Logische Toegangs Beveiliging Bij PGGM volgens RBAC met bhold Piet Kalverda / Ruud Rademaker 18 februari 2003
Agenda PGGM Logische toegangs Beveiliging Implementatie Normen en beleid Organisatie en procedures Techniek Migratie Lessons learned
PGGM Pensioenfonds Sector Zorg en Welzijn Verplichte deelneming Not for profit 1,7 miljoen klanten 13.900 aangesloten instellingen Belegd vermogen: ± 50 57miljard 1500 medewerkers Toezichthouder PVK
PGGM Organogram
Informatiebeveiliging PGGM
Logische toegangsbeveiliging Doel: gebruikers op een efficiënte, effectieve en controleerbare manier toegang verlenen tot objecten, gebaseerd op need to know principe. Business case: Efficient, besparing op werk voor beheerders en helpdesk Effectief, niet meer toegang dan nodig Controle mogelijk Licentiebeheer mogelijk. Waarom nu?
Implementatie Organisatie Wie is verantwoordelijk Wie voert uit Wie controleert Normen &Beleid Procedures Techniek Medewerker beheer Rollen beheer Taken beheer Administratie Controle Interfaces Bruikbaar
Normen en beleid LTB Normen Concrete beheersmaatregelen Continue toetsing door self-assessment Cross-reference PGGM informatiebeveiligingsbeleid COBIT (tbv interne en externe audits) Beleid beschrijft keuzes en overwegingen binnen normenkader Proces eigenaarschap Need to know principe Keuze RBAC
Oude situatie Gebruiker Groep Object Rolgebaseerde groepen Groepen met heel veel rechten Gebruiker is gekoppeld aan beperkt aantal groepen Taakgebaseerde groepen Groepen met weinig rechten Gebruiker is gekoppeld aan heel veel groepen
Nieuwe situatie (RBAC) Gebruiker Rol Taak Object Gebruikersbeheer: manager weet welke rol bij welke medewerker hoort Rolbeheer: rolbeheerder weet welke taakgebaseerde groepen bij een (proces)rol horen Taakbeheer: objecteigenaar weet welke rechten op welke objecten voor welke taken nodig zijn Functiescheiding Proces op tactisch nivo
Proces matrix Proces Rol Technisch beheerder Applicatie beheerder Security Office Rollenbeheerder Resource- Manager Beheer organisatie eenheid (oe maken, verwijderen) C U, V Beheer medewerker (in dienst, uit dienst) C U, V Beheer technische taken (vb toegang tot directory) U, V C I Beheer applicatie taken U, V C I Beheer rollen inclusief koppelen taken aan rollen en rollen aan oe s A, I, C A, I, C C U, V I (Ont)koppelen medewerker organisatie eenheid C U, V (Ont)koppelen rol - medewerker C U, V Uitsluitingsmatrix U U C V SOLL/IST-controle U, V V = Verantwoordelijk, A = Adviseren, I = wordt geïnformeerd, U = Uitvoeren, C = Controleren Projectmanager U, V I I U, V U, V
Project & Organisatorische eenheid
Role engineering Applicatiebeheerder Rollenbeheerder Manager Aanleveren autorisaties Aanleveren autorisaties Aanleveren Aanleveren bedrijfsprocessen bedrijfsprocessen Opstellen IST-matrix Opstellen IST-matrix Bespreken IST-matrix Bespreken IST-matrix Opstellen SOLL-matrix Opstellen SOLL-matrix Rol-autorisatie Rol-autorisatie matrix matrix Organisatie Organisatie eenheid-rol eenheid-rolmatrix
Beheer rollen Rollenbeheerder: Continu beheer van rollen: minimale hoeveelheid rollen, met een maximale begrijpbaarheid voor de gebruikers, waarbij een optimale hoeveelheid taken bij een rol worden opgenomen.
(Ont)koppelen rol aan medewerker Afdelingen: Nieuwe medewerkers komen uit personeelsregistratiesysteem; Manager koppelt proposed rollen aan medewerker; Medewerkers uit dienst (vanuit bronsysteem) rollen worden automatisch ontkoppeld; Projecten: Resourcemanager koppelt medewerker aan project; Projectmanager koppelt proposed rollen aan medewerker; Projectmanager ontkoppelt medewerker van project; Project afgerond: manager vult einddatum project (medewerkers worden automatisch ontkoppeld en daarmee ook hun projectrollen);
RBAC bij PGGM Organisatie eenheid Gebruiker Rol Taak Object
Fasering Oorspronkelijk: per platform Heel bewerkelijk Big bang scenario Nu: per organisatie eenheid Alle platformautorisaties zijn te herleiden naar applicaties of organisatie eenheden; Beheerde applicaties worden meegenomen.
Aanpak per organisatie eenheid Organisatie en procedure ondersteuning per organisatie eenheid: rol enginering o.b.v. matrix per applicatie: Role mining op basis van applicatie rollen Asi bouwen (voor interne applicatie rollen) Read mode Soll-ist leegmaken Testnetwerk test Modify mode Overgangssituatie zolang niet alle applicaties onder bhold Communicatie (welke applicaties onder bhold)
Status LTB (1) Uitgebreid getest wegens impact van modify mode op infrastructuur Koppeling met verschillende platforms in productie Soll-Ist op unix en vme vrijwel leeg, wordt gecontroleerd Koppeling met Proquro en Peoplesoft Nog niet in modify mode
Status LTB (2) Alle VME-systemen, alle Unixsystemen, Windows 2000 (deels) 500 rollen (waarvan 200 gekoppeld aan organisatie eenheden) 1200 taken Gemiddeld 2,8 taak per rol Gemiddeld 6,3 rollen per medewerker Netwerkautorisaties Aantal medewerkers (3 uur) Applicaties Wel of niet starten (0,5 uur) Inloggen (standaard asi 4 uur) Interne rollen (standaard asi 4-8 uur, directe asi 8-80 uur)
Wat heeft RBAC opgeleverd? Welke problemen zijn opgelost? UNIX, VME opgeschoond, Windows deels Bewustwording Lijnmanagers controleerbaarheid en snelheid van uitvoering Verantwoordelijkheden duidelijk Zijn de ambities gerealiseerd? Basis van de business case uitgevoerd (efficiënt, effectief, controleerbaar)
Lessons learned Verantwoordelijkheden matrix Goede testomgeving i.v.m. infrastructurele component; Denk goed na over een uitrolstrategie; Werken met proposed rollen; Gesprekken met managers goed voorbereiden; Wees beducht op bezorgdheid vanuit de organisatie; Onderschat niet het rollenbeheer; Werken met SOLL/IST lijsten; Active Directory.