ACCESS GOVERNANCE PIZZASESSIE Arnout van der Vorst & Tjeerd Seinen
AGENDA PIZZASESSIE ACCESS GOVERNANCE 17:30 Conceptuele schets Access Governance 18:30 Pizza 19:15 Product demo 20:15 Borrel
ACCESS GOVERNANCE Doelstellingen/uitgangspunten Access Governance Status van UMRA en IAM Modulen en fasering van IAM Werking en concept Access Governance Opbouw van het model
DOELSTELLINGEN ACCESS GOVERNANCE Het beheersbaar maken van het proces van toekennen en intrekken van autorisaties; Het voldoen aan externe normeringen (NEN, ISO, BIG, SOX, etc.) en het voldoen aan de audits van de accountants; Effectief en efficiënt beheer van autorisaties. Het terugdringen van de doorlooptijd om de juiste autorisaties uit te geven; Het terugdringen van inspanning om autorisaties te beheren; De aanvragen, goedkeuringen en verwerking laten uitvoeren door de organisatie. Veiliger, betrouwbaarder, compliant met minder geld
DOELSTELLINGEN ACCESS GOVERNANCE Stoppen en opschonen van rechtenvervuiling in Active Directory, NTFS, Exchange Access Governance: Alle werkzaamheden en resources zijn gemodelleerd; Wijzigingen worden automatisch doorgevoerd; Alle verantwoordelijke managers zijn bekend en werkzaam met het autorisatiemodel; Alle autorisaties zijn herleidbaar tot het model inclusief de aanvragen en goedkeuringen.
STATUS UMRA Installed base van meer dan 500 klanten in Nederland, meer dan 5000 wereldwijd Eerste versie 2004 UMRA wordt doorontwikkeld en onderhouden tot tenminste 2020 Toevoegen van koppelingen Uitbreiden van de acties Optimaliseren waardoor UMRA-scripts korter worden Tekortkomingen UMRA Voor iedere wijziging is een consultant nodig, het is lastig om wijzigingen zelf uit te voeren Niet duidelijk wat UMRA doet (black box) UMRA is niet flexibel en het doorvoeren van wijzigingen kost veel tijd Vervanger is IAM (Identity & Access Management) Ontwikkeling IAM is gestart in 2010
IAM STATUS Gestart met roll out in zomer 2015 Alle nieuwe klanten krijgen IAM 20 klanten worden nu geïmplementeerd Verder verrijken van het framework Uitrol naar bestaande klanten vanaf Q1 2016
WebService IAM Modules Reporting Helpdesk Workflow End User Manager Security mgr Forms Delegation Access Governance Native Email/ticket Microsoft Infra Cloud Apps Facility Mgmt ID Vault Log Read Only Business Apps
1 2 3 time Helpdesk Delegation + Access Governance Connector HR system Workflow & Self Service Application Management HR department HR system Scenario s - - - Scenario s - Onboard - Jobtitle change - Offboard - Re-boarding - Etc. AG Facility Management IT department IAM
Medewerker Administratie Financiële afd Controller Attributen Access Governance Entitlements
Financiële afdeling Bijhouden grootboek AD_GRP_A PPL_SAP_FI CO Medewerker Administratie Financiële afd Controller Administratie Afdeling Customer Support Uitvoeren Betalingen Debiteuren beheer Betaling facturen Betaling salarissen SAP FICO_BASIC SAP FICO_INVOI CE_LVL2 Afdeling HR Opstellen rapportages Betaling LB + BTW Werkzaamheden Middelen
Workflow Management 6 New Employee (a) Fin. Dep (b) Fin. Admin (c) Amsterdam (d) External Access Governance Model 5 a c a C b c 4 Netwerk 1 ID Vault 3 2
VOLWASSENHEID AUTORISATIE MANAGEMENT Maturity level Copy user Templates Profiles Procedures email XLS MS Access Custom Access Governance
Templates Profiles Procedures XLS Mining Attestation feedback Func. Appl. Beheer Helpdesk requests Manager Attestation 0 to 25% autorisaties worden bepaald door model IM Re-Certificatie van het model IM 2 jaar 3 mnd SEC 9 mnd SEC 25% 0% IST 100% SOLL 75% Niet volgens model Automatisch Optioneel Attestation 100% to 75% ter review door manager Audit goed, security is niet goed
PIZZA TOT 19:15
ACCESS GOVERNANCE Product demonstratie
SCENARIO S Aanmaken nieuwe gebruiker (instroom van IDU) Opbouwen van het model In Control
AANMAKEN NIEUWE GEBRUIKER 1. Aanmaken nieuwe gebruiker in HRM systeem 2. Sync naar ID Vault (forceer scheduler) 3. Account is aangemaakt met basis autorisaties 4. Notificatie naar manager, manager kan additionele autorisaties aanvragen 5. Medewerker kan zelf ook autorisaties aanvragen 6. Autorisaties worden doorgevoerd Active Directory TOPdesk
AANMAKEN NIEUWE GEBRUIKER Aanmaken nieuwe gebruiker in HRM systeem
AANMAKEN NIEUWE GEBRUIKER Sync naar ID Vault (forceer scheduler) Sync IAM ID Vault
AANMAKEN NIEUWE GEBRUIKER Account is aangemaakt met basis autorisaties Boekhouden ITR_Boek GRP_AP PL_BH Administratie Financiële Administratie Controller GRP_AP PL_PH HR Administratie ITR_Contr GRP_AP PL_CT GRP_AP PL_CTS
AANMAKEN NIEUWE GEBRUIKER Notificatie naar manager, manager kan additionele autorisaties aanvragen Request Controller Approve ITR_Contr GRP_AP PL_CT GRP_AP PL_CTS
AANMAKEN NIEUWE GEBRUIKER Medewerker kan zelf ook autorisaties aanvragen Request process
OPBOUWEN VAN HET MODEL 1. Genereer model en rol mining 2. Impact Analysis 3. Role Separation
OPBOUWEN VAN HET MODEL Genereer model en rol mining Rotterdam Magazijn medewerker ITR_Magazijn GG_DIST_ MAGAM Magazijn West Amsterdam GG_DEP_ MAGAM Den Haag Alkmaar
OPBOUWEN VAN HET MODEL Impact Analysis Rotterdam Magazijn medewerker ITR_Magazijn GG_DIST_MA GAM Amsterdam Magazijn West GG_DEP_MA GAM Impact Den Haag Alkmaar
OPBOUWEN VAN HET MODEL Role Separation Rotterdam Magazijn medewerker ITR_Magazijn GG_Order Pay Magazijn West Amsterdam GG_DEP_ MAGAM Den Haag Order picker ITR_Order GG_Order book GG_Order pick Alkmaar
IN CONTROL 1. Re-certification 2. Rapportages 3. Attestation
IN CONTROL Re-certification Review Process
IN CONTROL Rapportages
IN CONTROL Attestation Review Process
BEDANKT VOOR UW TIJD EN AANDACHT