Deprovisioning uitgelegd - Tools4ever
Gratis demo Contact
Deprovisioning

Deprovisioning

Wat is deprovisioning?

Deprovisioning is binnen je identity en access management het proces om eerder verstrekte accounts en rechten ook weer in te trekken. Deprovisioning is een belangrijk proces, want door dit goed te organiseren, voorkomen we dat gebruikers onnodig lang dure toegangsrechten houden. Daarom gaan we in dit kennisartikel specifiek in op de deprovisioning aandachtspunten. We doen dit aan de hand van de verschillende manieren van provisioning binnen een moderne Identity en Access Management oplossing als HelloID.

Waarom is deprovisioning belangrijk?

Het organiseren van de provisioning van accounts en rechten heeft uiteraard volop aandacht bij het opzetten van je identity en access managementprocessen. Toch beseffen de meeste mensen gelukkig al snel dat een goede deprovisioning strategie minsten zo belangrijk is, om de volgende redenen:

  • Bij automatische verstrekte accounts en rechten, is het normaliter geen probleem ook de tijdige deprovisioning te automatiseren. Echter, in veel organisaties wordt zo’n 20% van alle rechten handmatig ingesteld. Dan werkt automatische deprovisioning niet.

  • Wet- en regelgeving maakt echter geen onderscheid tussen automatische en handmatig rechtenbeheer. Het Principle of Least Privilege geldt voor álle rechten. Daarom moet je goed borgen dat ook handmatig verstrekte accounts en rechten tijdig worden gedeprovisioned.

  • Non-compliance kan bovendien enorme impact hebben, zeker als het daadwerkelijk leidt tot datalekken. Ze kunnen leiden tot sancties, schadeclaims en reputatieverlies.

  • Daarbij kan het nodeloos actief houden van accounts en rechten leiden tot zeer hoge licentiekosten. Managers vergeten hierop te letten en gebruikers geven rechten zelden proactief terug; mensen hebben de neiging rechten te verzamelen.

  • Tegelijkertijd verbeter je de gebruikerservaring als je ervoor zorgt dat rechten wél tijdig worden gedeprovisioned. Je toont hiermee je professionalisme en mensen beseffen dat je ook met hun eigen gegevens zorgvuldig omgaat.

Hoe werkt automatisch provisioning en deprovisioning in de praktijk

Bij HelloID automatiseren we de uitgifte van accounts en rechten op basis van zogeheten Role Based Access Control (RBAC) of Attribute Based Access Control (ABAC). Bij deze concepten verstrek je accounts en rechten op basis van eenduidig geregistreerde gegevens van de gebruikers. Zoals iemands functie of rol binnen de organisatie maar ook andere attributen kunnen worden gebruikt zoals de afdeling, locatie of competenties. Deze gegevens zijn eenduidig vastgelegd in een bronsysteem zoals de HR-applicatie en aan de hand daarvan kan HelloID bepalen welke accounts en rechten iemand nodig heeft. Het platform zorgt vervolgens dat deze instellingen automatisch in de betrokken doelsystemen worden doorgevoerd. Je kunt in HelloID bijvoorbeeld via zogeheten business rules ervoor zorgen dat verpleegkundigen in een ziekenhuis automatisch alleen toegang krijgen tot patiëntgegevens van de afdeling waar ze werkzaam zijn. We voorkomen zo ongeautoriseerde toegang tot andere afdelingen.

Het mooie aan deze automatische verstrekking is dat ook wijzigingen automatisch worden doorgevoerd. Krijgt iemand een andere functie of gaat de medewerker op een andere afdeling werken dan worden deze wijzigingen geregistreerd in het HR-systeem. HelloID herkent deze wijzigingen en past automatisch de relevante accounts en toegangsrechten aan. Daar hoort ook bij dat als iemand bepaalde rechten of accounts niet meer nodig heeft, HelloID automatisch de deprovisioning verzorgt. Rechten worden weer ingetrokken, accounts geblokkeerd en – afhankelijk van de geconfigureerde business rules – uiteindelijk ook weer afgebroken. En als het dienstverband wordt beëindigd, worden op die manier alle accounts automatisch gedeprovisioned. Er is dus niet alleen sprake van automatische provisioning maar ook van geautomatiseerde deprovisioning.

Met deze automatisering weet je dat iedereen op ieder moment voldoet aan het zogeheten Principle of Least Privilege (PoLP). Dit principe betekent kortweg dat iedereen op ieder moment alleen de accounts en rechten mag krijgen die strikt noodzakelijk zijn voor je taken en verantwoordelijkheden. Met onze automatische verstrekking krijgt iemand altijd alleen de hoogstnoodzakelijke rechten en dankzij automatische deprovisioning zorgen we ook dat overbodige rechten direct weer worden ingetrokken. Je beschikt altijd over de vereiste rechten, maar ook nooit meer dan dit.

Individuele rechten deprovisionen

Onze ervaring is dat je normaliter zo’n 80% van accounts en toegangsrechten kunt automatiseren op basis van RBAC of ABAC. Tegelijkertijd zijn er dus altijd nog individuele toegangsrechten nodig. Als iemand naast de reguliere functie ook als BHV-er aan de slag gaat, kun je daar soms aanvullende licenties of rechten voor nodig hebben; terwijl zo’n extra taak meestal niet in het HR-systeem wordt vastgelegd. Hetzelfde geldt voor iemand die gaat meedraaien in een specifiek project. Ook dat vind je niet terug in iemands HR-gegevens, terwijl je bijvoorbeeld wel toegang moet krijgen tot een bijbehorende projectmap of een specifieke licentie nodig hebt.

Zulke accounts en rechten kunnen dus alleen individueel worden verstrekt, en verzoeken daarvoor worden vaak handmatig ingediend en afgehandeld via de helpdesk. Met de HelloID Service Automation module kunnen we deze verzoeken wel verder stroomlijnen en automatiseren. Je kunt bijvoorbeeld aanvragen zoveel mogelijk via een self-service portaal afhandelen waarbij we configureerbare workflows gebruiken om automatisch de juiste manager(s) om toestemming vragen. Ook worden alle behandelde verzoeken automatisch geregistreerd ten behoeve van audits.

Maar ook al stroomlijnen we zo die individuele uitgifte van accounts en rechten, de deprovisioning ervan blijft een aandachtspunt. Bij automatische verstrekking van rechten weten we ook dat diezelfde gegevens weer automatisch worden deprovisioned als ze niet meer nodig zijn. Bij individuele toegangsrechten is het vaak niet helder hoelang mensen rechten nodig hebben en het resultaat is dat mensen rechten soms veel te lang mogen houden. Hoe lossen we dat op? We beschrijven het hieronder.

Deprovisioning en compliance

Bij de individuele verstrekking is het risico dus dat dit voor onbepaalde tijd is. Een manager heeft voor een medewerker bijvoorbeeld toegang gevraagd tot een projectmap of een aparte licentie aangevraagd. Op het moment dat de aanvraag wordt ingediend, wordt nog een keer expliciet gecheckt of iemand deze faciliteiten echt nodig heeft en het ook binnen de beleidsregels past. Maar daarna is het betreffende recht vaak ‘uit beeld’. Het risico is dat iemand vanaf dat moment de betreffende rechten heeft, niemand er meer oog op heeft en de gebruiker de rechten houdt tot het moment dat hij uit dienst gaat. Dat is om twee redenen ongewenst:

  • De kracht van automatische uitgifte en deprovisioning van rechten is dat je op ieder moment voldoet aan het Principle of Least Privilege. Verstrekte rechten worden ook automatisch weer tijdig ingetrokken. Bij individuele rechtenverstrekking is dat niet gegarandeerd en ben je dus niet compliant met dit concept. Voor zowel de AVG als informatiebeveiligingsrichtlijnen als ISO 27001, de BIO of de NEN 7510 is dit een belangrijke eis.

  • Daarnaast geef je zo onnodig veel kosten uit aan dure licenties. In plaats dat zo’n licentie tijdelijk voor een paar maanden wordt verstrekt, houdt iemand de licentie voor de rest van het dienstverband, soms jarenlang. Als je als organisaties geen zicht hebt op zulke individueel verstrekte licenties, kan dat ongemerkt een enorme kostenpost worden.

Het is dus belangrijk dat je ook bij die individuele accounts en rechten processen inbouwt om rechten weer tijdig te deprovisionen. Met HelloID bieden we twee mechanismes voor automatische deprovisioning:

  • Allereerst kun je bij de uitgifte van individuele licenties en rechten al direct een beperkte geldigheid instellen van bijvoorbeeld een half jaar. Daarna worden de rechten automatisch weer ingetrokken. Voor accounts en rechten waar we bij aanvang al weten voor hoelang de periode moet lopen, is dit de eenvoudigste aanpak.

  • Voor rechten die voor onbeperkte tijd zijn verstrekt kun je met de Governance module zogeheten recertification campagnes inplannen. Hiermee kun je aan de hand van specifieke filters (bijvoorbeeld dure licenties of toegangsrechten met een hoog risico) campagnes samenstellen en waarin managers die eerdere zulke rechten hebben goedgekeurd deze opnieuw moet beoordelen. Alleen als deze het betreffende recht opnieuw goedkeurt en er ook geen andere blokkades zijn – een applicatie kan bijvoorbeeld inmiddels niet meer passen binnen het IT-beleid – wordt deze verlengd. Zo niet wordt het account of toegangsrecht deprovisioned.

Met deze twee maatregelen kun je ook bij individueel verstrekte rechten garanderen dat tijdige deprovisioning plaatsvindt. Zo blijven we compliant met de relevante wet- en regelgeving en besparen we op onze licentiekosten.

Samenvatting: verschil provisioning en deprovisioning

Je ziet dus dat voor een professioneel identity en access management niet alleen de provisioning van accounts en rechten goed moet worden georganiseerd. Ook de tijdige en correcte deprovisioning van rechten en accounts moet zijn geborgd. Dit proberen we zoveel mogelijk te automatiseren. Hiermee geven we de beste garantie op compliance met wet- en regelgeving. We vatten hieronder nog even de rol van provisioning en deprovisioning samen. Dat doen we aan de hand van de verschillende fases binnen iemands identity lifecycle.

 

Provisioning

Deprovisioning

Instroomproces

Aan de hand van gebruikersattributen (bijv. iemands functie) worden accounts en rechten automatisch verstrekt

-

Doorstroomproces

Bij wijzigingen (nieuwe functie, afdeling etc.) kunnen nieuwe accounts en/of rechten nodig zijn. Deze worden automatisch geprovisioned

Bij wijzigingen kunnen ook eerder verstrekte accounts en/of rechten niet langer nodig zijn. Deze worden automatisch gedeprovisioned

Individuele verzoeken

Waar relevant en op verzoek kunnen individuele accounts en/of rechten worden geprovisioned. Dit kan via de helpdesk of door self-service.

Als een eerder individueel verstrekte account en/of recht niet langer nodig is, moet deprovisioning plaatsvinden.

Uitstroomproces

-

Als een gebruiker de organisatie verlaat, worden alle accounts en rechten eerst geblokkeerd. Vervolgens worden ze aan de hand van beleidsregels op het juiste tijdstip gedeprovisioned.

 Deprovisioning tips & trucs

We schetsten al het belang van automatische deprovisioning. Zo voorkom je non-compliances, datalekken en schadeclaims. Ook voor de deprovisioning van incidenteel verstrekte rechten noemden we hulpmiddelen zoals de recertification functionaliteit. En er zijn meer mogelijkheden om te zorgen dat ongebruikte rechten zo snel mogelijk worden opgeruimd. We noemen er een paar:

  • Bewustwording. Zeker voor de incidenteel verstrekte licenties en rechten is het belangrijk dat je managers en medewerkers bewust maakt van de kosten én de risico’s. Niemand laat expres de kraan openstaan en eenzelfde bewustzijn moet je proberen te kweken rond je IT-faciliteiten.

  • Blijf optimaliseren. Met de governance module beschik je over tools als role mining om je rollenmodel te verbeteren. Ook kun je de uitgifte van conflicterende rechten voorkomen. Het helpt je om zo weinig mogelijk rechten te verstrekken en dit bovendien zoveel mogelijk te automatiseren.   

  • Bewaak de consistentie tussen de geregistreerde accounts en rechten in je IAM platform en de werkelijke situatie in doelsystemen. Zo voorkom je dat accounts en rechten administratief niet (meer) bestaan, maar in de doelsystemen gewoon nog actief zijn. Hiervoor kun je de HelloID reconciliation functionaliteit inzetten.

Meer informatie over de HelloID deprovisioning mogelijkheden?

Met de geautomatiseerde user provisioning functionaliteit borg je binnen HelloID dat deprovisioning zoveel mogelijk automatisch wordt uitgevoerd. Daarnaast kan onze Service Automation module ervoor zorgen dat bij individueel verstrekte rechten na een bepaalde periode weer automatische deprovisioning plaatsvindt. En tenslotte kunnen we met de governance features bewaken dat rechten niet onnodig of te lang worden verstrekt. Je vindt meer over de mogelijkheden in ons HelloID module overzicht.

HelloID module overzicht

Deprovisioning is het proces om toegangsrechten en gebruikersaccounts te verwijderen als een medewerker de organisatie verlaat of van functie verandert. Deprovisioning helpt beveiligingsrisico’s te verminderen door ongebruikte toegangsrechten te beëindigen.

Het Principle of Least Privilege (PoLP) houdt in dat gebruikers slechts de minimaal noodzakelijke toegangsrechten krijgen om hun taken uit te voeren. Met dit principe verminderen we de beveiligingsrisico’s.

Compliance is zodanig werken dat je als organisatie voldoet aan de geldende wet- en regelgeving, branche- en sectorrichtlijnen en de eigen interne beleidsregels. Overheden, partners en klanten verwachten steeds meer dat organisaties hun compliance proactief kunnen aantonen.