Case: Optimale toegangscontrole bij NIBC

Voor financiële instellingen is het cruciaal te weten wie er toegang heeft tot systemen en welke rechten gebruikers hebben binnen applicaties. Niet voor niets zijn dit zaken waar toezichthouder De Nederlandsche Bank (DNB) auditeisen aan stelt. NIBC Bank in Den Haag heeft onlangs samen met QS solutions Role Based Access Control (RBAC) ingevoerd. Hiermee kan NIBC Bank op basis van gebruikersrollen toegangen en rechten regelen in systemen en applicaties.

 “We waren al van plan een aantal verbeterslagen te maken in het beheren van onze user accounts, oftewel het identity management”, zegt Peter Groen, Head of IT Strategy, Security and Control bij NIBC. “We hebben het laatste zetje in onze rug gekregen van DNB, de toezichthouder. De DNB verwacht van Nederlandse banken en financiële instellingen dat ze al hun IT-beheerprocessen op een bepaald maturity level hebben. Het verwachte volwassenheidsniveau is level 3, terwijl wij voor identity management op niveau 2 zaten. Daarom hebben we besloten om in 2012 RBAC in te voeren.”

NIBC realiseerde zich snel dat er een softwareapplicatie en een professionele implementatiepartij nodig zijn bij het invoeren van het RBAC-proces. “We hebben binnen de bank het IT-principe ‘Microsoft tenzij’. Dus voor de tooling hebben we gekeken naar Microsoft. De Microsoft Forefront Identity Manager (FIM) en BHOLD software bleken uitstekend te voldoen aan onze eisen en wensen. Vervolgens is gekeken naar wie er expertise heeft in BHOLD en FIM, en wie ons kon helpen bij de implementatie. Zo zijn we bij QS solutions uitgekomen.”

Snelle distributie van toegangsrechten
2013 heeft in het kader gestaan van planning en ontwerp van het rollenmodel, de processen en de tooling. De tooling is vervolgens in begin 2014 in een redelijk kort tijdsbestek neergezet. QS solutions heeft FIM/BHOLD geïnstalleerd en ingericht volgens de eerder ontworpen processen. Ook zijn de noodzakelijke koppelingen met Active Directory en het interne HR-systeem gemaakt. Medio 2014 ging NIBC live met de eerste ‘release’ van het RBAC-proces in FIM en BHOLD.

Na enkele maanden volgde een tweede release om verbeteringen aan te brengen. Groen: “De interfaces met het HR-systeem en Active Directory konden bijvoorbeeld anders worden opgezet waardoor wijzigingen in toegang en autorisaties sneller worden doorgevoerd. Wanneer medewerkers van afdeling veranderen, een nieuwe rol of promotie krijgen, in dienst komen of het bedrijf verlaten wordt dat altijd direct bijgewerkt in het HR-systeem. Door de geautomatiseerde doorgifte naar FIM en BHOLD kunnen medewerkers direct aan de slag met veranderde of nieuwe rechten.”

“Het is echt een leerproces geweest. Er zijn ook wel wat dingen misgegaan, maar dat is altijd in een gecontroleerde situatie gebeurd. Ik denk dat wij in korte tijd een mooie geautomatiseerde RBAC-oplossing hebben neergezet.”

Betrek de business bij RBAC

Een belangrijke les is volgens Groen dat het zaak is altijd de business, de interne klant, bij dergelijke trajecten te betrekken. “Want uiteindelijk is een rollenmodel een weergave van je huidige organisatie. We hebben dan ook in dit project de hele organisatie betrokken bij het samenstellen van het rollenmodel. We hebben met managers gekeken naar de samenstelling van de afdelingen en met hen bepaald wie welke rol heeft en wat een houder van de rol mag doen.”

Een andere tip is aan te sluiten bij bestaande processen en tooling. “Wij hebben BHOLD en FIM uitgerold, maar wij hebben het laten aansluiten bij een bestaande bronadministratie, namelijk ons HR-systeem. Door de geautomatiseerde koppeling zijn er strakke afspraken gemaakt over functiebenamingen en roldefinities. Als bijkomend voordeel is daardoor het HR-systeem, als bronadministratie, zeer betrouwbaar geworden. Het RBAC-proces is iets nieuws, maar de medewerkers hebben niets gemerkt van alle doorgevoerde wijzigingen.”

“HR zorgt voor registratie van (nieuwe) medewerkers in het HR-systeem. De verantwoordelijke contactpersonen in de organisatie, meestal de secretaresses, koppelen de persoon aan het juiste team zodat hij of zij de juiste rollen krijgt. Als onderdeel van het implementatietraject hebben de secretaresses deelgenomen in sessies waarin het nieuwe proces is uitgelegd. Daarmee zijn zij goed voorbereid op de nieuwe werkwijze.”

Resultaat

 “Het grootste compliment dat wij krijgen van onze interne klanten is dat ze niets van het RBAC-proces merken. Doordat we vooraf goed naar hen hebben geluisterd en afspraken hebben gemaakt over rollen en bedrijfsprocessen, hebben we de technische inrichting zonder directe betrokkenheid van de business kunnen doen. We hebben met de managers en medewerkers over rechten gesproken in businesstermen en niet in IT-termen. De IT-afdeling heeft de organisatie dus echt kunnen ontzorgen.”

“En tenslotte: doordat we bij voor ons bekende technologie van Microsoft zijn gebleven, hebben we ervoor gezorgd dat de extra beheerlast van de nieuwe processen, tooling en interfaces uiteindelijk meevalt.” Inmiddels heeft NIBC Bank voor identity management volwassenheidsniveau 3 aangetoond, ondersteund door verschillende interne audits.