Functioneel Ontwerp Nieuwe Werkplek Vertrouwelijk

Vergelijkbare documenten
Gerust aan het werk MET ALLE INFORMATIE OVER ONZE CLOUD WERKPLEK.

ALLES WAT U MOET WETEN OVER. HUPRA s CLOUDWERKPLEK. Werken waar en wanneer u maar wilt!

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS

DE PRIVATE CLOUD. Johan Bos & Erik de Meijer

owncloud centraliseren, synchroniseren & delen van bestanden

Werkplekvisie. Hans van Zonneveld Senior Consultant Winvision

Security in het MKB: Windows 10

Virtueel of Fysiek. Uitdagingen bij migratie naar Windows 7

Werken zonder zorgen met uw ICT bij u op locatie

FACTSHEET Unit4 SmartSpace 365

Video Conferencing anno 2012

Altijd en overal in de cloud. Al uw data en applicaties vanaf elk device bereikbaar voor uw medewerkers

Moderne vormen van samenwerken Maarten Groeneveld

Bijlage 11 Programma van Eisen

ONE Solutions. Your tailored mix of ICT solutions. Brought to you as ONE.

Microsoft Office 365 voor bedrijven. Remcoh legt uit

Tritel - Productbeschrijving I-AM

Dicht het security gat - Microsoft SharePoint, OCS, en Exchange met Secure File Sharing Heeft uw organisatie ook een Dropbox probleem?

mydesktop Anywhere Deze mydesktop Anyhwere oplossing biedt een aantal voordelen:

IT-outsourcing. Het IT-landschap is continu in beweging. Daarom is gespecialiseerde, actuele kennis van het grootste belang.

Mitel User Group. Mitel-licentiestructuur. Jan Jansen. Account Director april 2015

Werken waar en wanneer u maar wilt!

Blauwdruk Hoog Beschikbaar. Theo Hoeks Merijn van de Schoot

Zorgeloze ICT, alles voor elkaar

Handleiding Office 365

Bedrijfszekerheid. Altijd in bedrijf ACHTER ELK SUCCES SCHUILT EEN GOED COMPUTERPLAN

Applicatie Virtualisatie Wat levert het op? 17 september 2010

Cloud Services Uw routekaart naar heldere IT oplossingen

BLAD GEMEENSCHAPPELIJKE REGELING

Werkplek seminar Winvision

Enabling Enterprise Mobility. Chantal Smelik

Gebruikershandleiding MobiDM

KLANTCASE FINEXT. Wat was de reden voor Finext om hulp bij hun ICT/ beveiliging in te schakelen?

Vijf netwerkuitdagingen die je eenvoudig oplost met Cisco Meraki. Zo geeft Cisco Meraki je de volledige regie over je netwerkbeheer

Toolselectie checklist

Dit is een greep uit mijn stageverslag. 4. Citrix migratie

Beschrijving maatregelen Informatie beveiliging centrale omgeving

CREËER UW EIGEN ONLINE WERKPLEK MET WORKSPACE 365

Snelle installatiegids voor Symbian

Richtlijn mobiele apparatuur. BYOD en CYOD. Februari 2015 auteur: J.W. H. Brock, H.M. Damen en A.F. Erdman versie: 0.9. Universiteit Leiden

Over ICT Concept. alles voor elkaar. Direct Contact

Je hebt de wet- en regelgeving gelezen, cybercriminaliteit aan de orde van de dag, en teveel op je bordje. Wat ga je doen

Handleiding: Telewerken op Windows

Workflows voor SharePoint met forms en data K2 VOOR SHAREPOINT

KPN ÉÉN biedt eenvoud

Onverwachte voordelen van Server Virtualisatie

PRIVACY POLICY. Savvy Congress APRIL 26, SAVVY CONGRESS Postbus 226, 3340 AE, Hendrik-Ido-Ambacht, Nederland

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Remcoh Mobile Device beheer. Remcoh legt uit

Enterprise SSO Manager (E-SSOM) Security Model

Altijd, overal en met ieder device aan de slag

Installatie Remote Backup

Modules Online Kostenbeheer Mobiel. Dienstbeschrijving

Uitwerking afspraken ICT-voorzieningen voor raadswerk Versie: , RV

Werkplek anno De werkplek; maak jij de juiste keuze?

Virtual Desktop Infrastructure Een alternatief SBC concept? Jacco Bezemer

Visie van De Ictivity Groep op het Virtuele Desktop Infrastructuur (VDI) concept (onderdeel van De Ictivity Groep werkplekconcepten)

Intern (On-Premise) Co-Location Infrastructure-as-a-Service (IaaS) Platform-as-a-Service (PaaS)

OFFICE 365 REGIEDIENST. Onderdeel van de clouddiensten van SURF

Mobile Device Management Ger Lütter, adviseur IBD

Connectivity/Magic of Mobility

Oplegvel Informatienota

Remote Toegang Policy VICnet/SPITS

HET HOE EN WAT VAN ONLINE DIENSTEN DOOR: STEVEN ADEMA EN ANNEJENT HOEKSTRA

Monitoring. SolidBE B.V. Maarten Schoutenstraat SV Waddinxveen

Databeveiligingsmaatregelen voor verenigingen

Complete browser-based werkplek

Welkom bij IT-Workz. Etten-Leur, 16 november Altijd en overal werken en leren. Applicatie en Desktop Delivery met Quest vworkspace

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING?

Mobile Device Manager Handleiding voor Windows Mobile Standard en Pro

Mobile device management:

I AM. Totaalcommunicatie. Dienstbeschrijving

ecumulus Uw digitale werkplek in de Cloud!

Demonstreer hoe je het werk van de medewerkers bij jouw klant kunt vereenvoudigen. 4. Controle en beveiliging. 2. Vereenvoudig DMS & mail

Technische Eisen Applicaties

STORAGE AUTOMATION IT MANAGEMENT & OPTIMIZATION DATAGROEI DE BAAS MET EXTREEM BEHEERGEMAK DOOR AUTOMATISERING EN VIRTUALISATIE

Bijlage 2: Communicatie beveiligingsincidenten

Handleiding Demo account inloggen op NDC-IT Cloud Infrastructuur

ICT-uitbestedingsdiensten en Software as a Service:

Virtual Desktop Infrastructure in het Onderwijs

Marlin Family. Marlin

Security Solutions. End-to-end security. Voor de beveiliging van uw fysieke toegangscontrolesysteem.

uziconnect Installatiehandleiding

Citrix Desktop Online: De vertrouwde Windows desktop volledig online

Management van mobiele apparaten. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

HANDLEIDING WINDOWS INTUNE

Cloud Telefonie. TSG Cloud Solutions. Al uw communicatie behoeften in één oplossing

Proof of Concept SIEM

uziconnect Installatiehandleiding

De Moderne Werkplek. Een sterke basis voor elke organisatie die klaar wil zijn voor de toekomst

0.1 Opzet Marijn van Schoote 4 januari 2016

Personalia. Geboortedatum: Inzetbaar als. Support engineer. Profiel

Belastingdienst MCC Visie op mobiel en interactie met burgers en bedrijven

Ons bedrijf in 1,5 minuut. Bekijk ons bedrijf en onze unieke aanpak in een 1,5 minuut durende animatie door links op de afbeelding te klikken

ICT in het Stadskantoor van Utrecht. Chris van den Haselkamp Clustermanager Vernieuwing

Office 365. Overstappen of niet?

Desktop Delivery: een zakelijke afweging

Portal Handleiding voor de gebruiker 4.8

Maak kennis met het nieuwe bellen!

Transcriptie:

Functioneel Ontwerp Nieuwe Werkplek Vertrouwelijk Document titel: Katwijk: Functioneel Ontwerp Nieuwe Werkplek

Inhoud 1 Inleiding... 3 2 Uitgangspunten... 3 3 Functioneel Ontwerp... 4 3.1 Gebruikersprofielen... 4 3.2 Infrastructuur... 5 3.3 Virtuele Werkplek... 7 3.4 Beheer... 9 3.5 Beveiliging...10 3.6 MDM...11 XIXO 2017 - Vertrouwelijk 2

1 Inleiding Dit document beschrijft het functionele ontwerp van de nieuwe werkplek infrastructuur van de gemeente Katwijk. Er worden expliciet geen specifieke producten genoemd maar alleen functionele concepten beschreven waar de omgeving aan dient te voldoen of dient te bieden. In een later stadium zal aan de hand van dit functionele ontwerp een technisch ontwerp opgesteld worden. 2 Uitgangspunten Voor het opstellen van dit functioneel ontwerp is uitgegaan van onderstaande gegevens: 1 hoofdlocatie Locatieonafhankelijk werken Centraal beheer 550 medewerkers 0.7 werkplek / FTE Maximaal 385 gelijktijdige gebruikers (550 * 0.7) Interviews met gebruikers / IT afdeling / CISO Eerdere documenten PQR XIXO 2017 - Vertrouwelijk 3

3 Functioneel Ontwerp 3.1 Gebruikersprofielen Op basis van de gehouden interviews en de aangeleverde documentatie kunnen de gebruikers in een 5-tal profielen onderverdeeld worden: Kantoor Balie CAD Flex Buitendienst De eerste 3 typen gebruikers (Kantoor/Balie/CAD) verrichten hun werkzaamheden voornamelijk binnen het gemeentehuis op een (vaste) plek. Er zijn geen zaken naar voren gekomen waaruit blijkt dat deze gebruikers een dringende behoefte of noodzaak hebben om mobiel te kunnen werken. De laatste 2 typen gebruikers (Flex en Buitendienst) maken veelvuldig gebruik van hun systeem buiten het pand of op wisselende locaties in het gemeentehuis. Een werkplek met een vaste thinclient is voor deze medewerkers minder geschikt. Voor deze profielen adviseren we een mobiele werkplek ter beschikking te stellen, eventueel aangevuld met een mobiele data optie zodat er ook verbinding gemaakt kan worden zonder afhankelijk te zijn van Wifi verbindingen. Vanuit de gebruikers komt het duidelijke signaal dat deze graag een mobiel device zien voor alle gebruikers. De uniformiteit komt het beheer ten goede en de keuze voor mobiele devices geeft de gebruiker het gevoel dat ze gehoord worden. Door het gebruik van mobiele devices wordt het flexibele werkplekconcept optimaal gebruikt. Indien er budget beschikbaar gemaakt kan worden is het advies om alle gebruikers van een mobiel device te voorzien. Hierbij dient rekening gehouden te worden met dockingstations voor het eenvoudig koppelen wanneer de gebruiker binnen het gemeentehuis is en zaken als draagbaarheid en accuduur voor de exacte keuze van een mobiel device Vanuit technisch oogpunt zien we alleen een noodzaak voor de flex- en buitendienst medewerkers om met een mobiel device te werken. Vanuit organisatorisch oogpunt zijn er veel meer zaken om alle medewerkers met een mobiel device te laten werken. Informatiebeveiliging is conform de BIG te borgen in tegenstelling tot papieren dossiers die nu mee naar buiten gaan. Sluit aan bij de ontwikkelingen in het kader van nieuwe wetgeving waarbij de werkzaamheden verplaatsen van het kantoor naar de keukentafel en waarbij steeds meer samenwerking met ketenpartners ontstaat. Denk aan de decentralisatie en de omgevingswet. Meer flexibiliteit in de werkplekken ten opzichte van een hybride concept. Iedereen kan op elke arbowerkplek gaan zitten. Met een mobiel device ben je niet afhankelijk van een werkplek en kan je makkelijker ergens bij elkaar gaan zitten en samen werken. Er is nog maar 1 mobiel device nodig per medewerker Ondersteund het papierloos en digitaal werken optimaal Iedere stoel en tafel is een werkplek Doordat je in de vergadering je laptop bij hebt bereik je hier meer efficiency. XIXO 2017 - Vertrouwelijk 4

3.2 Infrastructuur Binnen de nieuwe omgeving gaat er gebruik gemaakt worden van een centrale infrastructuur welke alle werkplekken beschikbaar maakt aan de gebruikers. Hierbij maken gebruikers verbinding via een minimaal systeem op de eigen werkplek welke alleen ingericht is om verbinding te kunnen maken met het centrale systeem. Deze centrale infrastructuur dient redundant ingericht te zijn waarbij het uitvallen van een enkel hardware onderdeel geen impact mag hebben op de beschikbaarheid van de omgeving voor de gebruikers. Deze hardware dient minimaal N+1 te zijn en bij voorkeur N+2 zodat er ook redundantie is bij werkzaamheden en/of onderhoud aan de omgeving. Naast redundantie op hardware niveau dient er ook redundantie te zijn op de softwarematige componenten van de infrastructuur welke gebruikt worden voor toegang tot de virtuele werkplekken. De wijze waarop deze redundantie wordt gerealiseerd is afhankelijk van de gebruikte software. De performance van de diverse fysieke servers dient ruim voldoende te zijn voor het faciliteren van een werkplek voor 385 gelijktijdige gebruikers. Hiernaast dient er voldoende capaciteit beschikbaar te zijn voor het faciliteren van een OTA omgeving waarbij wijzigingen aan de werkplekken getest kunnen worden voordat deze in productie worden genomen. De oplossing dient schaalbaar te zijn bij groei of toegenomen performance behoeften. Deze schaalbaarheid kan behaald worden door of de resources van de bestaande servers te vergroten of door het plaatsen van additionele servers. De omgeving dient te faciliteren dat een fysieke server uit dienst wordt gehaald zonder dat gebruikers hier hinder van ondervinden. Hiermee kunnen defecten worden vervangen en beheer uitgevoerd worden tijdens normale kantoortijden waarmee de beheers last verminderd wordt. Tijdens gesprekken met de IT afdeling is naar voren gekomen dat er een sterke voorkeur is om de storage omgevingen van de virtuele werkplekken en de server infrastructuur gescheiden te houden. De motivatie hiervoor is dat impact van de werkplek omgeving op de serveromgeving en vice versa voorkomen wordt alsmede een beheersmatige scheiding. De nieuwe storage omgeving dient voldoende performance en capaciteit te bieden om alle systemen met een goede performance te laten draaien. Tevens dient er voldoende headroom te zijn voor een kleine groei en dient het systeem schaalbaar te zijn wanneer de aan de omgeving gestelde eisen wijzigen. Rekening houdend met andere eisen dient de storage gelijktijdig benaderbaar te zijn vanaf alle fysieke servers en bij voorkeur te integreren met de virtuele omgeving zodat taken uitbesteedt kunnen worden aan de storage. In eerste instantie zal er geen replicatie of uitwijk ingericht worden, de storage omgeving dient wel de mogelijkheid te bieden om in de toekomst gebruik te maken van deze mogelijkheden. De performance van de werkplek is niet alleen afhankelijk van de hardware waar deze werkplek op actief is. De bestaande infrastructuur speelt een belangrijke en cruciale rol waarbij performance bottlenecks geïdentificeerd en verholpen dienen te worden voordat de nieuwe werkplek uitgerold wordt. Indien mogelijk zullen bestaande componenten en licenties hergebruikt worden wanneer dit past binnen het technische ontwerp. De fysieke servers dienen hardware matige ondersteuning te bieden voor verbetering van de grafische prestaties van de virtuele werkplek. Hierbij dient een onderscheid gemaakt te kunnen worden in de mate van performance d.m.v. het toekennen van verschillende gradaties in deze hardwarematige ondersteuning. XIXO 2017 - Vertrouwelijk 5

De fysieke werkplekken dienen 2 schermen te hebben en de mogelijkheid te bieden om USB devices zoals webcams, paslezers en andere randapparatuur aan te sluiten. Wanneer er gebruikt wordt gemaakt van laptops dient er de mogelijkheid te zijn om deze aan een dockingstation te koppelen waarbij er een additioneel scherm en een toetsenbord/muis beschikbaar is. Het spreekt voor zich dat de gehele omgeving licentie technisch compliant dient te zijn. Bij oplevering dienen er voldoende licenties aanwezig te zijn om het gebruik te dekken. Wanneer de omgeving in de toekomst uitgebreid wordt dient er rekening gehouden te worden met het licentiegebruik. Onder het onderdeel beheer wordt dit aangehaald in de vorm van rapportages en controle op licentiegebruik. XIXO 2017 - Vertrouwelijk 6

3.3 Virtuele Werkplek De nieuwe werkplek dient de gebruiker altijd een identieke desktop te presenteren ongeacht het type device waar de gebruiker verbinding vanaf maakt. De gebruikte techniek dient om te kunnen gaan met dynamische bandbreedtes en de grafische kwaliteit van de werkplek hierop aan te kunnen passen. Men kan hierbij denken aan de allerbeste grafische kwaliteit wanneer men binnen het gemeentehuis werkt en een wat mindere kwaliteit wanneer met via een mobiele 4G verbinding werkt. Uitgangspunt is dat de virtuele werkplek dezelfde grafische performance biedt als een fysieke werkplek. De virtuele omgeving dient ook het gebruik van CAD software met een goede performance te ondersteunen. Binnen de virtuele werkplek dient er gebruik gemaakt te worden van een workspace management systeem voor het centraal beheren van alle desktop en gebruiker gerelateerde instellingen. Bij het aanmelden worden de centrale/algemene en persoonlijke instellingen opnieuw toegepast. Dit systeem maakt alle applicaties beschikbaar waarvoor de gebruiker is geautoriseerd rondom beveiliging en BIG maar verhinderd het starten van applicaties waar de gebruiker niet voor geautoriseerd is. Alle applicaties worden zoveel mogelijk middels applicatie virtualisatie aangeboden. Afhankelijk van het type applicatie, het gebruik en de mogelijkheden zal per applicatie bekeken worden wat de beste manier van aanbieden is binnen de gekozen oplossing. De nieuwe werkplek is voor alle medewerkers toegankelijk vanaf alle gangbare type devices zoals thinclient, tablet, laptop en desktop systemen. Het dient voor gebruikers mogelijk te zijn om van fysieke werkplek te wisselen waarbij de bestaande sessie behouden blijft inclusief alle openstaande programma s en documenten. Om te voorkomen dat sessies oneindig open blijven staan zal er een limiet ingesteld worden voor niet actieve sessies. Tijdens de diverse interviews met gebruikers is naar voren gekomen dat een lange opstarttijd en trage werking van applicaties als zeer negatief wordt ervaren. Het overheersende gevoeld is dat men niet verplicht koffie wil halen tijdens het opstarten van de werkplek. De opstarttijd van de werkplek is sterk afhankelijk van het aantal policies welke toegepast worden vanwege security en beheers doeleinden. Het opstarten van de individuele applicaties is afhankelijk van de performance van zowel de virtuele werkplek als van de backend omgeving indien hier de applicaties worden gehost. In het ontwerp wordt rekening gehouden met de benodigde performance zodat applicaties snel opstarten en de desktop binnen acceptabele tijd opstarten. Vanuit functioneel oogpunt kan hier geen harde tijd aan gekoppeld worden zonder bepaalde beveiligingseisen los te laten. Het uitgangspunt zal in ieder geval zijn dat de desktop, na ingeven van gebruikersnaam en wachtwoord, binnen 60 seconden volledig opgestart en beschikbaar is voor de gebruiker. De diverse applicaties welke volledig binnen de virtuele werkplek worden gehost zoals Word en Excel dienen in maximaal 5 seconde opgestart te zijn. Van de opstarttijd van applicaties welke een directe relatie hebben met de backend omgeving of extern gehost worden kan alleen dezelfde wens uitgesproken worden en kan hier geen harde eis aan worden gesteld vanwege onderlinge afhankelijkheden. Met de nieuwe manier van werken is het niet altijd duidelijk of een collega binnen is en kan onderlinge communicatie lastiger zijn.de gemeente Katwijk zet in op een Unified Communications (UC) systeem met telepresence (TP) functionaliteit. Het UC/TP systeem dient te faciliteren dat gebruikers eenvoudig kunnen zien of een collega aanwezig en/of beschikbaar is. Het dient de mogelijkheid te bieden om snel onderling berichten te versturen (chat) maar ook tot online vergaderingen met audio en video. XIXO 2017 - Vertrouwelijk 7

Het systeem dient deze functionaliteit ook te faciliteren met externe partijen zodat er op eenvoudige wijze online vergaderen met externen mogelijk is. De gemeente Katwijk heeft inmiddels een pilot lopen met een UC/TP systeem. De uitkomsten van deze pilot lijken positief en het systeem voldoet aan de wensen. Het huidige systeem zal organisatie breed ingezet worden om deze functionaliteit aan alle gebruikers beschikbaar te maken. De gemeente Katwijk is voornemens de telefonie inrichting te migreren naar een oplossing gebaseerd op mobiele telefoons. Voor specifieke functies of afdelingen blijft het noodzakelijk om vaste telefoons te gebruiken zoals bijv. een receptie. Er dient een integratie te zijn tussen de mobiele devices en de vaste telefoons. Een voorbeeld van deze integratie bijv. dat de mobiele telefoons interne verkorte nummers krijgen vergelijkbaar met een vast toestel op een telefooncentrale. XIXO 2017 - Vertrouwelijk 8

3.4 Beheer De virtuele werkplek wordt uitgerold aan de hand van een master image. Dit master image dient geautomatiseerd samengesteld te worden. Het automatiseren van dit proces kost initieel meer tijd en vergroot de benodigde beheertijd echter levert winst op door een reproduceerbaar systeem te maken. Hiermee is het mogelijk om later zaken toe te voegen of te verwijderen zonder overgebleven restanten van oude software en/of applicaties. Alle wijzigingen aan de virtuele werkplek worden door de Team ICT doorgevoerd, gebruikers hebben zelf geen rechten om instellingen aan te passen of om software te installeren. Alle wijzigingen aan de werkplekken van gebruikers worden in eerste instantie in een testomgeving doorgevoerd. Wanneer alle wijzigingen gereed zijn wordt deze nieuwe versie van het systeem getest in een acceptatie pool en na goedkeurig uitgerold naar de rest van de organisatie. Hiermee wordt voorkomen dat een (kleine) wijziging de volledige organisatie verlamt. Het dient mogelijk te zijn om de nieuwe versies van de werkplek, na test en acceptie, geautomatiseerd uit te rollen naar alle medewerkers. Bij het vernieuwen van de werkplek dienen ingelogde gebruikers ongehinderd hun werkzaamheden te kunnen vervolgen (niet geforceerd afmelden). Nadat de gebruiker afgemeld is wordt de virtuele werkplek geüpdatet naar de nieuwe versie. Alle type virtuele werkplekken en applicaties worden toegekend op basis van groepslidmaatschap. Het dient mogelijk te zijn om per applicatie standaard instelling te configureren welke voor alle gebruikers gelden. Hiernaast dienen persoonlijke instellingen van gebruikers opgeslagen te worden bij afmelden en hersteld bij het aanmelden. De instellingen moeten per applicatie op te slaan en te herstellen/resetten zijn, niet alleen door de IT afdeling, maar ook door de gebruiker zelf. Waar mogelijk zal er gebruik gemaakt worden van selfservice voor de eindgebruikers. Hiermee wordt de IT afdeling ontlast en wordt de doorlooptijd van meldingen verkort. Om dit te realiseren dient er gebruik gemaakt te worden van geautomatiseerde workflows waarbij bijv. managers van een afdeling goedkeuring kunnen geven voor nieuwe applicaties waarna deze automatisch worden toegekend. Het systeem welke gebruikt wordt voor het beheren van persoonlijke instellingen en applicatietoewijzingen dient rapportages te faciliteren. Er dient o.a. gerapporteerd te kunnen worden op applicatiegebruik, licentiegebruik en doorgevoerde changes van bijv. workflows. Het dient voor de IT medewerkers mogelijk te zijn om met de gebruikers mee te kijken. De desktop management omgeving dient hierin te faciliteren. Het uiteindelijk doel van de ICT binnen de gemeente is het faciliteren van gereedschap waarmee de medewerkers hun taken kunnen uitvoeren. Voor het goed en stabiel opereren van de omgeving is het belangrijk dat de IT medewerkers de tools en kennis hebben om de omgeving zo optimaal mogelijk te beheren. Cruciale aspecten hierin zijn monitoring en kennis. Uit de gesprekken blijkt dat de huidige monitoring oplossing te wensen overlaat. Binnen de nieuwe omgeving dient monitoring ingericht worden welke de beheerders helpt om proactief te zijn en problemen op te lossen voordat het incidenten met uitval tot gevolg worden. Het monitoringsysteem dient alle aspecten van de omgeving in de gaten te houden en waar mogelijk automatisch herstelacties uit te kunnen voeren of op zijn minst informatie verzamelen en deze opnemen in de incident melding. Naast de monitoring is ook een goede kennis van de omgeving en gebruikte systemen cruciaal om deze goed te kunnen beheren. We adviseren de gemeente Katwijk om binnen de IT afdeling te inventariseren waar er behoefte is voor aanvullende technische training en de medewerkers deze mogelijkheid te bieden. XIXO 2017 - Vertrouwelijk 9

3.5 Beveiliging Toegang tot de omgeving en applicaties dient beperkt te worden tot hiervoor geautoriseerde gebruikers. De basis voor autorisatie is Active Directory groepslidmaatschap. Om ongeautoriseerde toegang te voorkomen zal er gebruik gemaakt gaan worden van een multifactor-authenticatie (MFA) oplossing waarbij gebruikers naast iets wat ze weten (een gebruikersnaam en wachtwoord) moeten aanmelden met iets wat ze hebben (token). Op basis van gesprekken met de diverse gebruikers blijkt dat een hardware token niet als wenselijk wordt beschouwd en dat men de voorkeur geeft aan een SMS of app gebaseerde oplossing. Bij voorkeur gaat er gebruik gemaakt worden van een SSO oplossing waarbij alle applicaties gestart kunnen worden d.m.v. het eenmalig ingeven van credentials bij het starten van de sessie. Hierbij dient er rekening gehouden te worden met de beveiliging consequenties. Door het kennen van de gebruikersnaam/wachtwoord combinatie kan er vertrouwelijke informatie opgevraagd worden uit de diverse systemen waarvoor normaal gesproken additionele authenticatie benodigd is. Bij het gebruik van een SSO oplossing dient er in elke situatie gebruik gemaakt te worden van MFA. Hierbij worden ook de beveiligde ruimten van het gemeentehuis bedoeld, zelfs wanneer deze bekabeld zijn. De virtuele werkplek zal voorzien worden van een antivirusoplossing welke integreert met de virtualisatie laag. Hiermee is het mogelijk om de controle buiten de desktop uit te voeren. Aangezien de actieve controle niet binnen de werkplek wordt uitgevoerd is er ook geen wijze waarop malware de antivirussoftware kan uitschakelen. Door de antivirus oplossing buiten de desktop in de virtualisatie laag te plaatsen wordt ook de performance gemaximaliseerd wat weer leidt tot een verbeterde gebruikerservaring. De antivirus software dient automatisch de pattern files te updaten wanneer deze beschikbaar zijn. Het updaten van de daadwerkelijke software dient, i.v.m. onderlinge software afhankelijkheden, handmatig door Systeembeheer uitgevoerd te worden tijdens gepland onderhoud. De geïmplementeerde antivirus/antimalware oplossing dient over geavanceerde technieken te beschikken om virussen/malware/ransomware te detecteren en deze direct te stoppen voordat de gehele omgeving hierdoor wordt getroffen. Naast actieve antivirus/malware filtering dient er filtering van uitvoerbare bestanden te zijn door middel van whitelisting. Hiermee kunnen alleen vooraf gedefinieerde en toegestane bestanden uitgevoerd worden. Alle uitvoerbare bestanden en applicaties dienen door de IT afdeling geaccordeerd te worden voordat deze gestart kunnen worden. Ondanks dat dit het gebruikersgemak beperkt en de beheer last verhoogd zijn wij van mening dat in het huidige IT landschap een dergelijke inrichting onontbeerlijk is en bijdraagt aan de algehele stabiliteit en continuïteit van de omgeving. Naast de technische maatregelen om misbruik tegen te gaan dienen gebruikers ook bewust gemaakt te worden van het informatiebeveiligingsbeleid en hun positie c.q. invloed op de informatiebeveiliging. De gemeente Katwijk dient zich vanwege wetgeving te conformeren aan de BIG. Vanuit de CISO zijn hier diverse richtlijnen voor gegeven. De belangrijkste zijn dat alle systemen waarmee verbinding wordt gemaakt met de omgeving van de gemeente Katwijk actief beheerd dienen te worden. Er dient actieve antivirusbescherming te zijn op de werkplekken en vanwege informatiebeveiliging worden USB datadragers en thuis printen niet toegestaan. XIXO 2017 - Vertrouwelijk 10

3.6 MDM De nieuwe mobiele telefoons en tablets dienen centraal beheerd te kunnen worden middels een Mobile Device Management systeem. Dit systeem dient te integreren met Active Directory zodat gebruikers aan de hand van hun bestaande inlog gegevens het device kunnen koppelen. Er dient onderscheid gemaakt te kunnen worden tussen company en user devices waarbij er verschillende policies toegepast kunnen worden afhankelijk van het type device. De devices dienen op een eenvoudige manier toegevoegd te kunnen worden aan de MDM waarbij voorconfiguratie vanuit de leverancier een dringende voorkeur heeft. Na ontvangst van het toestel is het dan alleen nodig om autorisatie in te geven waarna het device wordt geconfigureerd. De MDM oplossing dient veilige toegang tot interne resources te faciliteren waarbij alleen geautoriseerde devices verbinding kunnen maken. Tevens dient de MDM oplossing een veilige manier te bieden voor het synchroniseren van email/agenda s op de mobiele devices. Het dient mogelijk te zijn om instellingen op de telefoon af te dwingen, zoals bijv. een PIN-code met een minimale lengte. Naast het opleggen van restricties dient het ook mogelijk te zijn om vooraf gedefinieerde instellingen (email configuratie, wireless netwerken) en/of applicaties te kunnen pushen naar de devices. Wanneer devices niet voldoen aan de vooraf gedefinieerde regels (non-compliance) dient er een automatische melding naar Systeembeheer gedaan te worden nadat automatische remediation mislukt is. De MDM oplossing dient de mogelijkheid te bieden om op afstand een device te kunnen vergrendelen of (gedeeltelijk) te kunnen wipen in het geval van verlies of diefstal. Aangezien alle systemen welke worden gebruikt om de omgeving te benaderen volgens de BIG actief beheerd dienen te worden dient de MDM oplossing ook de mogelijkheid te bieden om mobiele devices te beheren welke niet altijd binnen het gemeentehuis aanwezig zijn. XIXO 2017 - Vertrouwelijk 11

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback