer goed overeenkomt met de behoeften van de organisatie.
Instroom, doorstroom en uitstroom
De groeiende afwijking die ontstaat wordt groter omdat vervuiling mee gekopieerd wordt met iedere mutatie in het personeelsbestand. Instroom, doorstroom en in mindere mate uitstroom van personeel gaat gepaard met het uitdelen van rechten op een structuur die uit de pas gaat lopen met de organisatie. Wanneer een gestandaardiseerd en genormaliseerd proces voor het verwerken van deze mutaties ontbreekt, dan kunnen problemen in de rechtenstructuur en security-incidenten eenvoudig ontstaan. Een praktijkvoorbeeld:
Bij het toekennen van autorisaties voor een nieuwe arts in een ziekenhuis wordt een kopie gemaakt van een collega in een soortgelijke functie. Het risico hiervan is dat de nieuwe arts zo autorisaties krijgt die hij helemaal niet nodig heeft. De voorbeeldpersoon had bijvoorbeeld extra rechten om bestanden in een projectmap te kunnen bewerken. Er is ook een gevaar dat de voorbeeldgebruiker lid is van autorisaties (groepen) die op hun beurt ook weer lid zijn van groepen die vervolgens rechten uitdelen. Zo is de impact bijna niet te overzien.
In de praktijk wordt er weinig aandacht besteed aan het ontnemen van autorisaties wanneer een kopie wordt gemaakt van een andere medewerker. Het is immers van groter belang dat de nieuwe medewerker direct zijn/haar werk kan doen en in eerste instantie niet wat er mogelijk teveel gedaan kan worden. Daarnaast is de it-afdeling niet altijd op de hoogte van welke toegang tot gedeelde data en projectmappen exact nodig is. De nieuwe arts krijgt zo ongewenst en ongezien te veel rechten op mappen in het filesysteem en heeft toegang tot strikt persoonlijke patiëntgegevens.
Ook bij doorstroom van personeel, bijvoorbeeld een arts-assistent wordt arts in het ziekenhuis, gaat het vaak mis, omdat extra rechten worden toegekend die nodig zijn in de nieuwe functie en ‘oude’ rechten niet worden afgenomen.
Bij uitstroom van medewerkers moeten de bijbehorende user account tijdig worden vergrendeld zodat de toegang tot de bestanden en mappen ook direct wordt stopgezet. De situatie die dan ontstaat is dat het user account nog wel toegang heeft tot de bestanden en mappen, echter het user account kan niet meer voor de toegang gebruikt worden. In het geval van een (tijdelijke) ontgrendeling van het user account is alle toegang direct weer actief. Bij uitstroom is het daarom goed om over alternatieven na te denken, zoals het overzetten van de rechten van de medewerker naar de leidinggevende.
Compliance en audits
Organisaties die niet kunnen garanderen dat zij hun rechtenstructuur op orde hebben, lopen het risico dat zij niet compliant zijn met interne en/of externe wet- en regelgeving. Een opsomming van meest voorkomende compliancy-issues die gaan spelen wanneer de rechtenstructuur vervuild is:
• Informatiebeveiliging: Het komen tot een adequate informatiebeveiliging vereist een goede en accurate controle op de personen die toegang hebben tot vertrouwelijke informatie, zoals patiëntgegevens. Bij vervuiling in de rechtenstructuur kan adequate informatiebeveiliging niet worden gegarandeerd.
• Telefonie en internettoegang: Sommige organisaties hanteren strikt beleid over wie internettoegang mag krijgen. Internettoegang wordt dan gezien als een extra autorisatie, omdat het kan leiden tot hoge belasting van de bandbreedte en tot improductiviteit bij medewerkers. Wanneer rechten worden gekopieerd kunnen dit soort extra autorisaties worden mee gekopieerd.
• Downloaden: Veel organisaties hebben een strikt beleid omtrent het downloaden en installeren van software op het eigen werkstation. Veelal geldt dat medewerkers na initiële installatie van hun pc geen andere software mogen installeren. Dit om hardnekkige virussen te voorkomen. Wanneer rechten gekopieerd worden van met name oudere medewerker in een soortgelijke functie, gaat het regelmatig mis. Medewerkers die al meer dan tien jaar in dienst zijn, hebben zich vaak wel het recht verworven om software te downloaden.
Vervuiling voorkomen
De map ‘rechtenstructuur’ is een levend wezen. Het verandert van dag tot dag en er zit veel menselijke interactie in. Het is daarom onrealistisch om te denken dat vervuiling in de rechtenstructuur volledig voorkomen kan worden. Waar menselijke interactie is, worden immers fouten gemaakt. Het is wel mogelijk om zo veel mogelijke menselijke handelingen te automatiseren en de standaardiseren.
Zo is het mogelijk om beheertaken, zoals create, delete user, reset wachtwoord, et cetera, te automatiseren met identity en access management-software. Met het inrichten van een identity management (idm)-oplossing kan het inrichten van toegangsrechten goed en secuur ingericht worden middels een automatische ontmantelingsprocedure of aanpassing van de toegangsrechten bij uitdiensttreding of functiewijziging. De idm-oplossing zorgt voor een automatische koppeling tussen de contractgegevens van medewerkers in het personeelssysteem en de Active Directory. Voor de niet-loondienstmedewerkers (externe partij, uitzendkrachten, maatschappen, et cetera) kunnen zaken ingeregeld worden als beperkte levensduur van het gebruikersaccount.
Door dit te combineren met role based access control (rbac) wordt naast userbeheer ook autorisatiebeheer geautomatiseerd. Volgens de rbac-methode worden autorisaties niet op individuele basis toegekend, maar op basis van rollen die zijn opgebouwd uit afdeling, functie, locatie en kostenplaats van een medewerker. Op basis van de rol die iemand vervult in de organisatie kan bij indiensttreding een account worden aangemaakt, waarmee hij/zij toegang krijgt tot exact de juiste applicaties die hij of zij nodig heeft voor het uitoefenen van zijn werkzaamheden. De leidinggevende hoeft geen aanvullende actie ondernemen zoals extra rechten toewijzen. Op het moment dat een rol van een persoon wijzigt, is de mutatie in het personeelssysteem de trigger om ook de rechten aan te passen aan de nieuwe rol en de voormalige rechten op te heffen.
Arnout van der Vorst is identity management architect bij Tools4ever
@Henri,
Toch denk ik dat je een gesprekje met een IAM consultant zou moeten hebben om wat nieuwe inzichten op het gebied van IAM en ook zaken zoals RBAC te krijgen.
@Ewout:
Ik kan me voorstellen dat je deze ervaring hebt. Er zijn genoeg ITèrs die heel sterk vanuit techniek denken en niet vanuit de behoefte van de klant. Een mooi voorbeeld was een artikel over IT Store op deze site van een tijd geleden, dat door een consultant geschreven was die smoorverliefd was op de techniek van een leverancier, hij was de behoefte van zijn klanten vergeten.
Zeer mee eens dat voor het bepalen van rollen bij de business moet zijn. Het bepalen van rollen zien we als een onderdeel van het functioneel ontwerp van een IAM traject. Een collega van mij zei eerder in zijn artikel:
“Het opstellen van het functioneel ontwerp mag geen feestje van de automatiseringsafdeling zijn. In tegendeel, de business en organisatie moeten achter dit document staan”
http://cio.nl/it-beheer/82689-van-statische-bedrijfsprocessen-naar-domino-effect
Herkenbaar artikel, en volgens mij is de context van dit artikel de basis geweest van wat we nu IAM noemen.
Het artikel positioneert de eigen toolbox, echter het grootste probleem ligt bij de moeder van alle problemen Microsoft. De SID history zou je bij migraties of grote veranderingen achter willen laten, omdat niemand de helpdesk wil opschalen met 2-300% na een migratie adviseert iedereen om de problemen uit vervlogen tijden maar mee te nemen…en daarmee wordt de continuïteit van problemen tot in den eeuwigheid gewaarborgd. Met dank aan…
Verder raad ik iedereen aan om met simpele tools te starten om indienst, doorstroom en uitdienst in te regelen op basis van een HRM systeem. Dat kom je de grootste problemen al tegen, namelijk dat er geen goede afspraken zijn, dat iedere afdeling zijn eigen afspraken wil en dat HRM systemen ook niet altijd up-to-date zijn. Als je na 12-18 maanden dit hebt getackeld, kan je eens naar andere tools gaan kijken.
Het aanschaffen van een IAM tool om allerlei zaken te gaan blokkeren is m.i. pertinent fout, je hebt je AD policies oftewel een punt van entry om beveiligingen aan te maken en niet 2 systemen. IAM is 80% organisatie en 20% tooling.