Beveiligingssystemen zijn tegenwoordig een integraal onderdeel van het bestaande ICT-netwerk. Oplossingen die in eerste instantie zijn gecreëerd voor netwerkbeveiliging en informatiebeveiliging kunnen daardoor steeds vaker ook worden toegepast op fysieke beveiliging. Zodoende kan de veiligheid optimaal worden gegarandeerd.
Leestijd: +/- 4 minuten
Een gemeente in de provincie Utrecht heeft voor het stadhuis met een twintigtal verschillende toegangslocaties (zoals fietsenkelder, serverruimte) een toegangscontrolesysteem geïnstalleerd. Medewerkers van deze gemeente gebruiken een DESFire-pas om toegang te krijgen tot de locaties waarvoor zij bevoegd zijn. De passen zijn gepersonaliseerd met logo, naam en foto van de medewerker.
> Lees ook Toegangscontrole vanuit een procesmatige benadering
> Lees ook Flexibel toegangscontrolesysteem voor revalidatiecentrum (download)
Systeem voor toegangscontrole
De in-, door- en uitstroom van medewerkers heeft gevolgen voor dit systeem voor toegangscontrole. Nieuwe medewerkers moeten meteen de juiste toegang tot het pand of delen daarvan krijgen en het omgekeerde geldt voor vertrekkende medewerkers. Bij veel organisaties is het beheer van de life-cycle van medewerkers een handmatig proces. Zo was dat ook het geval bij deze gemeente. Om het systeem voor toegangscontrole up-to-date te houden, wanneer bijvoorbeeld een contract van een ambtenaar eindigde, werd van het HR-systeem PIMS een CSV-bestand uitgelezen en een e-mail gestuurd naar de afdeling Facilitair. De afdeling verdeelde vervolgens de opdracht onder de IT-beheerders en de applicatiebeheerder van het toegangscontrolesysteem. De applicatiebeheerder zorgde er op zijn beurt voor dat de toegangspas van de vertrekkende medewerker op de juiste datum werd gedeactiveerd.
Nieuwe medewerkers moeten meteen de juiste toegang hebben tot het pand
Handmatige acties
Omdat deze procedure veel handmatige acties vereiste en er veel afdelingen bij betrokken waren, zat er vaak veel tijd tussen de mutatie van de medewerker (uitstroom of doorstroom) en de benodigde acties in het systeem voor toegangscontrole. Daarom besloot de gemeente deze procedure te automatiseren met Identity Management software.
Deze software werd tenslotte al ingezet om netwerkaccounts voor medewerkers te beheren, zodat informatiebeveiliging gegarandeerd kon worden. Met de Identity Management software worden wijzigingen in het HR-systeem (in/uit dienst, functiewijzigingen, wijzigingen in contactgegevens) direct en foutloos doorgevoerd in het netwerk. Daardoor is op de eerste werkdag van een medewerker het user account aangemaakt met de juiste security-instellingen conform het functieprofiel en aanwezig op alle platformen en applicaties die binnen de gemeente aanwezig zijn. Merijn Snikkers, als implementatieconsultant van Tools4ever betrokken bij het project: “Naast de koppeling tussen het HR-systeem PIMS en het netwerk, werd nu ook een bi-directionele koppeling gemaakt tussen het HR-systeem en het systeem voor toegangscontrole. Die koppeling zorgt voor synchronisatie van de gegevens tussen beide systemen.
Deactiveren
Een wijziging in PIMS leidt dus naast een actie in het netwerk ook per direct tot een actie in het toegangscontrolesysteem. Bijvoorbeeld, wanneer een nieuwe medewerker wordt opgevoerd in het personeelssysteem zorgt de software ervoor dat de gebruiker ook in het toegangssysteem wordt aangemaakt. Daarnaast worden toegangspassen tijdig afgesloten wanneer het contract van een medewerker eindigt.” Wanneer organisaties niet afhankelijk willen zijn van de informatie uit het HR-systeem is het mogelijk om een zogenaamde noodprocedure in te bouwen. “Een manager kan bijvoorbeeld via een portal per direct een medewerker en zijn toegangspas deactiveren en de toegang per direct ontzeggen of juist open zetten”, aldus Snikkers.
Smoelenboek
Naast het automatisch beheren van de gehele life-cycle van een medewerker kan de software informatie uit het toegangscontrolesysteem halen. Daardoor kunnen passen toegekend worden aan een Active Directory gebruiker. Ook kan informatie over de fysieke aan- of afwezigheid van een medewerker realtime worden verwerkt in bijvoorbeeld een online smoelenboek. Zo kunnen medewerkers van elkaar zien of hij/zij aanwezig is en indien gewenst op welke locatie de medewerker zich bevindt.
Role Based Acces Control
De Identity Management software biedt nog meer functionaliteiten die vooral te maken hebben met het toekennen van autorisaties/rechten. Veel organisaties zijn stappen aan het maken met Role Based Access Control (RBAC), ofwel het toekennen van autorisaties op basis van functie en rol. RBAC geeft aan welke resources in het netwerk voor een medewerker beschikbaar zijn in relatie tot de rol die een medewerker in de organisatie vervult. Bij de invoering van RBAC worden op basis van de gegevens in het personeelssysteem (functie, afdeling, locatie en kostenplaats) rollen gedefinieerd.
Naast toegang tot het netwerk kan RBAC echter ook ingezet worden voor fysieke toegangscontrole. Snikkers: “Wanneer alle gegevens van medewerkers in kaart zijn gebracht in een zogenaamde RBAC-matrix, kan deze informatie worden uitgelezen door de Identity Management software en kunnen naast netwerkrechten ook autorisaties voor fysieke locaties automatisch worden toegevoegd aan een account. Wanneer een medewerker op de helpdesk bijvoorbeeld een functie krijgt op de afdeling IT-beheer, krijgt hij automatisch toegang tot de serverruimte omdat deze autorisatie voor de functie is bepaald in de RBAC-matrix. De autorisaties die de medewerker niet langer nodig heeft, worden automatisch ingenomen.”
Toegang gaat automatisch omdat het voor de functie is bepaald in de RBAC-matrix
Complex proces
Het implementeren van RBAC is een complex proces. Het startpunt is het inventariseren van alle in de organisatie aanwezige applicaties, afdelingen, functies, rollen en rechten binnen een rol en functie. Al deze informatie wordt gebruikt om zogenaamde basisrollen in te richten, waarmee de handmatige toekenning door ICT vervangen kan worden. Bij indiensttreding of functiewijziging raadpleegt de IAM-software de RBAC-tabel voor de bijbehorende autorisaties. De software kent de autorisaties direct toe of kan deze ter verdere aanvulling de goedkeuring voorleggen aan de juiste manager bijvoorbeeld met behulp van een workflow management portal.
Dit artikel schreef Arnout van der Vorst. Hij is Managing Consultant bij Tools4ever.