Afgelopen zondag liet onderzoeksjournalist Alberto Stegeman in het SBS 6-programma ‘Undercover in Nederland’ zien hoe hij met een toegangspas van een oud-medewerker een neppistool de rechtbank van Utrecht binnen smokkelde. Had dit voorkomen kunnen worden?
Het bleek dat sommige oud-medewerkers hun pasje niet hebben ingeleverd en dat die kaart nog bruikbaar is. Zodoende kunnen onbevoegden zonder controle in de beveiligde personeelsruimtes van de rechtbankgebouwen komen. Als reactie daarop besloot de Raad voor de Rechtspraak alle twaalfduizend passen die medewerkers van rechtbanken gebruiken te vervangen.
Het toekennen van toegang tot fysieke ruimtes is in feite een onderdeel van de user life-cycle van een medewerker. Onder de user life-cycle verstaan we de stappen die een medewerker (user) binnen een organisatie doorloopt. Van in dienst, doorstroom tot uit dienst. Iedere stap heeft consequenties voor de toegangsrechten die een gebruiker heeft in het netwerk (logische toegang), maar ook voor de fysieke toegang. Op het moment dat een medewerker in dienst treedt, dienen de juiste toegangsrechten worden aangemaakt. Gedurende het dienstverband van de medewerker moeten deze toegangsrechten accuraat blijven en zoals we hebben kunnen lezen is het zeer belangrijk dat alle verleende toegangsrechten worden ingetrokken als de medewerker de organisatie verlaat.
Voor het beheren van de user life-cycle is het hr-systeem een uitstekende bron. Immers, veel van de informatie die nodig is voor het beheren van de life-cycle bevindt zich al in het hr-systeem en wordt goed onderhouden. Denk bijvoorbeeld aan naw-gegevens, start- en einddatum van het contract, kostenplaats, functie, ‘manager-medewerker’-relatie en afdeling. Door deze informatie met behulp van identitymManagement-software te koppelen aan het netwerk en een security-managementsysteem, is het mogelijk om het hr-systeem als basisregistratie te gebruiken voor het beheren van logische en fysieke toegangsrechten.
Toegangsrechten
Zo kan voor een nieuwe medewerker die wordt opgevoerd in het hr-systeem automatisch een netwerkaccount worden aangemaakt en op basis van de functie die de medewerker binnen de organisatie heeft ook logische toegangsrechten worden toegekend. Door een koppeling met een security-managementsysteem kan vervolgens automatisch een toegangspas met specifieke rechten worden toegewezen aan de nieuwe medewerker. En wanneer het contract van de medewerker eindigt, is dat ook kenbaar in het hr-systeem. De medewerker krijgt immers ook geen salaris meer. De toegangspas kan dankzij de applicatiekoppeling automatisch worden geblokkeerd als de medewerker geen contract meer heeft.
Organisaties moeten erkennen dat de registratie en autorisatie van gebruikerspassen een essentieel onderdeel is van de user life-cycle van medewerkers. Door het hr-systeem als kernregistratiesysteem te behandelen wordt een medewerker op één punt, uniform en gecontroleerd, vastgelegd en nemen alle andere systemen (waaronder security-managementsystemen) deze gegevens over.
Helemaal waar. Maar er moet in praktijk natuurlijk wel mee omgegaan worden zoals je graag ziet bij een kernregistratie: actueel en accuraat registreren, terugmelden bij fouten of bijzondere omstandigheden (tijdens de vakantie ook blocken?) en zorgen dat andere systemen inderdaad betrouwbaar kerngegevens overnemen en er naar handelen. Doe je dat niet dan zullen de nieuwe pasjes op een dag ook weer oud zijn…
Zoals Ad al zegt, waarheid als een koe.
Daarom zou het interessant zijn om te weten waar het nu echt is misgegaan. Dat de techniek ons hierbij kan helpen moge immers duidelijk zijn. De praktijk blijkt echter weerbarstiger.
Kijkend naar de grote bedrijven waar ik afgelopen jaren gewerkt heb, is er niet één waar ik alles met 1 en hetzelfde userid kon doen. Is het dan zo vreemd dat systemen op een gegeven moment niet meer gesynchroniseerd zijn en dit soort mogelijkheden gecreëerd worden?