ACCESS GOVERNANCE PIZZASESSIE. Arnout van der Vorst & Tjeerd Seinen

ACCESS GOVERNANCE PIZZASESSIE

Arnout van der Vorst & Tjeerd Seinen

AGENDA PIZZASESSIE ACCESS GOVERNANCE 17:30 Conceptuele schets Access Governance 18:30 Pizza 19:15 Product demo

20:15 Borrel

ACCESS GOVERNANCE  Doelstellingen/uitgangspunten Access Governance  Status van UMRA en IAM  Modulen en fasering van IAM

 Werking en concept Access Governance  Opbouw van het model

DOELSTELLINGEN ACCESS GOVERNANCE  Het beheersbaar maken van het proces van toekennen en intrekken van autorisaties;  Het voldoen aan externe normeringen (NEN, ISO, BIG, SOX, etc.) en het voldoen aan de audits van de accountants;  Effectief en efficiënt beheer van autorisaties.  Het terugdringen van de doorlooptijd om de juiste autorisaties uit te geven;  Het terugdringen van inspanning om autorisaties te beheren;  De aanvragen, goedkeuringen en verwerking laten uitvoeren door de organisatie.

Veiliger, betrouwbaarder, compliant met minder geld

DOELSTELLINGEN ACCESS GOVERNANCE  Stoppen en opschonen van rechtenvervuiling in Active Directory, NTFS, Exchange  Access Governance:    

Alle werkzaamheden en resources zijn gemodelleerd; Wijzigingen worden automatisch doorgevoerd; Alle verantwoordelijke managers zijn bekend en werkzaam met het autorisatiemodel; Alle autorisaties zijn herleidbaar tot het model inclusief de aanvragen en goedkeuringen.

STATUS UMRA  Installed base van meer dan 500 klanten in Nederland, meer dan 5000 wereldwijd  Eerste versie 2004  UMRA wordt doorontwikkeld en onderhouden tot tenminste 2020  Toevoegen van koppelingen  Uitbreiden van de acties  Optimaliseren waardoor UMRA-scripts korter worden

 Tekortkomingen UMRA

 Voor iedere wijziging is een consultant nodig, het is lastig om wijzigingen zelf uit te voeren  Niet duidelijk wat UMRA doet (black box)  UMRA is niet flexibel en het doorvoeren van wijzigingen kost veel tijd

 Vervanger is IAM (Identity & Access Management)  Ontwikkeling IAM is gestart in 2010

IAM STATUS  Gestart met roll out in zomer 2015  Alle nieuwe klanten krijgen IAM  20 klanten worden nu geïmplementeerd

 Verder verrijken van het framework  Uitrol naar bestaande klanten vanaf Q1 2016

IAM Modules Workflow

End User Forms Manager

WebService

Helpdesk

Reporting

Access Governance

Native

Microsoft Infra Cloud Apps

Email/ticket

Security mgr Delegation

Facility Mgmt Read Only ID Vault

Log

Business Apps

time 1 Helpdesk Delegation

+

Access Governance

2

3

Connector HR system

Workflow & Self Service

Application Management

HR department

Scenario’s AG - Onboard - Jobtitle change - Offboard Scenario’s - Re-boarding - Etc.

HR system

IAM

Facility Management

IT department

Medewerker • Administratie • Financiële afd • Controller

Attributen

Access Governance

Entitlements

Financiële afdeling

Medewerker • Administratie • Financiële afd • Controller

Administratie

Uitvoeren Betalingen

Betaling facturen

SAP FICO_BASIC

Debiteuren beheer

Betaling salarissen

SAP FICO_INVOI CE_LVL2

Opstellen rapportages

Betaling LB + BTW

Afdeling Customer Support

Afdeling HR

Werkzaamheden

AD_GRP_A PPL_SAP_FI CO

Bijhouden grootboek

Middelen

Workflow Management

6 5

Netwerk

Access Governance Model

New Employee (a) Fin. Dep (b) Fin. Admin (c) Amsterdam (d) External

a a b C

c

1

3 ID Vault

2

c

4

VOLWASSENHEID AUTORISATIE MANAGEMENT

Maturity level

Copy user

Templates

Profiles

Procedures email

Access Governance

XLS

MS Access Custom

   

Templates Profiles Procedures XLS

 Mining  Attestation feedback  Func. Appl. Beheer  Helpdesk requests Attestation  Manager 0 to 25% autorisaties worden bepaald door model Re-Certificatie van het model IM IM 2 jaar SEC 9 mnd

3 mnd

SEC

25%

Niet volgens model 100% SOLL

0% IST 75%

Attestation 100% to 75% ter review door manager Audit goed, security is niet goed

Automatisch Optioneel

PIZZA TOT 19:15

ACCESS GOVERNANCE

Product demonstratie

SCENARIO’S  Aanmaken nieuwe gebruiker (instroom van IDU)  Opbouwen van het model  In Control

AANMAKEN NIEUWE GEBRUIKER 1. 2. 3. 4.

Aanmaken nieuwe gebruiker in HRM systeem Sync naar ID Vault (forceer scheduler) Account is aangemaakt met basis autorisaties Notificatie naar manager, manager kan additionele autorisaties aanvragen 5. Medewerker kan zelf ook autorisaties aanvragen 6. Autorisaties worden doorgevoerd  Active Directory  TOPdesk

AANMAKEN NIEUWE GEBRUIKER

Aanmaken nieuwe gebruiker in HRM systeem

AANMAKEN NIEUWE GEBRUIKER

Sync naar ID Vault (forceer scheduler)

Sync

IAM ID Vault

AANMAKEN NIEUWE GEBRUIKER

Account is aangemaakt met basis autorisaties Boekhouden

ITR_Boek

Financiële Administratie

GRP_AP PL_PH Controller

Administratie HR Administratie

GRP_AP PL_BH

ITR_Contr

GRP_AP PL_CT GRP_AP PL_CTS

AANMAKEN NIEUWE GEBRUIKER

Notificatie naar manager, manager kan additionele autorisaties aanvragen Request

Approve

Controller ITR_Contr

GRP_AP PL_CT GRP_AP PL_CTS

AANMAKEN NIEUWE GEBRUIKER

Medewerker kan zelf ook autorisaties aanvragen

Request

process

OPBOUWEN VAN HET MODEL 1. Genereer model en rol mining 2. Impact Analysis 3. Role Separation

OPBOUWEN VAN HET MODEL

Genereer model en rol mining Rotterdam Magazijn medewerker Amsterdam Magazijn West Den Haag

Alkmaar

ITR_Magazijn

GG_DIST_ MAGAM GG_DEP_ MAGAM

OPBOUWEN VAN HET MODEL

Impact Analysis Rotterdam

Magazijn medewerker

ITR_Magazijn

GG_DIST_MA GAM

Amsterdam GG_DEP_MA GAM

Impact

Magazijn West

Den Haag

Alkmaar

OPBOUWEN VAN HET MODEL

Role Separation Rotterdam Magazijn medewerker

ITR_Magazijn

Amsterdam

GG_DEP_ MAGAM

Magazijn West Den Haag

GG_Order Pay

Order picker

ITR_Order

GG_Order book GG_Order pick

Alkmaar

IN CONTROL 1. Re-certification 2. Rapportages 3. Attestation

IN CONTROL

Re-certification

Review

Process

IN CONTROL

Rapportages

IN CONTROL

Attestation Review

Process

BEDANKT VOOR UW TIJD EN AANDACHT