Identity driven business solutions

Identity & Access Management in de Centrale Overheid

De Nederlandse Overheid streeft naar verhoging van de slagvaardigheid en efficiency. Dit vanuit een breed maatschappelijk gedragen wens om de kwaliteit en de effectiviteit van de dienstverlening te verhogen. Departementen die kennis delen en nog meer dan in het verleden gaan samenwerken. Overheidsambtenaren worden regelmatig aangesteld bij meer dan 1 departement om kennis te delen met collegae. Er worden steeds vaker Interdepartementale initiatieven ontplooid en interdepartementale Mobiliteit wordt aangemoedigd.

Huidige situatie
Ieder departement is uitgerust met tenminste één volledige ICT organisatie. Binnen de grote Departementen zijn meerdere ICT organisaties actief, vaak met verschillende infrastructuren. Specifieke eisen ten aanzien van kwaliteit, capaciteit, technologie en/of veiligheid hebben geleid tot het ontstaan van deze verschillende organisaties. De mainstream ICT dienst geleverd vanuit de Directie Informatisering biedt geen dekkende oplossing voor de specifieke behoeften. Bekende voorbeelden zijn BC/ICT van Financiën of DJI van Justitie. De logische- en fysieke omgevingen van de departementen worden gebruikt door ambtenaren van het eigen departement en door personen die tijdelijk werkzaamheden verrichten bij het departement. Die laatste groep bestaat uit ambtenaren van andere departementen of ingehuurde externe expertise.

Het project van A-naar-Beter bevordert het thuiswerken van ambtenaren. Men dient dus de beschikking te hebben over logische toegankelijkheid tot de ICT omgevingen van het departement vanaf de thuiswerkplek.

Het initiatief Digitale Werkplek Rijksoverheid (DWR)en het project GOUD zijn juist nu opgericht om invulling te geven aan de functionele- en technische eisen die gesteld worden aan de ICT infrastructuur van de Rijksoverheid.

De aanstelling van een CIO voor de gehele Rijksoverheid geeft duidelijk aan welk belang onze regering toekent aan een communicatie-infrastructuur, die de interdepartementale samenwerking moet gaan ondersteunen en de slagvaardigheid en kwaliteit van de dienstverlening aan de burger verhogen.

De uitdaging
Om deze initiatieven te ontplooien in een heterogene omgeving is geen sinecure. De afstemming van de verschillende departementen en de verschillende ICT infrastructuur op elkaar stelt hoge eisen aan de nieuwe communicatienetinfrastructuur.

De eindgebruikers moet een veiliger en gebruiksvriendelijker systeem voor toegankelijkheid en toegangsbeveiliging krijgen dan wat momenteel beschikbaar is.

De verschillende ICT omgevingen (logische) zijn sinds hun ontstaan sterk in kwantiteit en complexiteit toegenomen. Vaststellen wie op basis van gecontroleerde eisen toegangsrechten heeft tot informatie of fysieke ruimten is een uitdaging op zich. Vooral omdat vanuit wettelijke kaders eisen gesteld worden aan de toegankelijkheid (beschikbaarheid, integriteit en vertrouwelijkheid) van ruimten en informatie. Kortom toegankelijkheid moet controleerbaar, beheersbaar en auditeerbaar zijn.

In de praktijk is gebleken dat logische- en fysieke toegangsrechten niet efficiënt beheerd worden omdat eigenaren/beheerders van systemen of ruimten niet beschikken over correcte- en actuele lijsten van ambtenaren/externen/aanstellingen/rollen/afdelingen. Een dergelijke actuele lijst is de basis voor uitgifte en beheersing van logische en fysieke rechten; Identiteiten en toegangsbeheer.

Departementen dienen elkaars ambtenaren te vertrouwen. Departementen zullen dus van elkaar eisen, dat adequaat omgegaan wordt met beheer van identiteiten en toegangsrechten binnen de departementen. Hiervoor zijn normenkaders noodzakelijk.

De oplossing
De oplossing ligt in een systeem dat de gebruikerservaring verbetert en tegelijkertijd zorgt voor de controle mechanismen die de diverse groepen vereisen. Daarbij zal het systeem toekomstvastheid moeten bieden en continuïteit moeten garanderen opdat nieuwe ontwikkelingen als de Rijkspas ingepast kunnen worden.

De Identity & Access Management (IAM) omgeving van Trusted-ID biedt relevante oplossingen hiervoor:

  • Provisioning omgevingen waarmee de gebruikte identiteiten worden gedistribueerd, gemuteerd of ingetrokken;
  • CMS Systemen die sterke authenticatie ten behoeve van de Rijkspas mogelijk maken.
  • Single Sign On systemen die de aanlogervaring verbeteren en vereenvoudigen;
  • Role Based Access omgevingen waarmee de controle op het juiste gebruik van rechten kan worden gecontroleerd.
  • Federatie mechanismen om rechtenuitgifte mogelijk te maken richting andere organisaties.

Additioneel kan een IAM omgeving worden gebruikt om zaken als controle op fysieke toegang of het vullen van een actueel telefoonboek, het voeden van een dynamisch evacuatie plan etc. te managen.

Identity & Access Management (IAM)
De IAM omgeving is modulair van opzet aangezien de prioriteitenstelling van functionaliteiten binnen iedere organisatie verschilt. IAM wordt ingevoerd om de veiligheid te vergroten en de controleerbaarheid te verbeteren. De kwaliteitscontrole kan zo naar een hoger niveau getild worden. Verder zal moeten worden vastgesteld welke middelen met de IAM omgeving het best kunnen worden beheerd of gecontroleerd.

Voorgaande illustratie geeft een overzicht van de wijze waarop door middel van een Meta Directory Identity lifecycle Manager distributie van rechten kan plaatsvinden. Van belang hierbij is dat de zaken die de ILM omgeving moet uitvoeren conform wensen en eisen van de diverse belanghebbenden zijn. Verder zal moeten worden bepaald vanuit welke bron de controle wordt uitgevoerd. HR omgevingen worden over het algemeen accuraat bijgehouden. De brongegevens uit de HR omgeving zoals namen, personeelsnummer en functie kunnen als basisinformatie worden gebruikt. Verrijking van deze informatie met zaken als rol, locatie, identiteitsgegevens (biometrische gegevens e.d.) kunnen vanuit andere bronnen worden toegevoegd.

Een ILM implementatie verloopt in de volgende stappen: 

  • Vaststellen wensen en eisen pakket, afgestemd en overeengekomen met alle belanghebbende groepen en personen
  • Maken van het Functioneel ontwerp
  • Maken van het technisch ontwerp
  • Keuze van de te gebruiken technologie en het stappenplan voor invoering van de IAM omgeving
  • Implementatie
  • Beheer en onderhoud

Een typisch IAM project beslaat grotendeels uit het bepalen van een strategie en de planning van werkzaamheden. Uitvoering is cruciaal maar zal alleen slagen als de juiste invoerstrategie is gekozen.

Samenvattend
De ICT omgevingen van Rijksoverheidsorganisaties zijn complex en omvangrijk. De interdepartementale samenwerkingsverbanden, de locatiediversiteit en de specifieke eisen en wensen vormen een uitdaging. Een juiste IAM strategie voor de Rijksoverheid kan met deze diverse en complexe situatie omgaan. Daarnaast zal moeten worden gezocht naar de meest efficiënte invoermethode (Plan van aanpak). Waar kan op korte termijn de grootste winst behaald worden; gebruikerservaring, gebruiksgemak, veiligheid, kwaliteitsverhoging of compliancy? Of ligt de grootste winst in het bereiken van een samenstel van deze doelstellingen?

  • Trusted-ID heeft de kennis en de middelen om een IAM strategie uit te voeren.
  • Trusted-ID heeft jaren ervaring met de invoering van een IAM strategie in de overheid;
  • Trusted-ID heeft aangetoond ook in grote complexe omgevingen van de Centrale overheid succesvol een IAM strategie te kunnen initiëren en implementeren;

De juiste strategie is cruciaal!