Role Based Access Control (RBAC) en Access Governance zijn twee termen die door elkaar worden gebruikt. Is het dan een andere term voor hetzelfde? Of juist niet? Wat zijn de verschillen en hoe kom je van RBAC naar Acces Governance? Laten we daar eens even induiken.
Role Based Access Control (RBAC) is een term die al langer bekend is. RBAC is een methode om het autorisatiebeheer binnen een organisatie in te richten. Access Governance is een term die minder bekend is. Access Governance is eigenlijk een verzamelterm voor het vakgebied waar RBAC slechts een onderdeel van vormt. Access Governance is een verzameling van methodes waarmee volledige controle wordt verkregen op de uitgifte en inname van autorisaties in het netwerk. RBAC is samen met Attestation, Recertification, Risk Management en Compliance Policies onderdeel van Access Governance. In het vervolg van deze tekst leg ik deze termen verder uit.
RBAC is eerste stap
Wanneer organisaties een start willen – of vaker in verband met wetgeving moeten – maken met het gestructureerd beheren van autorisaties is RBAC of ABAC (Attribute Based Access Control) vaak een eerste stap. In die eerste stap gaat men ervan uit dat personen bepaalde ‘attributen’ hebben, die vervolgens bepalen wat de rol is van die persoon en de bijbehorende autorisaties. Attributen kunnen functie, afdeling en locatie van een persoon zijn. Deze attributen zijn heel goed uit een payroll systeem te halen. Daarin staan immers deze gegevens voor iedere medewerker. Bij RBAC/ABAC wordt een model opgesteld met een overzicht van alle attributen, rollen en bijbehorende autorisaties, het zogenaamde RBAC-model. Simpel gezegd vertelt dit model dus ‘Jij doet dit, dus dan mag je dat in het netwerk.’ Het gaat in dit geval wel vaak om geboorterechten. Dit zijn rechten die personen standaard krijgen als zij in dienst treden, bijvoorbeeld toegang tot internet, Outlook of misschien een financieel pakket als de persoon op de finance afdeling werkzaam wordt.
Recertification & Attestion
Het opgezette RBAC-model is echter niet heilig. Omdat de organisatie in beweging is (denk aan reorganisaties, fusies et cetera) verandert de samenstelling van de attributen (het payroll-systeem) continu. Daarnaast verandert het netwerklandschap. En dit betekent dat het opgezette model regelmatig herzien moet worden. Het valideren van het RBAC-model wordt ook wel Recertification genoemd. Bij Recertification wordt dus bekeken of de autorisaties die een persoon krijgt op basis van zijn attributen binnen de organisatie nog kloppen.
Naast het valideren van het opgezette RBAC-model heeft Access Governance als onderdeel om ook de werkelijkheid te toetsen. Dit wordt Attestation genoemd. Bij Attestation wordt bij de organisatie zelf nagevraagd of de toekenning van bepaalde autorisaties van medewerkers inderdaad kloppen. Per organisatie-eenheid (OU) wordt nagevraagd of medewerkers nog in dienst zijn, en zo ja of het klopt dat zij autorisaties X, Y en Z hebben. Deze autorisaties zijn vaak optionele rechten die niet standaard worden toegekend, maar zijn toegekend na een aanvraag en een goedkeuring van een manager. Deze controle moet ook periodiek worden uitgevoerd.
Role mining
Het opgezette RBAC-model kan steeds verder worden uitgewerkt, zodat ook op detailniveau automatisch rechten kunnen worden uitgedeeld en weer ingenomen. Eén manier om het model verder uit te werken is door het toepassen van role mining. Bij role mining wordt op basis van de bestaande situatie patronen in autorisaties ontdekt en in het model verwerkt. Het kan bijvoorbeeld zijn dat negen van de tien personen uit een bepaalde groep medewerker autorisatie A hebben. De organisatie kan dan bepalen dat voor deze groep medewerkers de autorisatie als geboorterecht gaat gelden.
Risk management
Een andere toevoeging aan het RBAC-model ligt op het gebied van risicoprofielen. Met Risk Management is het mogelijk om op basis van bepaalde attributen (bv. afdeling) een risicoprofiel toe te voegen. Een medewerker die op de afdeling marketing werkt kan zo een lager risicoprofiel krijgen als iemand op de afdeling financiën, omdat deze persoon bijvoorbeeld ook facturen goed kan keuren. Er kan worden ingesteld dat wanneer een risico boven een bepaalde waarde is, dat vier-ogen een eventuele autorisatie goed moet keuren. Het voordeel van het toevoegen van risico management is dat een security officer snel kan zien wie een hoog risicoprofiel heeft en wat deze personen qua autorisaties mogen in het netwerk. Daarnaast hebben organisaties ook de mogelijkheid om een extra controle toe te passen wanneer iemand van marketing naar de financiële afdeling doorstroomt, wat een verhoging van het risicoprofiel met zich meebrengt.
Compliance policies
Om nog meer controle te krijgen over autorisaties kunnen tenslotte nog policies worden toegevoegd. Dit zijn algemene regels waar een organisatie waar aan moet voldoen om compliant te zijn. Regels kunnen bijvoorbeeld zijn: Er mogen niet meer dan 25 personen toegang hebben tot Visio, of er mogen niet meer dan 10 domain admin accounts zijn. Al deze regels moeten voorkomen dat conflicten worden voorkomen. Wanneer regels worden overschreden krijgt een security officer of licentiemanager een signaal en kan hij direct ingrijpen.
Role Based Access Control is eigenlijk een eerste fase van Access Governance. Veel organisatie beginnen bij deze fase en werken zo toe naar een model waarbij volledige controle is over de uitgifte en inname van autorisaties.
Mooi verhaal. Het beschrijft echter een ideaal. De praktijk is natuurlijk weerbarstig.
Het bedenken van Access-rechten of toegangsprofielen is geen probleem. Iemand een profiel toekennen ook niet – behalve als er personeelstekort of haast is. Dan krijgt iemand “alvast” bepaalde rechten – nog voor hij door een screening is gekomen, zoals de politiemol in Limburg.
Bij vertrek uit de organisatie hoort men het aan iemand verleende profiel in te trekken. Dat “komt later wel”, zoals (weer) bij de politiemol in Limburg.
Een organisatie waar ik gewerkt heb, reorganiseerde frequent wegens snelle krimp en groei. Daardoor werden bevoegdheden steeds anders verdeeld, en werden nieuwe profielen samengesteld. Personeelsleden kregen er niet een nieuw profiel, maar kregen het nieuwe profiel er gewoon bij – wel zo gemakkelijk en nooit gezeur. Oudgedienden hadden stapels profielen. Na verloop van tijd waren er meer verschillende profielen in omloop dan er personeelsleden waren (1000). Ga dat maar eens saneren!
Eerlijkheidshalve moet ik er wel bij zeggen dat het bedenken en verlenen van profielen was toevertrouwd aan de automatiseringsafdeling en daar hadden ze een faciliterende houding, niet een handhavende.
Accumulatie van rechten is een groot probleem zoals je zelf al stelt. Instromers krijgen rechten om te kunnen werken, maar bij uitstroom of doorstroom is de noodzaak niet om rechten te ontnemen. De organisatie geeft dit zelf ook onvoldoende aan (zowel wat de rechten zouden moeten zijn als het tijdstip van de door/uitstroom) en zoals je ook aangeeft stelt ICT zich dan op als eigenaar i.p.v. facilitator. Ik zie organisaties die van bovenaf rollen willen definiëren, wat een goed initiatief is maar natuurlijk ook tijdrovend. Met tooling kun je echter ook van onderaf eerst via mining gaan kijken wat de werkelijkheid is en deze met een kritische blik onderverdelen in een top X rollen, dan ben je in ieder geval de kraan aan het dichtdraaien.
Arnout
Mooi verhaal maar naast het probleem van Identity Lifecycle Management (ILM), waarbij naast de provisioning en decommisioning ook de accumulatie van rechten meegenomen moet worden, zal de mapping van digitale profielen naar organisatorische rollen uiteindelijk vanuit het HRM domein gedaan moeten worden. En hoe goed is de personele administratie aangaande alle functies, rollen en governance?
En het is daarom nog maar de vraag of het profiel van de financiële administratie een hoger risico heeft dan die van marketing. Een simpele risico profilering maakt duidelijk dat interne fraude veel vaker voortkomt in de hoek van de verwachting dan van het resultaat. Het is een simpel gegeven dat de kans van optreden hierbij groter wordt als de kans van ontdekking afneemt want nadat het kalf verdronken is dekt men de doofpot zoals de ‘curious case’ van NZa bewijst.
Access control begint met informatie classificatie waarbij je de R/O rechten niet moet verwarren met de delete operatie van de papierversnipperaar. Den Haag we hebben een probleem, RBAC was ooit bedoeld als administratief model voor de Systems of Record (SoE) die vervangen zijn door de Systems of Engagement (SoE) met de ‘selfservice’ van Delegation of Control. En met alle ongecontroleerde ICT uitbestedingen is de governance dan ook gewoon een chaos, het idee van mining klinkt daarom als het sorry achteraf.
Voor alle duidelijkheid, techniek is geen antwoord voor slecht beleid.
“RBAC is samen met Attestation, Recertification, Risk Management en Compliance Policies onderdeel van Access Governance.”
“Al deze regels moeten voorkomen dat conflicten worden voorkomen.” 😉
Wat een hoop interessantdoenerij. Hoe zat het trouwens met die Governance bij het bonnetje van Teeven ? Moest die nou gevonden worden of juist niet ? Het wachten is op de eerste Bigdata algoritmen om iets niet te vinden in een berg data, waarbij aangetoond kan worden dat heel uitvoerig gezocht werd.
Theorie en techniek zijn geen oplossing voor alles zoals terecht wordt opgemerkt. De praktijk leert dat als bij een organisatie de ambitie hoog is en de volwassenheid laag, dat een dergelijk project veel begeleiding nodig heeft. Niet elke organisatie bereikt het gestelde einddoel maar maakt wel belangrijke stappen door bijvoorbeeld groepsaccounts uit te faseren, geen kopie van een collega voor de rechten meer toe te staan of door externen en leveranciers goed te registreren.
Theorie en techniek zijn geen oplossing voor alles zoals terecht wordt opgemerkt. De praktijk leert dat als bij een organisatie de ambitie hoog is en de volwassenheid laag, dat een dergelijk project veel begeleiding nodig heeft. Niet elke organisatie bereikt het gestelde einddoel maar maakt wel belangrijke stappen door bijvoorbeeld groepsaccounts uit te faseren, geen kopie van een collega voor de rechten meer toe te staan of door externen en leveranciers goed te registreren.
Arnout
Theorie en techniek zijn prima op elkaar af te stemmen als je processen kloppen, voordat je gaat beginnen over ambitie en volwassenheid misschien handig om uit te leggen dat RBAC vooral gaat om de Segregation of Duties wat lastig wordt als je meerdere petten op hebt.
Fijn dat Dino na brabbelt wat ik al zei in voorgaande reactie over de ‘ik doe wat ik zeg, ik zeg wat ik doe en bewijs dat’ van de audit. Big Data biedt ons namelijk prachtige mogelijkheden om alle fraudeleuze handelingen op te sporen, digitaal rechercheren wordttenslotte steeds makkelijker gemaakt met de digitale transformatie van nieuwe middelen en oude processen.
Een kamervoorzitter die een uitgeprinte e-mail door de papierversnipperaar haalt geeft al aan dat er nog wat ‘disconnected’ processen zijn. Zou de werkelijk achterliggende reden voor het afsluiten van het digitale kanaal voor de WOB bij veel gemeenten niet gewoon zijn oorzaak hebben in oude processen en nieuwe techniek?