2. User account life-cycle
• Instroom
– Autorisaties voor de eerste keer uitdelen
– Hoge impact op productiviteit
• Doorstroom
– Extra autorisaties uitdelen
– Overbodige autorisaties ontnemen? Hoe?
– Gemiddelde impact op productiviteit
• Uitstroom
– Lage impact, lage prioriteit
2
3. Instroom
• Registratie bij HRM leidend en tijdig?
• Functies en afdeling gestroomlijnd?
• Wat heeft een nieuwe medewerker nodig?
• “Copy user syndroom”
• “Daar hebben we formulieren voor”
• “We willen wel iets met rollen”
3
4. Doorstroom
• Nieuwe autorisaties uitdelen, zelfde
problematiek als bij instroom
• Overbodige autorisaties intrekken, welke zijn dit
dan?
• “Grace-period” waarin zowel oude als nieuwe
autorisaties blijven gelden
• Wanneer ga je de autorisaties uitdelen?
• Welke rol speelt een leidinggevende hierin?
4
5. RBAC
• Wikipedia:
“Role based access control (RBAC) is een
methode waarmee op een effectieve en
efficiënte wijze toegangscontrole voor
informatiesystemen kan worden ingericht.”
• Grofweg:
“Een kapstok om autorisaties aan op te
hangen.”
5
6. Visie over RBAC
• HRM heeft een belangrijk aandeel in de
vorming van een RBAC-model
• Je wilt naar RBAC toe gaan met minimale
impact voor gebruikers
• RBAC is geen statisch model
• Geen 100% vulling van het model
• Slimme vulling, bijvoorbeeld door te “stapelen”
• Wijziging in de rol betekent wijziging in de leden
6
7. Wat moet je niet doen?
• 1+ jaar onderzoek doen wie precies wat nodig
heeft
• Tijd besteden aan rollen met een lage bezetting
• Een RBAC model direct 100% “schoon” willen
aanbieden
• De organisatie er buiten houden, het is geen
100% technische aangelegenheid
7
8. Wat kun je wel doen?
• Je werkt vandaag de dag al met gevulde
informatiesystemen, waarom die situatie niet als
uitgangspunt nemen?
• Slim kijken naar de “top”
• Besteed geen tijd aan uitzonderingen
• Hanteer de 80/20 regel
• Hang de “rollen” op aan het HRM systeem
8
9. Eerste aanpak
• Kijk naar je bestaande
informatiesystemen, focus op Active Directory
• Wat zijn de “meest uitgedeelde” autorisaties?
• Kun je hier een “default” rol voor maken die
voor iedereen gaat gelden?
• Hoe groter de “default” rol, hoe kleiner de
andere rollen
9
11. HRM analyse (1)
• Welke functies en/of kostenplaatsen hebben de
grootste bezetting?
• Is de beschikbare informatie uit HRM kwalitatief
goed genoeg?
• Wordt de koppeling tussen functie/kostenplaats
en de medewerker “tijdig” bijgehouden?
• Is deze informatie al voldoende specifiek?
11
13. HRM analyse (2)
• Welke combinatie van HRM gegevens is
specifiek als input voor een rol?
• Kostenplaats + functie is vaak een goed
uitgangspunt als “organisatie-rol”
• Pak alleen de organisatie-rollen zodat je 80%
van je actieve personeelsbestand dekt
13
14. Role mining (1)
• De juiste combinatie voor de organisatie-rol is
gevonden!
• Alle data van informatiesystemen inladen in een
centrale data store
• Hoeveel medewerkers hebben we per
organisatie-rol?
• Welke bezettingsgraad van autorisaties vinden
we per organisatie-rol?
• Grote hoeveelheid informatie, slimme filtering
14
15. Role mining (2)
• Lijsten moeten korter en beter leesbaar
• Weglaten autorisaties die al “default” zijn
• >80%: hoge bezetting; onderdeel van de rol
• <80%: lage bezetting; uitzonderingen
• <1 persoon in de organisatie-rol; geen prio
• <1 autorisatie-bezetting; geen prio
15
17. Vulling van RBAC matrix
• Resultaten van de role mining importeren;
autorisatie-rollen
• Rollen versleutelen met coderingen uit
HRM, bijvoorbeeld functiecode +
kostenplaatscode; zorgt voor de link tussen
organisatie-rol en autorisatie-rol
• Eigenaar toewijzen van de rol, kostendrager
van de kostenplaats?
17
18. Instroom (RBAC)
• Medewerker wordt in HRM ingeschreven
• Medewerker krijgt een functie + kostenplaats
toegewezen
• Provisioning wordt uitgevoerd, Active Directory
account wordt aangemaakt
• RBAC matrix wordt ondervraagd op functiecode
en kostenplaatscode; resultaat zijn de “default”
en overeenkomstige autorisatie-rollen
• RBAC provisioning voert autorisaties door
18
22. Doorstroom (RBAC)
• Nieuwe functie/kostenplaats is geregistreerd
voordat dit ook werkelijk in zal gaan
• RBAC provisioning ziet de wijziging en kent de
nieuwe autorisaties toe
• RBAC provisioning ziet ook de autorisaties
behorende bij de oude “organisatie-rol” en
ontneemt deze
• Eventueel kan een grace-period worden
toegestaan
22
23. Onderhoud
• Betrek zoveel mogelijk de organisatie; koppel
rollen aan een eigenaar
• Self-service naar leidinggevenden of security-
officer om autorisatie-rollen te beheren
• Updates bij wijzigingen in HRM; nieuwe functies
en kostenplaatsen moeten worden verwerkt
23
24. Extra voordelen RBAC
• Je kunt rapportages maken die tonen wie extra
rechten heeft naast de rol
• Je kunt full auto-provisioning toepassen, geen
interactie meer bij instroom van medewerkers
• Grote kans op lagere licentie-kosten
• Je kunt rollen tijdsgebonden maken
• Je kunt conflicten tussen rollen aanleggen
• Je kunt risico-volle autorisaties via een extra
goedkeuring laten lopen
24