Logische Toegangs Beveiliging

Vergelijkbare documenten
PI themamiddag Role Based Access Control

Identity Management Gebruikers en Rechten in Beheer (GRiB)

Studie Role Based Access Control

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Taak Eerst zien dan geloven Inhoud

Data en Applicatie Migratie naar de Cloud

Logische Toegangsbeveiliging

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

René IJpelaar VIAG-congres, 3 november ISMS. Een slimme implementatie én. goede borging van de BIG

Cloud services: aantrekkelijk, maar implementeer zorgvuldig

Deelplan IC ICT-omgeving 2015 Gemeente Lingewaard

Primavera bij ProRail. Integraal projectmanagement meer dan 1200 projecten op de rails 10 september 2013

BIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia

Curriculum Vitae van Paul Verstraaten

Programma Borging veilige gegevensuitwisseling via Suwinet Normenkader Suwinet. Webinar, 28 juni 2017

Inholland & Office 365

Meer Business mogelijk maken met Identity Management

i\ r:.. ING. 1 8 FEB 2016

Datum 17 februari 2016 Betreft Definitief verslag van bevindingen onderzoek Veilig gebruik Suwinet 2015

Bonte Bij Aanbestedingen ehrm

ACCESS GOVERNANCE PIZZASESSIE. Arnout van der Vorst & Tjeerd Seinen

De (on)beheersbaarheid. van toegangsbeveiliging. * de controleur: internecontrolemedewerker of auditor. Ing. P. Mienes RE en B.

Software Test Plan. Yannick Verschueren

DATAMODELLERING CRUD MATRIX

Software Test Plan. Yannick Verschueren

ISO 27001:2013 INFORMATIE VOOR KLANTEN

Business Scenario. Voorbeeld Archimate Risico Extensie. versie 0.1. Bert Dingemans

Upgrade of Her-implementatie PeopleSoft FMS bij DNB

Haal het optimale uit Unit4 Personeel & Salaris Premium Service Packs

Zeker-OnLine is een onafhankelijk en transparant keurmerk voor online dienstverlening (cloud services) Achtergrond normenkader

2015; definitief Verslag van bevindingen

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM mei 2015

Handreiking Implementatie Specifiek Suwinet-normenkader Afnemers 2017

Installeren besturingssysteem

IT beheer: zelf doen is geen optie meer. Ed Holtzer Jurian Burgers

NORA Sessie mei 2013 in Amersfoort Agenda en een samenvatting. Jaap van der Veen

4 redenen om toegang tot online. applicaties te centraliseren

COMMUNICATIEPLAN EEN GOEDE COMMUNICATIE BIJ EEN IMPLEMENTATIE OF OPTIMALISATIE IS ESSENTIEEL

GETTING THE BEST OUT OF YOUR SOURCE CODE MODERNISEREN MET UNIFACE

Handreiking Implementatie Specifiek Suwinetnormenkader

bij het in gebruik nemen van een e-depot

NEN 7510: een ergernis of een hulpmiddel?

Verklaring van Toepasselijkheid

Installatiehandleiding. ixperion Word Import. voor Windows 2008 R2 64bit. Smartsite ixperion WordImport Implementatie. Copyright

Identity & Access Management. operational excellence of in control?

Keuzeknoppen. Tip: Onder de knop Legenda zijn alle mogelijke statussen terug te vinden.

B l u e D o l p h i n

Water-Office FARYS. Ilse Pauwelyn Jan Smissaert

De (harde) praktijk van role engineering

Alles weten over Office 365 in het onderwijs

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

nemen van een e-depot

Dirk van Dael Wanneer iedereen jouw cijfers wil zien Voorjaarsevent Testnet: 22 juni 2009

Voorstel Informatiebeveiliging beleid Twente

OpenIMS 4.2 Portaal Server

Agenda. Wat kost het MIS Waarom JorSoft. Over JorSoft. Diensten Het MIS. Vervolgstappen IT infrastructuur

J.H. van den Berg. Versie 1.0 Mei 2011

Handleiding inschrijven op onderhandse aanbestedingen

Microsoft Office System Migraties. De impact van migraties op uw Office Business Applicaties

Ontwikkelen & Beheren van testomgevingen is ook een vak!

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

In Control op ICT in de zorg

,,i,i,,,i,.,i i,i ii. 09 mrt 2016/0010. Datum O 6HAART 2015 Betreft Onderzoek Veilig gebruik Suwinet 2014; definitief Verslag van bevindingen Bunnik

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

BUSINESS CONTINUITY MANAGEMENT Hoe kunt u uw onderneming beschermen voor gevaren.

Enterprise Resource Planning. Hoofdstuk 3 Planning, ontwerp en implementatie van Enterprise Resource Planning-systemen

Norm 1.3 Beveiligingsplan

Voorwoord. Bekijk de mogelijkheden voor dienstverlening die wij voor u kunnen ver - zorgen. 4PS Business Software 03

Verbeterplan Suwinet

IT General Controls en beheersmaatregelen met een IT-component. Handvat voor toepassing IT General Controls binnen Horizontaal Toezicht

Technische implementatie De infrastructuur rondom Transit kent de volgende rollen:

CREËER UW EIGEN ONLINE WERKPLEK MET WORKSPACE 365

Betekent SOA het einde van BI?

Radboudumc online: Hoe stel je de patiënt centraal in een omnichannel oplossing? Mobile Healthcare Event 24 november 2017 Yno Papen

Beginnen met de Agenda & planning module

Advies informatiebeveiligings analyse HvA

DE BUSINESS CASE VOOR DE ASP OPLOSSING VAN CRM RESULTANTS VOOR ONDERWIJSINSTELLINGEN

Gemeente Alphen aan den Rijn

Beveiligingsbeleid Stichting Kennisnet

Keteninformatisering: casus GCOS

RDW. op weg naar een DevOps organisatie. ICT Organisatie Ontwikkelingen: Partner in Mobiliteit

Security Awareness Sessie FITZME, tbv de coaches

Performance testen in de keten

Uitleg MijnKPN Grootzakelijk Aanmaken van accounts. Versie 1.8

Sitecore Author Experience

ICT Beheermodel informatiesystemen Drechtsteden Baseline inrichting ICT beheermodel Drechtsteden

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Rijkspas: veiligheid en flexibiliteit. ID-ware, C. Borgmann, MSc Heerhugowaard 24 november 2011

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

Veiliger omgaan met (screenings)data

Enabling Enterprise Mobility. Chantal Smelik

Telezorgcentrum een oplossing? Luc de Witte

Bijlage 4: Bruikbaarheids test

PGGM. Inkomensverzorger voor de sector zorg en welzijn. Hans de Harde Sr. ICT Architect Fysieke Infrastructuur

Doxis Informatiemanagers

Application interface. service. Application function / interaction

Agenda. Peter Greve Strategisch Accountmanager bij UWV Gegevensdiensten

Hoe veilig is proven technology? - Marnix Suyver & Dennis Werner

Transcriptie:

Logische Toegangs Beveiliging Bij PGGM volgens RBAC met bhold Piet Kalverda / Ruud Rademaker 18 februari 2003

Agenda PGGM Logische toegangs Beveiliging Implementatie Normen en beleid Organisatie en procedures Techniek Migratie Lessons learned

PGGM Pensioenfonds Sector Zorg en Welzijn Verplichte deelneming Not for profit 1,7 miljoen klanten 13.900 aangesloten instellingen Belegd vermogen: ± 50 57miljard 1500 medewerkers Toezichthouder PVK

PGGM Organogram

Informatiebeveiliging PGGM

Logische toegangsbeveiliging Doel: gebruikers op een efficiënte, effectieve en controleerbare manier toegang verlenen tot objecten, gebaseerd op need to know principe. Business case: Efficient, besparing op werk voor beheerders en helpdesk Effectief, niet meer toegang dan nodig Controle mogelijk Licentiebeheer mogelijk. Waarom nu?

Implementatie Organisatie Wie is verantwoordelijk Wie voert uit Wie controleert Normen &Beleid Procedures Techniek Medewerker beheer Rollen beheer Taken beheer Administratie Controle Interfaces Bruikbaar

Normen en beleid LTB Normen Concrete beheersmaatregelen Continue toetsing door self-assessment Cross-reference PGGM informatiebeveiligingsbeleid COBIT (tbv interne en externe audits) Beleid beschrijft keuzes en overwegingen binnen normenkader Proces eigenaarschap Need to know principe Keuze RBAC

Oude situatie Gebruiker Groep Object Rolgebaseerde groepen Groepen met heel veel rechten Gebruiker is gekoppeld aan beperkt aantal groepen Taakgebaseerde groepen Groepen met weinig rechten Gebruiker is gekoppeld aan heel veel groepen

Nieuwe situatie (RBAC) Gebruiker Rol Taak Object Gebruikersbeheer: manager weet welke rol bij welke medewerker hoort Rolbeheer: rolbeheerder weet welke taakgebaseerde groepen bij een (proces)rol horen Taakbeheer: objecteigenaar weet welke rechten op welke objecten voor welke taken nodig zijn Functiescheiding Proces op tactisch nivo

Proces matrix Proces Rol Technisch beheerder Applicatie beheerder Security Office Rollenbeheerder Resource- Manager Beheer organisatie eenheid (oe maken, verwijderen) C U, V Beheer medewerker (in dienst, uit dienst) C U, V Beheer technische taken (vb toegang tot directory) U, V C I Beheer applicatie taken U, V C I Beheer rollen inclusief koppelen taken aan rollen en rollen aan oe s A, I, C A, I, C C U, V I (Ont)koppelen medewerker organisatie eenheid C U, V (Ont)koppelen rol - medewerker C U, V Uitsluitingsmatrix U U C V SOLL/IST-controle U, V V = Verantwoordelijk, A = Adviseren, I = wordt geïnformeerd, U = Uitvoeren, C = Controleren Projectmanager U, V I I U, V U, V

Project & Organisatorische eenheid

Role engineering Applicatiebeheerder Rollenbeheerder Manager Aanleveren autorisaties Aanleveren autorisaties Aanleveren Aanleveren bedrijfsprocessen bedrijfsprocessen Opstellen IST-matrix Opstellen IST-matrix Bespreken IST-matrix Bespreken IST-matrix Opstellen SOLL-matrix Opstellen SOLL-matrix Rol-autorisatie Rol-autorisatie matrix matrix Organisatie Organisatie eenheid-rol eenheid-rolmatrix

Beheer rollen Rollenbeheerder: Continu beheer van rollen: minimale hoeveelheid rollen, met een maximale begrijpbaarheid voor de gebruikers, waarbij een optimale hoeveelheid taken bij een rol worden opgenomen.

(Ont)koppelen rol aan medewerker Afdelingen: Nieuwe medewerkers komen uit personeelsregistratiesysteem; Manager koppelt proposed rollen aan medewerker; Medewerkers uit dienst (vanuit bronsysteem) rollen worden automatisch ontkoppeld; Projecten: Resourcemanager koppelt medewerker aan project; Projectmanager koppelt proposed rollen aan medewerker; Projectmanager ontkoppelt medewerker van project; Project afgerond: manager vult einddatum project (medewerkers worden automatisch ontkoppeld en daarmee ook hun projectrollen);

RBAC bij PGGM Organisatie eenheid Gebruiker Rol Taak Object

Fasering Oorspronkelijk: per platform Heel bewerkelijk Big bang scenario Nu: per organisatie eenheid Alle platformautorisaties zijn te herleiden naar applicaties of organisatie eenheden; Beheerde applicaties worden meegenomen.

Aanpak per organisatie eenheid Organisatie en procedure ondersteuning per organisatie eenheid: rol enginering o.b.v. matrix per applicatie: Role mining op basis van applicatie rollen Asi bouwen (voor interne applicatie rollen) Read mode Soll-ist leegmaken Testnetwerk test Modify mode Overgangssituatie zolang niet alle applicaties onder bhold Communicatie (welke applicaties onder bhold)

Status LTB (1) Uitgebreid getest wegens impact van modify mode op infrastructuur Koppeling met verschillende platforms in productie Soll-Ist op unix en vme vrijwel leeg, wordt gecontroleerd Koppeling met Proquro en Peoplesoft Nog niet in modify mode

Status LTB (2) Alle VME-systemen, alle Unixsystemen, Windows 2000 (deels) 500 rollen (waarvan 200 gekoppeld aan organisatie eenheden) 1200 taken Gemiddeld 2,8 taak per rol Gemiddeld 6,3 rollen per medewerker Netwerkautorisaties Aantal medewerkers (3 uur) Applicaties Wel of niet starten (0,5 uur) Inloggen (standaard asi 4 uur) Interne rollen (standaard asi 4-8 uur, directe asi 8-80 uur)

Wat heeft RBAC opgeleverd? Welke problemen zijn opgelost? UNIX, VME opgeschoond, Windows deels Bewustwording Lijnmanagers controleerbaarheid en snelheid van uitvoering Verantwoordelijkheden duidelijk Zijn de ambities gerealiseerd? Basis van de business case uitgevoerd (efficiënt, effectief, controleerbaar)

Lessons learned Verantwoordelijkheden matrix Goede testomgeving i.v.m. infrastructurele component; Denk goed na over een uitrolstrategie; Werken met proposed rollen; Gesprekken met managers goed voorbereiden; Wees beducht op bezorgdheid vanuit de organisatie; Onderschat niet het rollenbeheer; Werken met SOLL/IST lijsten; Active Directory.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback