Naast (technische) fysieke controle op de toegang van gebouwen heeft toegangscontrole ook te maken met toegang tot gegevens in systemen. Informatievergaring en –systemen worden steeds belangrijker. Ze zijn cruciaal voor ons werk. Voor elke organisatie is het belangrijk om goed zicht te hebben welke medewerker toegang heeft tot welk systeem en tot welke informatie (autorisatiemanagement). Hoe groter de organisatie, hoe groter de uitdaging is. Hoe gaat een organisatie als Dienst Justitiële Inrichtingen (DJI) hiermee om? We gingen hierover in gesprek met Jean-Pierre Vincent, projectmanager Toegangsplatform DJI (TPD) en Matthijs Kempers, projectleider TPD.
DJI wil met het project TPD incidenten zoals de welbekende politiemol Mark M., zoveel als mogelijk voorkomen. Deze man werkte in het verleden op een functie bij de politie waar hij vanaf werd gehaald. Zijn autorisaties werden toen alleen niet ingetrokken waardoor hij onterecht bij vertrouwelijke gegevens kon komen. Zo werd onlangs nog bekend dat deze politieman ervan wordt verdacht 300.000 euro te hebben gekregen voor het doorspelen van informatie aan criminelen. Hij was afdelingshoofd bij de basiseenheid van de politie. De agent zou op de ‘loonlijst’ hebben gestaan van een zware crimineel, bleek uit verschillende rapporten die volgens een Limburgse regionale zender in handen zijn van De Limburger.
Interoperabiliteit
“Het is van groot belang dat wij binnen DJI ons identiteits- en autorisatiemanagement op orde hebben zodat incidenten zoals deze zoveel als mogelijk worden voorkomen,” zegt Jean-Pierre Vincent. “Om die reden zijn we in 2015 gestart met het project TPD.” Het doel van het project is om de toegangsverstrekking in systemen van DJI effectiever en eenvoudiger te laten verlopen. DJI streeft naar een efficiëntere en accurater verloop van de toegangsverstrekking tot alle systemen van DJI zodat zij strakker kan toezien op een juiste toepassing ervan.”
Strengere veiligheidsstandaarden
Aanleidingen zijn volgens Vincent de steeds strenger wordende veiligheidsstandaarden (zoals Europese privacywetgeving en de sinds 1 januari 2016 van kracht zijnde Wet Meldplicht Datalekken (WMD)) en de sterke toenemende behoefte om toegang te geven aan ketenpartners, of die bij hen te verkrijgen. “Het project TPD faciliteert daarbij. Kort samengevat houdt het in dat elke medewerker die werkzaam is bij DJI straks alleen nog toegang heeft tot systemen en informatie die écht nodig zijn om het werk uit te voeren.”
Je moet niet alleen in control zijn, je moet het ook kunnen aantonen.
Vincent legt uit dat het vooral gaat om het aantoonbaar in control zijn. “Je moet niet alleen in control zijn, je moet het ook kunnen aantonen. Daarnaast neemt de interoperabiliteit steeds verder toe, ofwel de mogelijkheid om met elkaar te communiceren en samen te werken via verschillende systemen, apparaten of eenheden, bijvoorbeeld tussen organisaties. Ook wordt de wet en regelgeving ten aanzien van privacy steeds strenger, denk aan de algemene verordening gegevensbescherming die in 2018 van toepassing is. Dit zijn toenemende factoren die hoge eisen stellen aan een juist, snel, dynamisch en businessgedreven identiteit- en autorisatiemanagement.”
Goed afgedicht, maar wel complex
Op de vraag of er binnen DJI wel eens incidenten hebben plaatsgevonden op dit vlak, antwoordt Vincent: “Voor zover ik weet hebben er geen incidenten plaatsgevonden. Alles is binnen de organisatie goed afgedicht, maar wel complex en suboptimaal. Wij zijn nu een slag aan het maken om alle processen hiervoor efficiënter en kwalitatief hoogstaander in te richten. Ook met het oog op de algemene verordening gegevensbescherming.”
Uitrol toegangsplatform
Het jaar 2015 en de eerste maanden van 2016 hebben voor het project vooral in het teken gestaan van de voorbereidingen voor de uitrol van het toegangsplatform. Kempers: “De eerste uitrol zijn we dit jaar begonnen bij de Dienst Vervoer & Ondersteuning (DV&O) van DJI. In 2017 zal het hoofdkantoor van DJI volgen en aansluitend alle instellingen. De pilot bij DV&O is nu bijna afgerond.” Kempers geeft aan dat het management van DV&O een belangrijke rol heeft gehad bij de implementatie. “Gezamenlijk met ons hebben de managers van DV&O in een aantal maanden tijd alle autorisaties van de medewerkers in elk team in kaart gebracht, 1250 medewerkers in totaal. Deze autorisaties hebben we vervolgens beoordeeld op nut en noodzaak en aansluitend uniform en efficiënt gemaakt.
Toekenning autorisaties op basis van rollen
Het toekennen van autorisaties is in de nieuwe situatie niet langer meer individueel bepaald, maar Role Based Access controll ofwel RBAC. Dit houdt in dat medewerkers autorisaties toegewezen krijgen op basis van rollen. Het resultaat is dat we eenvoudig en doelgericht autorisaties kunnen aanvragen en beheren. Alle gegevens zijn vastgelegd in een nieuw systeem, SmartAIM. Via dit systeem kunnen alle autorisaties aangevraagd, gewijzigd of beëindigd worden”, vervolgt Kempers.
Business is leading
Dat het management van DV&O een belangrijke rol heeft gehad in het proces is niet zonder reden. DJI wil uiteindelijk het eigenaarschap beleggen bij een dataeigenaar. Met het systeem SmartAIM is de ‘dataeigenaar’ in staat om online in te zien wie toegang heeft tot welke data en systemen en hier ook zelf regie op heeft. Vanaf volgend jaar hebben alle managers van DV&O een eigen verantwoordelijkheid voor de juiste van toewijzing van autorisaties in overleg met de dataeigenaren.
De business is leading in de uitvoering van het informatiebeveiligingsbeleid. IT is alleen nog faciliterend.
“Doordat we de manager straks eindverantwoordelijk maken voor het identiteit- en autorisatiemanagement van hun afdeling, staat het ook hoog op de agenda bij directie en het management”, vervolgt Vincent. “De business is leading in de uitvoering van het informatiebeveiligingsbeleid. Met het toegangsplatform hebben zij straks de mogelijkheid om dit te kunnen managen en hun verantwoordelijkheid hierin te nemen. IT is alleen nog faciliterend.”
Ketenpartners
Binnen het project TPD gaat het niet alleen om identiteit- en autorisatiemanagement van medewerkers van DJI. Er wordt ook een externe toegangsomgeving gerealiseerd om ketenpartners, zoals het Centraal Justitieel Incassobureau (CJIB) en het Openbaar Ministerie, toegang te verlenen tot systemen en informatie van DJI. Kempers: “Het doel van dit deelproject is om te komen tot een generiek systeem en proces voor externe toegang, inclusief controle-afspraken met ketenpartners en zaken als een communicatiedraaiboek. Zodoende kunnen we ook in de toekomst nieuwe systemen die externe toegang vereisen hierop aansluiten.”
Autorisaties van medewerkers bij ketenpartner
Vincent vult aan: “Om te voorkomen dat we binnen DJI ook accounts en autorisaties van ketenpartners moeten gaan beheren, is gekozen voor het principe van een ‘federatie’: DJI vertrouwt een ketenpartner toe om diens medewerkers toegang te verlenen tot bepaalde DJI-systemen. Daarbij verstrekt DJI autorisaties aan de ketenpartner. De ketenpartner kent, conform nauwgezette afspraken, de juiste autorisaties aan de juiste medewerkers toe. Daarmee krijgen de medewerkers van de desbetreffende ketenpartner toegang tot de gegevens die ze op grond van hun rol mogen bekijken.”
Testomgeving
DJI is op dit moment bezig met het realiseren van een testomgeving. “Deze omgeving verwachten we binnenkort gereed te hebben”, vertelt Kempers. “Daarnaast zijn we een basis-convenant aan het opstellen die ketenpartners dienen te ondertekenen om toegang te krijgen tot de Externe Toegangsomgeving. Vertrouwen in de relatie met de ketenpartner staat voorop. De ketenpartner moet de eigen ‘huishouding’ aantoonbaar op orde hebben en middels het convenant wordt dit vastgelegd.”
Kortom, bij DJI zijn flinke stappen gezet om het identiteit- en autorisatiemanagement te upgraden en te optimaliseren. “We zijn al een eind gekomen, maar we hebben nog veel stappen voor ons liggen. Stap voor stap naar een vernieuwd toegangsplatform!”, aldus Jean-Pierre Vincent.
> Lees ook Wie is er verantwoordelijk voor toegangscontrole?
> Lees ook Vernieuwde oplossing voor toegangscontrole