Autorisatiebeleid en -procedure
Een autorisatiebeleid met heldere uitgangspunten en verantwoordelijkheden. Duidelijke procedures die goed werkbaar zijn voor aanvragers, goedkeurders en uitvoerenden. Tezamen zorgt dit bij woningcorporatie Welbions voor betrouwbare en beheersbare informatiesystemen en transparante en controleerbare toekenning van autorisaties.
Onze aanpak
ITwoon leverde Welbions een projectleider die affiniteit met autorisatiebeheer heeft. Deze werkte een dag per week op locatie. Samen met een projectgroep met afvaardiging vanuit Control, HRM, leidinggevenden en I&A is de huidige situatie geïnventariseerd en de gewenste situatie uitgewerkt. Vervolgens heeft de projectleider een beleidsdocument opgesteld. Dit bevat zowel het autorisatiebeleid als procedures om het beleid uit te voeren. Tot slot heeft de projectgroep een autorisatiematrix opgesteld die als normpositie geldt.
Geleverde diensten
Probleemstelling
Het ontbreken van een duidelijk beleid en vastgestelde procedures bij het koppelen van autorisaties aan medewerkers leidt tot onwenselijke situaties en beperkt inzicht in de toekenning van autorisaties. Enkele concrete voorbeelden hiervan:
- Toekenning autorisaties nieuwe medewerkers als kopie van een collega. Hierdoor sluiten deze niet altijd goed aan bij hun takenpakket en geven deze soms toegang tot onnodig veel gegevens.
- Onvoldoende regie op accounts voor externe (SaaS / web) applicaties. Heeft als consequentie dat oud-medewerkers soms nog enige tijd toegang tot zulke websites hebben.
- Bij koppeling van autorisaties rechtstreeks aan gebruikers is niet altijd duidelijk waarom iemand over bepaalde rechten beschikt. Bij een functiewijziging worden rechten daarom voornamelijk aangevuld zonder dat “oude” rechten worden ontnomen, wat de toekenning verder vertroebelt.
- Zonder duidelijke procedure worden bij accountmutaties soms handelingen vergeten. Denk aan een nieuwe medewerker die niet direct in de juiste e-mail distributiegroepen zit, of restanten van accountgegevens die achterblijven na een uitdiensttreding.
- Inrichting en werkwijze die onvoldoende transparant en eenduidig is, belemmert Control in haar taken en leidt tot opmerkingen van de accountant.
Voorbereiding
Welbions koos voor een projectmatige aanpak met de informatiemanager als opdrachtgever. Onze projectleider formuleerde in de initiatiefase onder andere de probleemstelling en projectresultaten in een startnotitie, maakte een globale planning en vormde de projectgroep. Besloten werd om in dit project het beleid, procedures en een voorstel voor inrichting op te leveren. Het daadwerkelijk inrichten in onder andere Active Directory en TOPdesk is afgesplitst naar een vervolgproject.
Verdere aanpak
De projectgroep hield wekelijks overleg en werkte stapsgewijs toe naar de resultaten. Begonnen werd met de inventarisatie van de huidige autorisatieprocedures en inrichting, en de praktische problemen die dit opleverde voor de organisatie. Dit werd uitgewerkt naar een gewenste situatie. Een van de belangrijkste uitgangspunten was om autorisaties niet langer rechtstreeks aan gebruikers te koppelen, maar te gaan werken met functieprofielen. Dit biedt transparantie waarom iemand bepaalde rechten heeft en borgt dat collega’s met dezelfde functie gelijke rechten hebben. Hierna heeft de projectgroep bepaald welke verantwoordelijkheden en taken binnen het autorisatiebeheer waar in de organisatie worden belegd. Tot slot heeft onze projectleider diverse key users geïnterviewd over externe applicaties en hoe de regie op toegang kan worden verbeterd. Referenties van andere corporaties en Baselines Informatiebeveiliging voor Corporaties en Gemeenten boden daarnaast handvatten. De projectleider heeft het beleidsdocument opgesteld en de procedures uitgewerkt in diagrammen en stapbeschrijvingen. Ook regelde hij op diverse momenten en via diverse kanalen organisatiebrede communicatie. Tot slot heeft een van de projectleden een matrix opgesteld van functieprofielen en autorisaties.
Het resultaat
Een autorisatiebeleid met positieve review van een onafhankelijke partij (AuditTrail), dat vervolgens is geformaliseerd door de directie van Welbions.
Heldere procedures voor autorisatie-aanvragen, waar belanghebbenden in de organisatie zich in kunnen vinden. Uitgewerkt in zowel procesdiagrammen als beschrijvingen van elke stap. Dient tevens als ontwerp om de procedures in TOPdesk wijzigingsbeheer in te richten.
Een concreet ontwerp voor het inrichten van autorisaties op basis van functieprofielen in de Active Directory.
Pascal Butterhoff, informatiemanager Welbions:
“Als Welbions zijn we zeer tevreden met het resultaat van het project. We hebben nu een helder autorisatiebeleid waarbij de bijbehorende procedures direct toepasbaar zijn en in gebruik zijn genomen. Dit geeft ondersteuning bij de aanvraag en toekenning van autorisatieaanvragen alsmede inzicht in uitgegeven autorisaties bij controles en audits”