Het belang van governance bij IAM
Tools4ever introduceerde recent de nieuwe HelloID Governance module. Met deze module breiden we de ‘core’ Identity Management modules uit met een set gereedschappen om je identiteitsbeheer regelmatig te evalueren en optimaliseren. De tools helpen je het rechtenbeheer beter te integreren met je verdere bedrijfsvoering en compliant te houden met de bestaande wet- en regelgeving. Voorbeelden van zulke hulpmiddelen zijn Reconciliation, Toxic Policies management, Role Mining en Recertification. Wat kun je met deze feature en welke voordelen haal je daaruit?
.webp)
Van Identity Management naar Identity Governance
Veel organisaties zijn tegenwoordig vrijwel volledig gedigitaliseerd en daarmee is je identiteitsbeheer een kritisch bedrijfsproces geworden; de bedrijfsvoering valt immers volledig stil als systemen niet toegankelijk zijn. Ook moet je als organisatie inmiddels aantoonbaar compliant zijn met strikte privacywetgeving en beveiligingsrichtlijnen. Non-compliance raakt de organisatie als geheel want je Identity en Access Management is inmiddels verweven met je hele IT-landschap. Voor de CIO of IT-manager is het dan ook een belangrijk agendapunt en is identity management opgewaardeerd van ‘een’ IT-beheerproces naar een belangrijk governance vraagstuk.
Daarom hebben we voor HelloID geïnvesteerd in een Governance module met tools die naadloos samenwerken met de bestaande Provisioning en Service Automation features. Hiermee kunnen we nu inconsistenties tussen systemen ontdekken en herstellen, beleidsregels verder optimaliseren en voorkomen dat gebruikers ongewenste of onnodige IT-faciliteiten gebruiken. We illustreren het hieronder aan de hand van vier voorbeelden.
Behoud controle over je doelsysteem
Een van de belangrijke winstpunten die we met de governance functionaliteit bereiken, is dat je je IAM platform en de aangesloten doelsystemen synchroon houden.
Met HelloID kun je in principe alle accounts en toegangsrechten beheren. Toch kunnen er inconsistenties ontstaan tussen je IAM platform en de aangesloten doelsystemen. Bijvoorbeeld omdat beheerders ook nog handmatig accounts of rechten aanmaken en bijwerken. Voorheen was het erg lastig om zulke mismatches te achterhalen maar met de Reconciliation tool automatiseren we dit. We kunnen nu regulier de daadwerkelijke instellingen van doelsystemen uploaden en direct vergelijken met de HelloID data. Zo kun je onder andere:
Ontdekken welke accounts en toegangsrechten aanwezig zijn in specifieke doelsystemen, maar nog niet worden beheerd binnen HelloID. En andersom:
Ontdekken welke accounts en toegangsrechten binnen HelloID staan geregistreerd ‘als beheerd’ maar nog niet bestaan in de betreffende doelsystemen.
Van deze verschillen maakt HelloID rapportages en toont het de mogelijkheden om die mismatches op te lossen. Zo kun je onbeheerde accounts in doelsystemen opruimen (als het ‘vervuiling’ betreft), maar je kunt zulke accounts ook juist in beheer nemen (omdat ze in gebruik zijn als bijvoorbeeld service account). Ook kun je accounts die binnen HelloID staan geregistreerd maar in de doelsystemen ontbreken, alsnog laten aanmaken.
Met Reconciliation krijg je dus meer grip op je doelsystemen. Je vergelijkt automatisch de gewenste situatie (SOLL) van HelloID en de actuele situatie (IST) in je doelsystemen. Inconsistenties kun je eenvoudig opsporen en corrigeren. Op die manier is je compliance niet alleen in theorie geborgd binnen HelloID. Je kunt ook de daadwerkelijke compliance in je doelsystemen garanderen.
Voorkom schade door conflicterende toegangsrechten
HelloID biedt een automatisch mechanisme om conflicterende toegangsrechten te detecteren en deze weg te nemen. Zo zorgen we dat je compliant blijft en onnodige kosten voorkomt.
Binnen HelloID provisioning kunnen voor één medewerker meerdere business rules van toepassing zijn. Bijvoorbeeld organisatie brede regels, regels voor iemands afdeling, en functie-specifieke regels. Dan kunnen soms onbedoeld dubbele of tegenstrijdige rechten worden uitgedeeld. Een manager koppelt bijvoorbeeld een medewerker in het HR-systeem aan twee functies. Het gevolg is dat deze collega nu per ongeluk twee conflicterende rechten krijgt toegewezen. Hij of zij mag bijvoorbeeld zowel facturen invoeren als goedkeuren, wat natuurlijk niet past binnen je ‘segregation of duties’. Ook kan het gebeuren dat er onbedoeld dubbele licenties worden verstrekt. Organisatie breed is bijvoorbeeld ooit bepaald dat iedereen standaard een Microsoft E3 licentie krijgt. Later is een regel toegevoegd dat IT-beheerders vanwege hun functie nu een E5 licentie krijgen. Via deze twee regels ontvangen IT-beheerders nu twee licenties.
Met de Toxic Policies functionaliteit kunnen we dit soort strijdige rechten voortaan herkennen, en bepalen hoe we hiermee willen omgaan. Je configureert bijvoorbeeld dat E3 en E5 licenties conflicterend zijn en dat in dat geval alleen een E5 licentie moet worden toegekend. De betreffende gebruiker krijgt hierover een melding en de licentie wordt niet doorgevoerd in het betreffende doelsysteem. Mochten rechten al eerder zijn verstrekt en is hiervoor pas later een regel aangemaakt? Dan wordt het betreffende recht alsnog ingetrokken. Toxic policies beheer werkt dus niet alleen preventief maar ook met terugwerkende kracht.
Je identificeert en verwijdert met je Toxic Policies beheer dus conflicterende toegangsrechten en gebruikersaccounts. Zo beschik je altijd over een extra vangnet om de compliance te borgen en onnodige licentiekosten te voorkomen.
Ontwikkel én optimaliseer je rollenmodel
Een goed en toekomstvast rollenmodel is de basis voor een zorgeloos rechtenbeheer. Daarom zorgen we ervoor dat je probleemloos een eerste basis voor je rollenmodel kunt opzetten en dat je dat stapsgewijs steeds verder kunt uitbouwen en optimaliseren.
Bij de eerste uitrol van je automatische provisioning gebruiken we vaak de Role Mining methodiek. Je combineert daarbij gegevens uit je brongegevens en al eerder verstrekte accounts in doelsystemen om een eerste basis rollenmodel te ontwikkelen. Tegelijkertijd is zo’n eerste model natuurlijk niet in beton gegoten. Je kunt het verder verfijnen en ook de omstandigheden veranderen natuurlijk. Afdelingen worden samengevoegd of juist gesplitst, nieuwe functies worden gecreëerd, systemen worden vervangen en nieuwe applicaties toegevoegd. Een rollenmodel is dus een levend geheel dat je regelmatig opnieuw wilt beoordelen en waar nodig aanpassen.
Daarom hebben we Role Mining functionaliteit nu ingebouwd binnen de governance module. Met behulp van patroonherkenning biedt HelloID regulier aanbevelingen voor het optimaliseren van je autorisatiemodel. Je analyseert met Role Mining je bestaande autorisaties om een model te creëren dat nauw aansluit bij de behoeften van je organisatie.
Met de ingebouwde Role Mining feature in de Governance module kun je dus niet alleen een eerste rollenmodel opstellen. Je kunt dit model vervolgens ook gaandeweg steeds verder verbeteren en optimaliseren. Zo sluiten we perfect aan op de huidige ISO-27001 en vergelijkbare beveiligingsnormen. Daarin is zo’n actieve Plan-Do-Check-Act cyclus een belangrijke voorwaarde. Deze functionaliteit is overigens nu nog niet beschikbaar, maar zal dit jaar geleidelijk worden toegevoegd.
Voorkom rechtenstapeling en hoge licentiekosten
HelloID maakt het mogelijk periodiek te controleren of individueel verstrekte applicaties of rechten nog nodig en gewenst zijn. Zo voorkom je dat gebruikers rechten stapelen en je bespaart op dure applicaties.
Via service automation kun je individuele accounts en rechten verstrekken. Risico is dat zulke rechten soms voor onbeperkte tijd worden verstrekt. Managers controleren dan naderhand niet altijd of de rechten nog nodig zijn. Ook kunnen eerder verstrekte accounts en rechten inmiddels niet meer passen in het organisatiebeleid.
We kunnen dit voorkomen met behulp van de Recertification tool. Hiermee kun je voor eerder verstrekte licenties en rechten regulier een herbeoordeling inplannen waarin de betrokken managers opnieuw een verificatieproces doorlopen. Aan de hand daarvan behoudt de medewerker de licentie of wordt die weer ingetrokken. En mocht de software inmiddels niet meer worden ondersteund door de IT-afdeling, kan er eventueel een alternatief worden aangeboden.
Recertification kun je inplannen aan de hand van campagnes. Zogeheten systeemcampagnes worden gebruikt om organisatie breed accounts en rechten te evalueren. Bijvoorbeeld of applicaties nog passen binnen het IT-beleid. Maar managers kunnen ook een eigen campagne inrichten met een specifiek bereik. Security officers willen bijvoorbeeld evalueren welke medewerkers toegang hebben tot privacygevoelige applicaties en data. En afdelingsmanagers willen wellicht graag campagnes draaien voor dure licenties binnen de eigen afdeling. Na het uitvoeren van zo’n campagne kun je als manager aan de slag met de ‘campaign insights’ en rechten intrekken of juist vernieuwen.
Met Recertification krijgen we dus meer grip op de IT-middelen die we binnen de organisatie gebruiken. We voorkomen dat gebruikers onnodige of ongewenste rechten behouden. En dat doen we bovendien op een efficiënte manier want je kunt je recertification campagnes automatisch laten uitvoeren.
Meer over de Governance module?
We hebben met de Governance module geïnvesteerd in tools die naadloos samenwerken met de bestaande HelloID modules. De voordelen ervan zijn bovendien al merkbaar vanaf de initiële HelloID uitrol. Dat geldt niet alleen voor de Role Mining tool die uiteraard nuttig is bij het opzetten van je eerst rollenmodel. Voor veel klanten blijkt ook de Reconciliation functionaliteit al bij de eerste implementatie enorm nuttig. Ze hebben nu voor het eerst echt inzicht in de al in het verleden verstrekte accounts en rechten in bijvoorbeeld je Active Directory. En bij Recertification of Toxic Policies helpen deze tools al vanaf scratch om je accounts en rechten zo goed mogelijk te beheren.
Samen zijn we in staat de slag te maken naar een identity management dat niet alleen veilig en efficiënt is georganiseerd maar dat we ook steeds verder kunnen optimaliseren, en aantoonbaar compliant is met alle actuele wet- en regelgeving.
Wil je meer weten over de HelloID Governance module? Bekijk onze webinar en ontdek in live demo’s hoe je Governance effectief inzet in de praktijk.
Geschreven door:
Arnout van der Vorst
Maak kennis met Arnout van der Vorst, de inspirerende Identity Management Architect bij Tools4ever sinds het jaar 2000. Na zijn studie Hogere Informatica aan de Hogeschool van Utrecht is hij begonnen als Supportmedewerker bij Tools4ever. Daarna heeft Arnout zich opgewerkt tot een sleutelfiguur in het bedrijf. Zijn bijdragen strekken zich uit van klantondersteuning tot strategische pre-sales activiteiten, en hij deelt zijn kennis via webinars en artikelen.