In gesprekken met de diverse ziekenhuizen merk ik dat er behoefte bestaat aan een vertaling van de richtlijnen uit de NEN 7510 naar concrete toepassingen. Binnen de ziekenhuizen worden in het kader van de NEN 7510 certificering projectgroepen gevormd die tot doel hebben om de richtlijnen uit de NEN 7510 te vertalen naar toepasbare oplossingen die goed in de praktijk te implementeren zijn.
Om de zorgorganisaties een praktische handleiding te bieden voor verbetering van de punten waarop eerder zwak gescoord is, heb ik voor een aantal richtlijnen uit de NEN 7510 een vertaling gemaakt naar oplossingen die hierin kunnen voorzien en zich in de praktijk bewezen hebben.
In drie blog artikelen geef ik in ieder deel aan de hand van een onderwerp uit de NEN 7510 een vertaling van een aantal richtlijnen naar concreet toepasbare oplossingen. Dit blog artikel is het eerste deel en richt zich op beveiligingseisen ten aanzien van personeel en fysieke beveiliging. De genoemde richtlijnen en maatregelen in dit blog verwijzen naar de NEN 7510: 2004. Wanneer de definitieve versie van de herziening van de NEN 7510, de NEN 7510: 2010 beschikbaar komt (naar verwachting in september 2011), zal ik hier op dit blog uitgebreid ingaan op de punten waar de NEN7510 op dit gebied is aangescherpt.
8.3.2 Risico van toegang tot gegevens – intrekken toegangsrechten
De NEN 7510 stelt dat voorkomen dient te worden dat medewerkers of externe leveranciers na wijziging dienstverband of uit-diensttreding nog toegang hebben tot informatie of informatiesystemen van de instelling. Voor een goed systeembeheerder wordt deze eis als vanzelfsprekend beschouwd, maar vaak wordt vanuit de organisatie niet doorgegeven dat een medewerker uit-dienst is en blijft de IT-afdeling deze informatie onthouden. Dit heeft tot gevolg dat het account van de medewerker blijft bestaan, met het risico dat de medewerker na uit-diensttreding of functiewijziging nog steeds bij alle gegevens kan waar de medewerker tijdens zijn of haar actieve dienstverband ook toegang toe had.
Met het inrichten van een Identity Management (IdM) oplossing kan het inrichten van toegangsrechten goed en secuur ingericht worden middels een automatische ontmantelingsprocedure of aanpassing van de toegangsrechten bij uitdiensttreding of functiewijziging. De IdM oplossing zorgt voor een automatische koppeling tussen de contractgegevens van medewerkers in het personeelssysteem en de Active Directory. Voor de niet-loondienst medewerkers (externe partij, uitzendkrachten, maatschappen, etc.) kunnen dan middels de Identity Management oplossing zaken ingeregeld worden als beperkte levensduur van het user account, periodieke terugkoppeling met leidinggevende, overzichten van niet gebruikte user accounts, etc.
Een veel gebruikte Identity Management oplossing in de ziekenhuiswereld is User Management Resource Aministrator (UMRA) van Tools4ever. Deze oplossing wordt inmiddels bij 25 Nederlandse ziekenhuizen met veel succes ingezet en heeft bij deze ziekenhuizen een sterke bijdrage geleverd aan het voldoen aan de NEN 7510.
8.3.3 Teruggeven van voorzieningen
De NEN 7510 stelt dat medewerkers na uitdiensttreding alle eigendommen van de instelling die ze in bezit hebben terug dienen te geven. Deze eis lijkt heel logisch, maar blijkt in de praktijk vaak lastig te handhaven.
Het teruggeven van voorzieningen vormt een logische aansluiting op het intrekken van toegangsrechten als omschreven onder richtlijn 8.3.2. Naast het intrekken van de digitale toegang vormt het ontnemen van o.a. fysieke toegang (toegangspas) en het terugkrijgen van goederen en andere aan de instelling gerelateerde voorzieningen een minstens net zo belangrijk onderdeel van de ontmantelingsprocedure bij uit-diensttreding van medewerkers.
Een Identity Management oplossing biedt de mogelijkheid om een koppeling te realiseren met facility management systemen zoals Ultimo, Planon en TOPdesk. Dankzij deze koppelingen en de koppeling met het personeelssysteem kan bepaald worden welke items een vertrekkende medewerker in bezit heeft. Afhankelijk van de gebruikte procedure in de zorginstelling zorgt de Identity Management oplossing ervoor dat de betrokken medewerkers (directe leidinggevende, medewerker PZ en FM) geïnformeerd worden en de voorzieningen geretourneerd worden. De eerder besproken IdM oplossing UMRA biedt out-of-the-box koppelingen met Ultimo, Planon en TOPdesk en kan hiermee uitstekend voorzien in een sluitende ontmantelingsprocedure waarbij de betrokken personen en afdelingen geïnformeerd worden over de aanstaande uit-diensttreding van een medewerker en de in te leveren voorzieningen.
9.1.2 Fysieke toegangsbeveiliging
De NEN 7510 stelt dat middels fysieke toegangsbeveiliging beveiligde zones ingericht moeten worden waartoe alleen geautoriseerd personeel toegang toe heeft. Deze zones dienen ter bescherming van gegevens, apparatuur en personeel.
Voor het goed inrichten van fysieke toegangsbeveiliging is een koppeling met het personeelssysteem essentieel om de verstrekking en intrekking van een toegangspas/smartcard te kunnen relateren aan een geldig dienstverband van een medewerker. Een Identity Management oplossing kan uitstekend voorzien in de mogelijkheid om de informatie uit het personeelssysteem met een automatische koppeling te verbinden aan de beheerapplicatie van het toegangssysteem. Hierdoor kan ingeregeld worden dat een gebruiker alleen een toegangspas/smartcard krijgt op het moment dat deze een geldig dienstverband heeft. Daarnaast is het mogelijk een verband te leggen tussen de functie/afdeling van het contract van de medewerker en de beveiligde zones waar een medewerker toegang toe behoort te hebben. De eerder besproken IdM oplossing UMRA kan koppelen met de meeste fysieke toegangssystemen, zoals Galaxy, Chubb – Afx, EAL ATS, Nedap – AEOS en Keyprocessor - iProtect.
Voor meer informatie over de toepassing van de NEN 7510 - Informatiebeveiliging in de zorg en de mogelijkheden die hiertoe te behalen zijn met een Identity and Access Management oplossing, kunt gratis de white paper NEN 7510 compliance als pdf downloaden: White paper NEN 7510 compliance (pdf)
maandag 13 juni 2011
maandag 4 oktober 2010
Single Sign-On toegang tot het EPD
Single Sign-On staat de laatste tijd sterk in de belangstelling bij veel zorginstellingen. Met de NEN 7510 in het achterhoofd wordt binnen de zorg hard gewerkt aan het verbeteren van toegangsbeveiliging. Zo zijn groepsaccounts vervangen door individuele accounts en worden de complexiteitseisen voor wachtwoorden aangescherpt. Wachtwoorden moeten nu aan steeds meer eisen voldoen zoals een minimale lengte, het bevatten van een vreemd teken en soms ook uitsluiting van bekende woorden als de afdelingsnaam of de naam van de zorginstelling. Ook moeten wachtwoorden nu geregeld veranderd worden en is eenvoudig een nummertje ophogen van het wachtwoord uit den boze.
Privacy en toegangsbeveiliging
De verbeterde toegangsbeveiliging is natuurlijk een goede zaak om de privacy van de patiënt te waarborgen en misbruik van gegevens te voorkomen. Helaas hebben deze maatregelen ook een keerzijde. Sterkere toegangsbeveiliging maakt het niet alleen voor kwaadwillenden lastiger om zich toegang te verschaffen tot systemen en applicaties, ook voor de zorgverlener wordt de toegang lastiger. De zorgverlener heeft immers snel toegang nodig tot gegevens en vaak nog tot gegevens uit meerdere applicaties en vanaf verschillende werkstations (arts die tijdens het patientenbezoek op verschillende werkstations inlogt). Als deze applicaties dan allemaal een complex/sterk wachtwoord kennen en deze wachtwoorden ook nog eens verschillend zijn, levert dit al snel veel frustratie op bij de mensen op de werkvloer! De ICT afdeling is al snel de gebeten hond en wordt er zo niet populairder op. Om toch snel toegang te krijgen tot de gewenste applicaties, wordt vaak weer gebruik gemaakt van de bekende geheugensteuntjes als een briefje onder het toetsenbord of aan de zijkant van de monitor. Het behoeft geen toelichting dat dit vanuit beveiligingsoogpunt natuurlijk hoogst ongewenst is!
Toegang met eenmalig inloggen
Gelukkig bestaat er voor bovenstaande problematiek een oplossing die een sterke beveiliging combineert met een hoge mate van gebruiksvriendelijkheid. Middels Enterprise Single Sign-On (kortweg SSO) is het mogelijk om zorgverleners snel toegang te geven tot applicaties en systemen en toch een optimale beveiliging te waarborgen. Enterprise Single Sign-On geeft gebruikers na eenmaal inloggen toegang tot alle applicaties en systemen waar de gebruiker toe geauthenticeerd is. De Single Sign-On software vangt dan de inlogschermen af en zorgt voor snelle toegang tot de gegevens. De gebruiker hoeft nu slechts 1 wachtwoord te onthouden of in geval van gebruik van een passysteem alleen het pasje bij zich te hebben en eventueel een bijbehorende pincode te onthouden.
Authenticatie
In eerste instantie lijkt deze oplossing een verzwakking van de toegangsbeveiliging op te leveren. Alle belangrijke applicaties bevinden zich nu immers achter één enkele toegang. In de praktijk blijkt de toegangsbeveiliging met Single Sign-On juist sterk verbeterd te worden. Voorwaarde is dan wel dat de authenticatie die de gebruiker moet doen zeer goed beveiligd is. Denk hierbij aan een sterk wachtwoord wat regelmatig veranderd moet worden of aan het gebruik van two-factor authentication in de vorm van een toegangspas (o.a. UZI-pas, Mifare-pas) gecombineerd met een pincode. Een voordeel van het inloggen met een pas is tevens dat deze smartcards multi-functioneel inzetbaar zijn en naast de toegang tot de PC o.a. gebruikt kunnen worden voor Follow-Me printing, betalen in het restaurant, toegang tot fysieke ruimtes en toegang en betalen in de parkeergarage. De vele functies van de pas zorgen er voor dat de gebruiker de pas altijd bij zich heeft. Als deze pas dan ook gebruikt kan worden om in te loggen op de computer en toegang te krijgen tot het EPD en andere zorgsystemen, is de gebruiksvriendelijkheid voor de zorgverlener optimaal. Natuurlijk hangt aan een hoge mate van gebruiksvriendelijkheid ook een prijskaartje. Authenticatie middels een pasje of biometrie token brengt een aanmerkelijk hogere investering met zich mee dan toepassing van Single Sign-On middels een complex wachtwoord. Met de bezuinigingen in de zorg en de steeds krappere budgetten zien we dan ook vaak dat de keuze gemaakt wordt voor Single Sign-On middels een complex wachtwoord. Hiermee wordt toch snelle toegang tot gegevens en veel gebruiksvriendelijkheid geboden zonder zeer hoge investeringen en lange implementatietijden. Technisch gezien bieden beide oplossingen een sterke toegangsbeveiliging die volledig voldoet aan de eisen van de NEN 7510 en een Goed Beheerd Zorgsysteem (GBZ). De gevreesde verzwakking van de toegangsbeveiliging met Single Sign-On blijkt In de praktijk ongegrond. Omdat de gebruikers nog maar 1 wachtwoord hoeven te onthouden of zelfs alleen een pasje bij zich hoeven te hebben, verdwijnen de kenmerkende post-it blaadjes onder het toetsenbord of aan de monitor en kunnen kwaadwillenden zich geen toegang meer verschaffen tot belangrijke gegevens. Ook kan de IT afdeling nu een strikt wachtwoordbeleid doorvoeren zonder grote tegenstand van de gebruikers te vrezen. Een korte animatie over het gebruik van Single Sign-On met wachtwoord authenticatie of toegangspas is te zien op: Single Sign-On in de praktijk
Fast User Switching
In relatie met Single Sign-On komt vaak ook de term Fast User Switching naar voren. Middels Fast User Switching is het mogelijk dat gebruikers snel achter elkaar inloggen op een systeem en daarmee toegang krijgen tot bijvoorbeeld de patiëntgegevens in het EPD. Hiermee wordt de vertraging die ontstaat om uit- en weer in te loggen binnen het Windows besturingssysteem omzeild. In sommige netwerken kan deze vertraging oplopen tot enkele minuten en wordt dit door de zorgverlener als zeer hinderlijk ervaren. Bij Fast User Switching in combinatie met SSO wordt het wisselen van de user context afgehandeld binnen de SSO-omgeving en kan een gebruiker binnen 10 seconden wisselen van 1 gebruikersaccount naar een andere. Deze functionaliteit is bijvoorbeeld aantrekkelijk voor een arts die zijn/haar ronde doet bij de patienten en dus vaak moet inloggen op verschillende werkstations. Voor veel ziekenhuizen bestond lange tijde de angst dat het afschaffen van groepsaccounts grote vertragingen tot gevolg zou hebben bij het inloggen op gemeenschappelijke computers. Immers de medewerkers dienen zich met hun eigen username en wachtwoord bekend te maken alvorens ze toegang krijgen tot het EPD. Met Fast User Switching is van lange vertragingen geen sprake meer. Gebruikers kunnen snel achter elkaar inloggen. Zeker in combinatie met een passysteem heeft de gebruiker na het scannen van de pas al binnen enkele seconden toegang tot de benodigde gegevens in de diverse systemen en applicaties.
Single Sign-On in de praktijk
Meer informatie over de toepassing van Single Sign-On binnen ziekenhuizen kunt u lezen in onderstaande praktijkcases:
- Ziekenhuis Rivierenland: Single Sign On met gebruikerspas noodzakelijk voor NEN 7510
- Zuwe Hofpoort Ziekenhuis: Zuwe Hofpoort Ziekenhuis vindt oplossing voor digitaal onderdeel van NEN 7510
Meer informate over Enterprise Single Sign-On software kunt u vinden op: Enterprise Single Sign-On Manager
Privacy en toegangsbeveiliging
De verbeterde toegangsbeveiliging is natuurlijk een goede zaak om de privacy van de patiënt te waarborgen en misbruik van gegevens te voorkomen. Helaas hebben deze maatregelen ook een keerzijde. Sterkere toegangsbeveiliging maakt het niet alleen voor kwaadwillenden lastiger om zich toegang te verschaffen tot systemen en applicaties, ook voor de zorgverlener wordt de toegang lastiger. De zorgverlener heeft immers snel toegang nodig tot gegevens en vaak nog tot gegevens uit meerdere applicaties en vanaf verschillende werkstations (arts die tijdens het patientenbezoek op verschillende werkstations inlogt). Als deze applicaties dan allemaal een complex/sterk wachtwoord kennen en deze wachtwoorden ook nog eens verschillend zijn, levert dit al snel veel frustratie op bij de mensen op de werkvloer! De ICT afdeling is al snel de gebeten hond en wordt er zo niet populairder op. Om toch snel toegang te krijgen tot de gewenste applicaties, wordt vaak weer gebruik gemaakt van de bekende geheugensteuntjes als een briefje onder het toetsenbord of aan de zijkant van de monitor. Het behoeft geen toelichting dat dit vanuit beveiligingsoogpunt natuurlijk hoogst ongewenst is!
Toegang met eenmalig inloggen
Gelukkig bestaat er voor bovenstaande problematiek een oplossing die een sterke beveiliging combineert met een hoge mate van gebruiksvriendelijkheid. Middels Enterprise Single Sign-On (kortweg SSO) is het mogelijk om zorgverleners snel toegang te geven tot applicaties en systemen en toch een optimale beveiliging te waarborgen. Enterprise Single Sign-On geeft gebruikers na eenmaal inloggen toegang tot alle applicaties en systemen waar de gebruiker toe geauthenticeerd is. De Single Sign-On software vangt dan de inlogschermen af en zorgt voor snelle toegang tot de gegevens. De gebruiker hoeft nu slechts 1 wachtwoord te onthouden of in geval van gebruik van een passysteem alleen het pasje bij zich te hebben en eventueel een bijbehorende pincode te onthouden.
Authenticatie
In eerste instantie lijkt deze oplossing een verzwakking van de toegangsbeveiliging op te leveren. Alle belangrijke applicaties bevinden zich nu immers achter één enkele toegang. In de praktijk blijkt de toegangsbeveiliging met Single Sign-On juist sterk verbeterd te worden. Voorwaarde is dan wel dat de authenticatie die de gebruiker moet doen zeer goed beveiligd is. Denk hierbij aan een sterk wachtwoord wat regelmatig veranderd moet worden of aan het gebruik van two-factor authentication in de vorm van een toegangspas (o.a. UZI-pas, Mifare-pas) gecombineerd met een pincode. Een voordeel van het inloggen met een pas is tevens dat deze smartcards multi-functioneel inzetbaar zijn en naast de toegang tot de PC o.a. gebruikt kunnen worden voor Follow-Me printing, betalen in het restaurant, toegang tot fysieke ruimtes en toegang en betalen in de parkeergarage. De vele functies van de pas zorgen er voor dat de gebruiker de pas altijd bij zich heeft. Als deze pas dan ook gebruikt kan worden om in te loggen op de computer en toegang te krijgen tot het EPD en andere zorgsystemen, is de gebruiksvriendelijkheid voor de zorgverlener optimaal. Natuurlijk hangt aan een hoge mate van gebruiksvriendelijkheid ook een prijskaartje. Authenticatie middels een pasje of biometrie token brengt een aanmerkelijk hogere investering met zich mee dan toepassing van Single Sign-On middels een complex wachtwoord. Met de bezuinigingen in de zorg en de steeds krappere budgetten zien we dan ook vaak dat de keuze gemaakt wordt voor Single Sign-On middels een complex wachtwoord. Hiermee wordt toch snelle toegang tot gegevens en veel gebruiksvriendelijkheid geboden zonder zeer hoge investeringen en lange implementatietijden. Technisch gezien bieden beide oplossingen een sterke toegangsbeveiliging die volledig voldoet aan de eisen van de NEN 7510 en een Goed Beheerd Zorgsysteem (GBZ). De gevreesde verzwakking van de toegangsbeveiliging met Single Sign-On blijkt In de praktijk ongegrond. Omdat de gebruikers nog maar 1 wachtwoord hoeven te onthouden of zelfs alleen een pasje bij zich hoeven te hebben, verdwijnen de kenmerkende post-it blaadjes onder het toetsenbord of aan de monitor en kunnen kwaadwillenden zich geen toegang meer verschaffen tot belangrijke gegevens. Ook kan de IT afdeling nu een strikt wachtwoordbeleid doorvoeren zonder grote tegenstand van de gebruikers te vrezen. Een korte animatie over het gebruik van Single Sign-On met wachtwoord authenticatie of toegangspas is te zien op: Single Sign-On in de praktijk
Fast User Switching
In relatie met Single Sign-On komt vaak ook de term Fast User Switching naar voren. Middels Fast User Switching is het mogelijk dat gebruikers snel achter elkaar inloggen op een systeem en daarmee toegang krijgen tot bijvoorbeeld de patiëntgegevens in het EPD. Hiermee wordt de vertraging die ontstaat om uit- en weer in te loggen binnen het Windows besturingssysteem omzeild. In sommige netwerken kan deze vertraging oplopen tot enkele minuten en wordt dit door de zorgverlener als zeer hinderlijk ervaren. Bij Fast User Switching in combinatie met SSO wordt het wisselen van de user context afgehandeld binnen de SSO-omgeving en kan een gebruiker binnen 10 seconden wisselen van 1 gebruikersaccount naar een andere. Deze functionaliteit is bijvoorbeeld aantrekkelijk voor een arts die zijn/haar ronde doet bij de patienten en dus vaak moet inloggen op verschillende werkstations. Voor veel ziekenhuizen bestond lange tijde de angst dat het afschaffen van groepsaccounts grote vertragingen tot gevolg zou hebben bij het inloggen op gemeenschappelijke computers. Immers de medewerkers dienen zich met hun eigen username en wachtwoord bekend te maken alvorens ze toegang krijgen tot het EPD. Met Fast User Switching is van lange vertragingen geen sprake meer. Gebruikers kunnen snel achter elkaar inloggen. Zeker in combinatie met een passysteem heeft de gebruiker na het scannen van de pas al binnen enkele seconden toegang tot de benodigde gegevens in de diverse systemen en applicaties.
Single Sign-On in de praktijk
Meer informatie over de toepassing van Single Sign-On binnen ziekenhuizen kunt u lezen in onderstaande praktijkcases:
- Ziekenhuis Rivierenland: Single Sign On met gebruikerspas noodzakelijk voor NEN 7510
- Zuwe Hofpoort Ziekenhuis: Zuwe Hofpoort Ziekenhuis vindt oplossing voor digitaal onderdeel van NEN 7510
Meer informate over Enterprise Single Sign-On software kunt u vinden op: Enterprise Single Sign-On Manager
woensdag 28 juli 2010
Identity Management: wat is de ROI?
De maanden september en oktober vormen traditioneel de maanden waarin de budgetaanvragen voor het volgende jaar voorbereid en ingediend gaan worden. Met de NEN 7510 in het achterhoofd, kijken veel ziekenhuizen naar een Identity & Access Management (IAM) oplossing om de User Lifecycle strakker te kunnen inrichten en een goede controle te hebben op wie, waar en wanneer toegang heeft tot belangrijke informatie. Vooral het zorgvuldig toekennen van de rechten die medewerkers hebben op applicaties en systemen (Role Based Access Control) en een snelle en consequente ontmantelingsprocedure bij uit-diensttreding zijn hierbij van belang.
In een tijd met teruglopende IT-budgetten, is het schrijven van een goede busiesscase veelal een must om budget voor een project toegekend te krijgen. Een snelle Return-On-Investment (ROI) is daarbij een sterke motivator om een Identity Management project opgenomen te krijgen in het budget voor het komende jaar.
In dit artikel zal ik een aantal belangrijke punten toelichten die sterk bijdragen aan een korte terugverdientijd van een Identity & Access Management (IAM) oplossing en daarmee de budgetaanvraag flink kunnen versoepelen!
Minder ICT-personeel
Deze besparing klinkt met name de medewerkers op de ICT-afdeling niet altijd even prettig in de oren, maar voor het management is dit zeker in economisch lastige tijden wel degelijk aantrekkelijk. Doordat het aanmaken van accounts, het doorvoeren van wijzigingen, unlock/reset password, aanpassen groepslidmaatschappen, verwijderen van accounts en vele andere veel voorkomende beheerswerkzaamheden in slechts enkele minuten of zelfs volledig automatisch plaats vindt, kan worden bespaard op de hoeveelheid personeel op de servicedesk of helpdesk. Op ICT-afdelingen met een hoge werkdruk kan de inzet van een Identity Management (IDM) oplossing een sterke verlaging van de werkdruk teweeg brengen. Dit heeft als positief effect minder ziekteverzuim, kleinere kans op fouten en snellere doorlooptijden bij het afhandelen van calls.
Snellere service
De doorlooptijd voor het aanmaken van een account voor een nieuwe medewerker vanaf aanvraag vanuit de organisatie tot aan realisatie loopt bij veel organisaties al snel op tot 1 - 2 weken als gevolg van drukte op de helpdesk/servicedesk. Met name als een afdelingsmanager vergeten is om een nieuw personeelslid aan te melden bij de ICT afdeling, kan een lange doorlooptijd zeer hinderlijk zijn. Immers, de nieuwe medewerker begint en kan niet bij zijn mailbox, heeft geen toegang tot de printers, netwerkmappen enz.
Met het implementeren van een Identity & Access Management (IAM) oplossing kan door middel van auto provisioning vanuit het HR-systeem naar active directory, koppeling vanuit de AD naar diverse applicaties en systemen en Role Based Access Control (RBAC) automatisch een user account worden aangemaakt. Een proces wat voorheen enkele weken in beslag nam, is dan gereduceerd tot enkele minuten.
Ook na indiensttreding van een medewerker kan middels een Identity Management (IDM) oplossing een sterk verbeterde dienstverlening geboden worden vanuit de ICT-afdeling richting de organisatie. Wijzigingsverzoeken kunnen via Workflow Management & Self Service snel de goedkeuring krijgen van de betrokken personen en vervolgens automatisch of via een ticket door de helpdesk worden afgehandeld. Wijzigingsverzoeken verlopen hiermee snel en secuur, zodat medewerkers niet onnodig hoeven te wachten op de uitvoer van hun verzoek.
Lager gekwalificeerd personeel
Door middel van auto provisioning van user accounts en het bieden van digitale formulieren voor het afhandelen van veel voorkomende beheertaken, kunnen veel van de dagelijkse werkzaamheden op het gebied van user accountbeheer uitgevoerd worden door non-skilled medewerkers. Er hoeven dan immers geen werkzaamheden in de Active Directory meer plaats te vinden, waardoor minder IT kennis noodzakelijk is. Het inzetten van lager gekwalificeerd personeel voor veel voorkomende user beheertaken, biedt dan een aanzienlijke kostenbesparing.
Besparing op licentiekosten
In veel organisaties is het gangbaar dat bij indiensttreding van een medewerker een kopie gemaakt wordt van het user profiel van diens voorganger of van een collega met min of meer dezelfde functie. Zo kan het gebeuren dat hierbij het profiel gekopieerd wordt van iemand die extra rechten had op bepaalde applicaties. Naast het grote gevaar wat hierin schuilt op het gebied van security brengt dit ook onnodige licentiekosten met zich mee.
Slecht doorgevoerd IT Asset Management (ITAM) zorgt bij veel organisaties ook voor onnodig hoge licentiekosten. Zo geven medewerkers eenmaal verkregen toegangsrechten op een applicatie (voor bijvoorbeeld een tijdelijk project) niet meer terug op het moment dat ze dit niet meer nodig hebben. En weten afdelingsmanagers vaak ook niet welke applicaties hun medewerkers nu echt nodig hebben voor de uitvoering van hun functie. Gemakshalve wordt dan vaak een heel lijstje aangevinkt vanuit het idee ‘beter te veel dan te weinig’.... Het spreekt voor zich dat de licentiekosten hiermee onnodig oplopen. Met het inzetten van
Role Based Access Control (RBAC) kan dit voorkomen worden. Op basis van de rol die iemand vervult in de organisatie kan bij indiensttreding een account aangemaakt worden, waarbij op basis van de informatie uit de RBAC-tabellen door de IDM-oplossing de benodigde applicatierechten uitgelezen worden. Hiermee krijgt een medewerker toegang tot exact de juiste applicaties die hij of zij nodig heeft. Een sterke besparing op de licentiekosten is het gevolg.
Besparing resources van ex-medewerkers
In organisaties waar geen sluitende uitdienst-procedure toegepast wordt bij het vertrek van medewerkers, blijkt al snel zo’n 3 – 10 procent vervuiling in de Active Directory op te treden. User accounts blijven bestaan en daarmee lopen de kosten voor opslag/backup (home directory en mailbox data) en licenties gewoon door terwijl de betreffende medewerkers niet meer bij de organisatie werkzaam zijn. Door het koppelen van de contractinformatie uit het personeelssysteem met de user accounts in het netwerk is op eenvoudige wijze een besparing op de resources van ex-medewerkers te realiseren. In de praktijk blijkt hiermee zo’n 3 procent reductie in opslag-, backup- en licentiekosten te behalen.
Conclusie
De Return-On-Investment (ROI) is sterk afhankelijk van de huidige situatie bij een organisatie. Bovenstaande veel voorkomende besparingspunten kunt u als uitgangspunt gebruiken bij het schrijven van een businesscase voor uw eigen organisatie. Afhankelijk van de wijze waarop het user accountbeheer nu ingericht is, is een snelle of minder snelle ROI mogelijk. Doorgaans zien we dat de ROI al binnen 1 of 2 jaar te behalen valt en dan hebben we het nog niets eens over de vele indirecte (security) voordelen.
Praktijkervaring en ervaringscijfers
Meer informatie over de indirecte besparingen die met de implementatie van een Identity Management oplossing te behalen zijn, kunt u vinden op: Return On Investment (ROI) voor geautomatiseerd user account beheer
Voor ervaringscijfers van organisaties die met de implementatie van de Identity & Access Management oplossing UMRA van Tools4ever een sterke besparing hebben gerealiseerd op het gebied van User Accountbeheer, kunt u kijken op: Return On Investment (ROI) berekening van Identity Management projecten
Om een goed beeld te krijgen van de voordelen en besparingen die een zorginstelling kan behalen met de aanschaf van een Identity & Access Management oplossing, treft u hieronder een aantal casestudies aan van zorginstellingen die recent een IAM-oplossing hebben geïmplementeerd:
- Westfriesgasthuis: Veilige informatievoorziening bij Westfriesgasthuis
- Ziekenhuis Rivierenland: Single Sign On met gebruikerspas noodzakelijk voor NEN 7510
- Zuwe Hofpoort Ziekenhuis: Zuwe Hofpoort Ziekenhuis vindt oplossing voor digitaal onderdeel van NEN 7510
- UMC Utrecht: UMC Utrecht regelt delegation of control en meer met UMRA
- Stichting Talant: Interface met bronsystemen Beaufort en Unit4Cura ten behoeve van HKZ certificering en audit
- Stichting Altrecht: Stichting Altrecht maakt vliegende start met effectief beheer van user accounts
- Ipse de Bruggen: Automatische synchronisatie tussen Beaufort en de Active Directory middels User Management Resource Administrator
- Bureau Jeugdzorg Overijssel: Auto provisioning van user accounts vanuit en naar Active Directory, Beaufort (RAET), IJ
In een tijd met teruglopende IT-budgetten, is het schrijven van een goede busiesscase veelal een must om budget voor een project toegekend te krijgen. Een snelle Return-On-Investment (ROI) is daarbij een sterke motivator om een Identity Management project opgenomen te krijgen in het budget voor het komende jaar.
In dit artikel zal ik een aantal belangrijke punten toelichten die sterk bijdragen aan een korte terugverdientijd van een Identity & Access Management (IAM) oplossing en daarmee de budgetaanvraag flink kunnen versoepelen!
Minder ICT-personeel
Deze besparing klinkt met name de medewerkers op de ICT-afdeling niet altijd even prettig in de oren, maar voor het management is dit zeker in economisch lastige tijden wel degelijk aantrekkelijk. Doordat het aanmaken van accounts, het doorvoeren van wijzigingen, unlock/reset password, aanpassen groepslidmaatschappen, verwijderen van accounts en vele andere veel voorkomende beheerswerkzaamheden in slechts enkele minuten of zelfs volledig automatisch plaats vindt, kan worden bespaard op de hoeveelheid personeel op de servicedesk of helpdesk. Op ICT-afdelingen met een hoge werkdruk kan de inzet van een Identity Management (IDM) oplossing een sterke verlaging van de werkdruk teweeg brengen. Dit heeft als positief effect minder ziekteverzuim, kleinere kans op fouten en snellere doorlooptijden bij het afhandelen van calls.
Snellere service
De doorlooptijd voor het aanmaken van een account voor een nieuwe medewerker vanaf aanvraag vanuit de organisatie tot aan realisatie loopt bij veel organisaties al snel op tot 1 - 2 weken als gevolg van drukte op de helpdesk/servicedesk. Met name als een afdelingsmanager vergeten is om een nieuw personeelslid aan te melden bij de ICT afdeling, kan een lange doorlooptijd zeer hinderlijk zijn. Immers, de nieuwe medewerker begint en kan niet bij zijn mailbox, heeft geen toegang tot de printers, netwerkmappen enz.
Met het implementeren van een Identity & Access Management (IAM) oplossing kan door middel van auto provisioning vanuit het HR-systeem naar active directory, koppeling vanuit de AD naar diverse applicaties en systemen en Role Based Access Control (RBAC) automatisch een user account worden aangemaakt. Een proces wat voorheen enkele weken in beslag nam, is dan gereduceerd tot enkele minuten.
Ook na indiensttreding van een medewerker kan middels een Identity Management (IDM) oplossing een sterk verbeterde dienstverlening geboden worden vanuit de ICT-afdeling richting de organisatie. Wijzigingsverzoeken kunnen via Workflow Management & Self Service snel de goedkeuring krijgen van de betrokken personen en vervolgens automatisch of via een ticket door de helpdesk worden afgehandeld. Wijzigingsverzoeken verlopen hiermee snel en secuur, zodat medewerkers niet onnodig hoeven te wachten op de uitvoer van hun verzoek.
Lager gekwalificeerd personeel
Door middel van auto provisioning van user accounts en het bieden van digitale formulieren voor het afhandelen van veel voorkomende beheertaken, kunnen veel van de dagelijkse werkzaamheden op het gebied van user accountbeheer uitgevoerd worden door non-skilled medewerkers. Er hoeven dan immers geen werkzaamheden in de Active Directory meer plaats te vinden, waardoor minder IT kennis noodzakelijk is. Het inzetten van lager gekwalificeerd personeel voor veel voorkomende user beheertaken, biedt dan een aanzienlijke kostenbesparing.
Besparing op licentiekosten
In veel organisaties is het gangbaar dat bij indiensttreding van een medewerker een kopie gemaakt wordt van het user profiel van diens voorganger of van een collega met min of meer dezelfde functie. Zo kan het gebeuren dat hierbij het profiel gekopieerd wordt van iemand die extra rechten had op bepaalde applicaties. Naast het grote gevaar wat hierin schuilt op het gebied van security brengt dit ook onnodige licentiekosten met zich mee.
Slecht doorgevoerd IT Asset Management (ITAM) zorgt bij veel organisaties ook voor onnodig hoge licentiekosten. Zo geven medewerkers eenmaal verkregen toegangsrechten op een applicatie (voor bijvoorbeeld een tijdelijk project) niet meer terug op het moment dat ze dit niet meer nodig hebben. En weten afdelingsmanagers vaak ook niet welke applicaties hun medewerkers nu echt nodig hebben voor de uitvoering van hun functie. Gemakshalve wordt dan vaak een heel lijstje aangevinkt vanuit het idee ‘beter te veel dan te weinig’.... Het spreekt voor zich dat de licentiekosten hiermee onnodig oplopen. Met het inzetten van
Role Based Access Control (RBAC) kan dit voorkomen worden. Op basis van de rol die iemand vervult in de organisatie kan bij indiensttreding een account aangemaakt worden, waarbij op basis van de informatie uit de RBAC-tabellen door de IDM-oplossing de benodigde applicatierechten uitgelezen worden. Hiermee krijgt een medewerker toegang tot exact de juiste applicaties die hij of zij nodig heeft. Een sterke besparing op de licentiekosten is het gevolg.
Besparing resources van ex-medewerkers
In organisaties waar geen sluitende uitdienst-procedure toegepast wordt bij het vertrek van medewerkers, blijkt al snel zo’n 3 – 10 procent vervuiling in de Active Directory op te treden. User accounts blijven bestaan en daarmee lopen de kosten voor opslag/backup (home directory en mailbox data) en licenties gewoon door terwijl de betreffende medewerkers niet meer bij de organisatie werkzaam zijn. Door het koppelen van de contractinformatie uit het personeelssysteem met de user accounts in het netwerk is op eenvoudige wijze een besparing op de resources van ex-medewerkers te realiseren. In de praktijk blijkt hiermee zo’n 3 procent reductie in opslag-, backup- en licentiekosten te behalen.
Conclusie
De Return-On-Investment (ROI) is sterk afhankelijk van de huidige situatie bij een organisatie. Bovenstaande veel voorkomende besparingspunten kunt u als uitgangspunt gebruiken bij het schrijven van een businesscase voor uw eigen organisatie. Afhankelijk van de wijze waarop het user accountbeheer nu ingericht is, is een snelle of minder snelle ROI mogelijk. Doorgaans zien we dat de ROI al binnen 1 of 2 jaar te behalen valt en dan hebben we het nog niets eens over de vele indirecte (security) voordelen.
Praktijkervaring en ervaringscijfers
Meer informatie over de indirecte besparingen die met de implementatie van een Identity Management oplossing te behalen zijn, kunt u vinden op: Return On Investment (ROI) voor geautomatiseerd user account beheer
Voor ervaringscijfers van organisaties die met de implementatie van de Identity & Access Management oplossing UMRA van Tools4ever een sterke besparing hebben gerealiseerd op het gebied van User Accountbeheer, kunt u kijken op: Return On Investment (ROI) berekening van Identity Management projecten
Om een goed beeld te krijgen van de voordelen en besparingen die een zorginstelling kan behalen met de aanschaf van een Identity & Access Management oplossing, treft u hieronder een aantal casestudies aan van zorginstellingen die recent een IAM-oplossing hebben geïmplementeerd:
- Westfriesgasthuis: Veilige informatievoorziening bij Westfriesgasthuis
- Ziekenhuis Rivierenland: Single Sign On met gebruikerspas noodzakelijk voor NEN 7510
- Zuwe Hofpoort Ziekenhuis: Zuwe Hofpoort Ziekenhuis vindt oplossing voor digitaal onderdeel van NEN 7510
- UMC Utrecht: UMC Utrecht regelt delegation of control en meer met UMRA
- Stichting Talant: Interface met bronsystemen Beaufort en Unit4Cura ten behoeve van HKZ certificering en audit
- Stichting Altrecht: Stichting Altrecht maakt vliegende start met effectief beheer van user accounts
- Ipse de Bruggen: Automatische synchronisatie tussen Beaufort en de Active Directory middels User Management Resource Administrator
- Bureau Jeugdzorg Overijssel: Auto provisioning van user accounts vanuit en naar Active Directory, Beaufort (RAET), IJ
zondag 11 juli 2010
NEN 7510 & Identity Management: wat zijn de mogelijkheden?
Met de komst van de NEN 7510 norm voor informatiebeveiliging in de zorgsector is Identity Management (IDM) of in de bredere context Identity & Access Management (IAM) een actueel onderwerp geworden binnen zorginstellingen. Het komen tot een adequate informatiebeveiliging vereist een goede en accurate controle op de personen die toegang hebben tot vertrouwelijke informatie, zoals patiëntgegevens. Ook de invoering van het landelijk Elektronisch Patiëntendossier (EPD) en de daarmee samenhangende eisen ten aanzien van een Goed Beheerd Zorgsysteem (GBZ) brengen het onderwerp Identity Management hoog op de agenda bij veel zorginstellingen.
De bewustwording van het belang van een goede Identity Managementoplossing maakt de invoering er nog niet eenvoudiger op. Er zal budget gereserveerd moeten worden en minstens zo belangrijk, een goede implementatie vereist draagvlak binnen meerdere afdelingen van de organisatie. Invoering van Identity Management is immers niet alleen een 'ICT en security-feestje', ook de P&O afdeling en de zorgmanager zijn er bij betrokken. Het onderwerp Identity and Access Management is voor veel mensen echter nog een vaag begrip en de beschikbare informatie is vaak technisch en specialistisch van aard. In dit artikel zal ik het onderwerp Identity and Access Management en de toepassing binnen de zorg toelichten aan de hand van de drie belangrijkste deelonderwerpen.
Identity and Access Management
Het onderwerp Identity and Access Management (IAM) kan onderverdeeld worden in een drietal deelonderwerpen:
• User Account Management
• Password Management
• Single Sign-On (SSO)
Binnen bovenstaande driedeling, komen diverse aspecten aan bod als Auto Provisioning, Fast User Switching, Delegatie, Workflow Management & Self Service en Role Based Access Control (RBAC). Deze termen zullen hieronder toegelicht worden.
User Account Management
User Account Management is van groot belang om een overzicht te houden van wie, waar en wanneer toegang heeft tot informatie. User Account Management richt zich op het beheren van de toegangsrechten tot systemen en applicaties gedurende de gehele levensloop van een medewerker binnen een organisatie. Dit wordt ook wel User Lifecycle Management genoemd. Deze zogenaamde User Lifecycle begint bij de indiensttreding van een medewerker. In de oude situatie wordt deze medewerker door de P&O afdeling of de zorgmanager aangemeld bij de ICT afdeling en maakt een medewerker van de ICT afdeling voor deze persoon een gebruikersaccount aan met de toegang tot de benodigde systemen en applicaties. Denk hierbij aan het aanmaken van een emailaccount, eventuele toegang tot het ziekenhuisinformatiesysteem (ZIS) en bekendmaking bij een systeem voor fysieke toegangscontrole. Door drukte op de ICT afdeling kan de doorlooptijd voor het aanmaken van een gebruikersaccount al snel oplopen tot enkele weken. Met name wanneer men vergeten is om de persoon aan te melden bij de ICT afdeling, kan een dergelijke doorlooptijd hinderlijk zijn en is de nieuwe medewerker de eerste weken verstoken van een inlogaccount.
Middels User Account Management kan het proces van het aanmaken van een user account met de bijbehorende toegangsrechten sterk geoptimaliseerd worden. Zo biedt Auto Provisioning de mogelijkheid om middels een koppeling met het personeelssysteem (bijvoorbeeld Beaufort, AFAS, SAP HR/HCM) automatisch een user account aan te maken. Op basis van Role Based Access Control (RBAC) kan dan gekeken worden welke rechten deze persoon heeft op basis van de rol die de persoon vervult in de organisatie en kan middels een koppeling met de diverse systemen bijvoorbeeld een account aangemaakt worden in het ziekenhuisinformatiesysteem (ZIS). Indien een medewerker gedurende zijn werkzaamheden merkt dat hij of zij nog bepaalde rechten tot shares of applicaties nodig heeft, kan de medewerker deze zelf aanvragen middels een self-service systeem, waarna er een workflow gestart wordt die de betrokken personen langs gaat voor de vereiste goedkeuring en realisatie. Middels delegatie is het mogelijk dat bepaalde user beheertaken van de ICT afdeling naar de zorgmanager gedelegeerd kunnen worden om middels korte lijnen de snelheid van handelen te verhogen. Aan het eind van de User Lifecycle heeft de koppeling met het personeelssysteem als groot voordeel dat na beëindiging van een dienstverband (automatisch) een ontmantelingsprocedure gestart kan worden om te voorkomen dat deze persoon na uitdiensttreding nog toegang heeft tot belangrijke informatie.
Meer informatie over User Account Management kunt u vinden op: Geautomatiseerd user beheer met delegation en auto provisioning vanuit HR-systeem
Voor meer informatie over de koppelingen met personeelssystemen en andere applicaties kunt u kijken op: Koppelingen Beaufort, AFAS, SAP HCM, Active Directory, Exchange, TopDESK, PlanON, Ultimo
Password Management
Een goed wachtwoordbeleid is essentieel om een goede informatiebeveiliging te kunnen waarborgen. Bovendien wordt dit ook geëist bij de NEN7510 normering. Het invoeren van sterke/complexe wachtwoorden biedt een goede stap om de informatiebeveiliging naar een hoger plan te brengen. Een groot nadeel van een complex wachtwoord is dat eindgebruiker deze vaker zal vergeten en vervolgens de helpdesk gaat bellen voor een nieuw wachtwoord. Vaak is het resetten van een wachtwoord al de meest voorkomende helpdesk call en daardoor zal de invoering van een complex wachtwoord leiden tot een sterke stijging van de beheerslast.
Op het gebied van Password Management zijn er diverse oplossingen mogelijk om de beheerslast niet te laten oplopen bij de invoering van een complex wachtwoord. Zo biedt een oplossing als Self Service Reset Password Management (SSRPM) de mogelijkheid aan eindgebruikers om zelf hun wachtwoord te resetten. De eindgebruiker kan haar/zijn wachtwoord resetten (of account unlocken) zonder hiervoor contact op te nemen met de heldesk. Password Complexity Manager (PCM) maakt het mogelijk om voor verschillende groepen van gebruikers de complexiteitsregels voor wachtwoorden apart in te stellen. Mensen die vanuit hun functie geen toegang tot vertrouwelijke informatie hebben, kunnen zodoende gebruik maken van een minder complex en dus makkelijker te onthouden wachtwoord. Met een oplossing als Password Synchronization Manager (PSM) is het tot slot mogelijk om wachtwoorden over verschillende applicaties te synchroniseren om hiermee het aantal te onthouden wachtwoorden voor gebruikers sterk omlaag te brengen. Voor meer informatie over het toepassen van Password Management, verwijs ik u ook graag naar mijn voorgaande artikel: Password Complexity: zorg of zegen?.
Meer informatie over het resetten van wachtwoorden door eindgebruikers treft u op: Laat eindgebruikers zelf hun wachtwoord resetten met Self Service Reset Password Management Software
Informatie over het instellen van afzonderlijke complexiteitsregels voor groepen gebruikers treft u op: Password Complexity Manager - reguleer de complexiteit van passwords en wachtwoorden
Over het synchroniseren van wachtwoorden binnen diverse applicaties kunt u meer informatie vinden op: Synchroniseer wachtwoorden in alle applicaties in uw netwerk met Password Synchronization Manager
Single Sign-On
Het toepassen van Single Sign-On is met name binnen ziekenhuizen op het moment een hot item. Om de te voldoen aan de NEN7510, stappen ziekenhuizen en andere zorginstellingen af van de gebruikelijke groepsaccounts en worden deze vervangen door individuele accounts. In combinatie met de toenemende eisen op het gebied van de complexiteit van wachtwoorden, worden de inlogprocedures meer complex en tijdrovend. Vanuit het oogpunt van security ontstaat een averechts effect: eindgebruikers moeten steeds meer inlog procedures onthouden, wachtwoorden worden complexer en uiteindelijk gaan eindgebruikers hun wachtwoord opschrijven op geeltjes en plakken die op hun beeldscherm of onder hun toetsenbord.
Single Sign-On (SSO) speelt hierop in. Middels SSO hoeft de gebruiker slechts 1 keer in te loggen en voor alle volgende applicaties geen wachtwoord meer in te voeren. Met name in stresssituaties scheelt dit kostbare tijd. Een verder vereenvoudiging van de inlogprocedures kan verkregen worden met Fast User Switching i.c.m. met een gebruikerspas (bijvoorbeeld de UZI-pas), waarmee de gebruiker door middel van het invoeren van de gebruikerspas toegang krijgt tot de gewenste applicaties. Het verwijderen van de pas volstaat om uit te loggen uit de applicaties en de computer beschikbaar te stellen voor de volgende medewerker. Een aanvulling hierop is het Follow-Me principe, waarbij het mogelijk is op een andere computer verder te werken met de openstaande applicaties. Met name voor een specialist die een rondgang doet over de afdeling en op verschillende computers toegang wil hebben tot zijn gegevens, biedt dit een sterke tijdsbesparing.
Meer informatie over de toepassing van Single Sign-On binnen ziekenhuizen kunt u lezen in onderstaande praktijkcases:
- Ziekenhuis Rivierenland: Single Sign On met gebruikerspas noodzakelijk voor NEN 7510
- Zuwe Hofpoort Ziekenhuis: Zuwe Hofpoort Ziekenhuis vindt oplossing voor digitaal onderdeel van NEN 7510
Meer informatie over toepassing van Single Sign-On kunt u vinden op: Single Sign-On: eenmalig inloggen en automatisch toegang tot alle applicaties en resources in het netwerk.
In een volgend artikel zal ik verder in gaan op de voordelen die met het invoeren van Identity Management binnen de organisatie behaald kunnen worden. Dit in combinatie met belangrijke punten voor de Return On Investment (ROI) geeft een goed handvat om een snelle invoering binnen de organisatie mogelijk te maken.
De bewustwording van het belang van een goede Identity Managementoplossing maakt de invoering er nog niet eenvoudiger op. Er zal budget gereserveerd moeten worden en minstens zo belangrijk, een goede implementatie vereist draagvlak binnen meerdere afdelingen van de organisatie. Invoering van Identity Management is immers niet alleen een 'ICT en security-feestje', ook de P&O afdeling en de zorgmanager zijn er bij betrokken. Het onderwerp Identity and Access Management is voor veel mensen echter nog een vaag begrip en de beschikbare informatie is vaak technisch en specialistisch van aard. In dit artikel zal ik het onderwerp Identity and Access Management en de toepassing binnen de zorg toelichten aan de hand van de drie belangrijkste deelonderwerpen.
Identity and Access Management
Het onderwerp Identity and Access Management (IAM) kan onderverdeeld worden in een drietal deelonderwerpen:
• User Account Management
• Password Management
• Single Sign-On (SSO)
Binnen bovenstaande driedeling, komen diverse aspecten aan bod als Auto Provisioning, Fast User Switching, Delegatie, Workflow Management & Self Service en Role Based Access Control (RBAC). Deze termen zullen hieronder toegelicht worden.
User Account Management
User Account Management is van groot belang om een overzicht te houden van wie, waar en wanneer toegang heeft tot informatie. User Account Management richt zich op het beheren van de toegangsrechten tot systemen en applicaties gedurende de gehele levensloop van een medewerker binnen een organisatie. Dit wordt ook wel User Lifecycle Management genoemd. Deze zogenaamde User Lifecycle begint bij de indiensttreding van een medewerker. In de oude situatie wordt deze medewerker door de P&O afdeling of de zorgmanager aangemeld bij de ICT afdeling en maakt een medewerker van de ICT afdeling voor deze persoon een gebruikersaccount aan met de toegang tot de benodigde systemen en applicaties. Denk hierbij aan het aanmaken van een emailaccount, eventuele toegang tot het ziekenhuisinformatiesysteem (ZIS) en bekendmaking bij een systeem voor fysieke toegangscontrole. Door drukte op de ICT afdeling kan de doorlooptijd voor het aanmaken van een gebruikersaccount al snel oplopen tot enkele weken. Met name wanneer men vergeten is om de persoon aan te melden bij de ICT afdeling, kan een dergelijke doorlooptijd hinderlijk zijn en is de nieuwe medewerker de eerste weken verstoken van een inlogaccount.
Middels User Account Management kan het proces van het aanmaken van een user account met de bijbehorende toegangsrechten sterk geoptimaliseerd worden. Zo biedt Auto Provisioning de mogelijkheid om middels een koppeling met het personeelssysteem (bijvoorbeeld Beaufort, AFAS, SAP HR/HCM) automatisch een user account aan te maken. Op basis van Role Based Access Control (RBAC) kan dan gekeken worden welke rechten deze persoon heeft op basis van de rol die de persoon vervult in de organisatie en kan middels een koppeling met de diverse systemen bijvoorbeeld een account aangemaakt worden in het ziekenhuisinformatiesysteem (ZIS). Indien een medewerker gedurende zijn werkzaamheden merkt dat hij of zij nog bepaalde rechten tot shares of applicaties nodig heeft, kan de medewerker deze zelf aanvragen middels een self-service systeem, waarna er een workflow gestart wordt die de betrokken personen langs gaat voor de vereiste goedkeuring en realisatie. Middels delegatie is het mogelijk dat bepaalde user beheertaken van de ICT afdeling naar de zorgmanager gedelegeerd kunnen worden om middels korte lijnen de snelheid van handelen te verhogen. Aan het eind van de User Lifecycle heeft de koppeling met het personeelssysteem als groot voordeel dat na beëindiging van een dienstverband (automatisch) een ontmantelingsprocedure gestart kan worden om te voorkomen dat deze persoon na uitdiensttreding nog toegang heeft tot belangrijke informatie.
Meer informatie over User Account Management kunt u vinden op: Geautomatiseerd user beheer met delegation en auto provisioning vanuit HR-systeem
Voor meer informatie over de koppelingen met personeelssystemen en andere applicaties kunt u kijken op: Koppelingen Beaufort, AFAS, SAP HCM, Active Directory, Exchange, TopDESK, PlanON, Ultimo
Password Management
Een goed wachtwoordbeleid is essentieel om een goede informatiebeveiliging te kunnen waarborgen. Bovendien wordt dit ook geëist bij de NEN7510 normering. Het invoeren van sterke/complexe wachtwoorden biedt een goede stap om de informatiebeveiliging naar een hoger plan te brengen. Een groot nadeel van een complex wachtwoord is dat eindgebruiker deze vaker zal vergeten en vervolgens de helpdesk gaat bellen voor een nieuw wachtwoord. Vaak is het resetten van een wachtwoord al de meest voorkomende helpdesk call en daardoor zal de invoering van een complex wachtwoord leiden tot een sterke stijging van de beheerslast.
Op het gebied van Password Management zijn er diverse oplossingen mogelijk om de beheerslast niet te laten oplopen bij de invoering van een complex wachtwoord. Zo biedt een oplossing als Self Service Reset Password Management (SSRPM) de mogelijkheid aan eindgebruikers om zelf hun wachtwoord te resetten. De eindgebruiker kan haar/zijn wachtwoord resetten (of account unlocken) zonder hiervoor contact op te nemen met de heldesk. Password Complexity Manager (PCM) maakt het mogelijk om voor verschillende groepen van gebruikers de complexiteitsregels voor wachtwoorden apart in te stellen. Mensen die vanuit hun functie geen toegang tot vertrouwelijke informatie hebben, kunnen zodoende gebruik maken van een minder complex en dus makkelijker te onthouden wachtwoord. Met een oplossing als Password Synchronization Manager (PSM) is het tot slot mogelijk om wachtwoorden over verschillende applicaties te synchroniseren om hiermee het aantal te onthouden wachtwoorden voor gebruikers sterk omlaag te brengen. Voor meer informatie over het toepassen van Password Management, verwijs ik u ook graag naar mijn voorgaande artikel: Password Complexity: zorg of zegen?.
Meer informatie over het resetten van wachtwoorden door eindgebruikers treft u op: Laat eindgebruikers zelf hun wachtwoord resetten met Self Service Reset Password Management Software
Informatie over het instellen van afzonderlijke complexiteitsregels voor groepen gebruikers treft u op: Password Complexity Manager - reguleer de complexiteit van passwords en wachtwoorden
Over het synchroniseren van wachtwoorden binnen diverse applicaties kunt u meer informatie vinden op: Synchroniseer wachtwoorden in alle applicaties in uw netwerk met Password Synchronization Manager
Single Sign-On
Het toepassen van Single Sign-On is met name binnen ziekenhuizen op het moment een hot item. Om de te voldoen aan de NEN7510, stappen ziekenhuizen en andere zorginstellingen af van de gebruikelijke groepsaccounts en worden deze vervangen door individuele accounts. In combinatie met de toenemende eisen op het gebied van de complexiteit van wachtwoorden, worden de inlogprocedures meer complex en tijdrovend. Vanuit het oogpunt van security ontstaat een averechts effect: eindgebruikers moeten steeds meer inlog procedures onthouden, wachtwoorden worden complexer en uiteindelijk gaan eindgebruikers hun wachtwoord opschrijven op geeltjes en plakken die op hun beeldscherm of onder hun toetsenbord.
Single Sign-On (SSO) speelt hierop in. Middels SSO hoeft de gebruiker slechts 1 keer in te loggen en voor alle volgende applicaties geen wachtwoord meer in te voeren. Met name in stresssituaties scheelt dit kostbare tijd. Een verder vereenvoudiging van de inlogprocedures kan verkregen worden met Fast User Switching i.c.m. met een gebruikerspas (bijvoorbeeld de UZI-pas), waarmee de gebruiker door middel van het invoeren van de gebruikerspas toegang krijgt tot de gewenste applicaties. Het verwijderen van de pas volstaat om uit te loggen uit de applicaties en de computer beschikbaar te stellen voor de volgende medewerker. Een aanvulling hierop is het Follow-Me principe, waarbij het mogelijk is op een andere computer verder te werken met de openstaande applicaties. Met name voor een specialist die een rondgang doet over de afdeling en op verschillende computers toegang wil hebben tot zijn gegevens, biedt dit een sterke tijdsbesparing.
Meer informatie over de toepassing van Single Sign-On binnen ziekenhuizen kunt u lezen in onderstaande praktijkcases:
- Ziekenhuis Rivierenland: Single Sign On met gebruikerspas noodzakelijk voor NEN 7510
- Zuwe Hofpoort Ziekenhuis: Zuwe Hofpoort Ziekenhuis vindt oplossing voor digitaal onderdeel van NEN 7510
Meer informatie over toepassing van Single Sign-On kunt u vinden op: Single Sign-On: eenmalig inloggen en automatisch toegang tot alle applicaties en resources in het netwerk.
In een volgend artikel zal ik verder in gaan op de voordelen die met het invoeren van Identity Management binnen de organisatie behaald kunnen worden. Dit in combinatie met belangrijke punten voor de Return On Investment (ROI) geeft een goed handvat om een snelle invoering binnen de organisatie mogelijk te maken.
dinsdag 6 juli 2010
Password Complexity: zorg of zegen?
Het invoeren van complexiteitsregels voor de te gebruiken wachtwoorden binnen een organisatie roept bij systeembeheerders vaak een dubbel gevoel op. Aan de ene kant een enthousiaste reactie over de verbeterde beveiliging door het voorkomen van ongeautoriseerde toegang, maar aan de andere kant ontstaat de vrees voor een sterke toename van het aantal password reset calls op de servicedesk. Om nog maar niet te spreken over de vele Post-it 'geheugensteuntjes' onder het toetsen bord en/of op de monitor.
Complexe wachtwoorden in de zorg
De vrees dat een deel van de medewerkers niet in staat zal zijn een complex wachtwoord te onthouden, blijkt bij veel organisaties aan de orde van de dag. Vooral bij zorgorganisaties, waar de medewerkers (gelukkig) meer feeling hebben met de patiënt dan met de PC, blijkt invoering van password complexiteitsregels lastig. De medewerkers willen snel in kunnen loggen zonder veel gedoe en willen dan een wachtwoord wat gemakkelijk te onthouden is. De voorschriften vanuit de NEN normering (NEN 7510 en NEN7511), waar veel zorginstellingen binnenkort aan moeten voldoen, keuren een 'makkelijk' wachtwoord echter af.
Toenemende druk bij de servicedesk
Waar na een vakantieperiode normaliter al een piek te zien is in het aantal te resetten wachtwoorden, is dit na invoering van password complexity regels zeker een gegronde vrees.
Complexe wachtwoorden blijken nu eenmaal heel wat lastiger te onthouden dan de naam van het huisdier en vooral na een ontspannende vakantie is men het wachtwoord snel vergeten. Wachtrijen aan de balie en vele telefoontjes naar de servicedesk zijn het gevolg.
Om aan deze problematiek het hoofd te bieden, heeft Tools4ever een tweetal interessante producten ontwikkeld: Self Service Reset Password Management (SSRPM) en Password Complexity Manager (PCM).
Self Service Reset Password Management (SSRPM) en Password Complexity Manager (PCM)
Middels SSRPM is het voor de gebruikers mogelijk om zelf hun wachtwoord te resetten of hun account te unlocken, zonder dat ze hiertoe contact op hoeven te nemen met de servicedesk. Bij het inlogscherm verschijnt een extra button voor het resetten van het wachtwoord. Na het aanklikken van deze button kan de gebruiker zelf zijn of haar wachtwoord resetten of unlocken na het beantwoorden van een aantal persoonlijke vragen ter identificatie. In combinatie met Password Complexity Manager (PCM) wordt de gebruiker bij het kiezen van het nieuwe wachtwoord zelfs visueel ondersteund bij het voldoen aan de complexiteitsregels van de organisatie. De password complexity regels staan duidelijk in beeld en worden middels een groen vinkje afgevinkt wanneer de gebruiker aan de betreffende regel heeft voldaan. Met SSRPM kan de gebruiker dus snel en eenvoudig aan de slag na een iets té ontspannen vakantie en neemt het aantal reset password calls op de servicedesk zeer sterk af. Kortom: Password Complexity kan wel degelijk voor iedereen een zegen zijn!
Voor meer informatie over SSRPM zie: Self Service Reset Password Management (SSRPM) - laat eindgebruikers zelf hun wachtwoord resetten
Meer informatie over PCM kunt u vinden op:
Password Complexity Manager (PCM) - reguleer de complexiteit van passwords en wachtwoorden
Complexe wachtwoorden in de zorg
De vrees dat een deel van de medewerkers niet in staat zal zijn een complex wachtwoord te onthouden, blijkt bij veel organisaties aan de orde van de dag. Vooral bij zorgorganisaties, waar de medewerkers (gelukkig) meer feeling hebben met de patiënt dan met de PC, blijkt invoering van password complexiteitsregels lastig. De medewerkers willen snel in kunnen loggen zonder veel gedoe en willen dan een wachtwoord wat gemakkelijk te onthouden is. De voorschriften vanuit de NEN normering (NEN 7510 en NEN7511), waar veel zorginstellingen binnenkort aan moeten voldoen, keuren een 'makkelijk' wachtwoord echter af.
Toenemende druk bij de servicedesk
Waar na een vakantieperiode normaliter al een piek te zien is in het aantal te resetten wachtwoorden, is dit na invoering van password complexity regels zeker een gegronde vrees.
Complexe wachtwoorden blijken nu eenmaal heel wat lastiger te onthouden dan de naam van het huisdier en vooral na een ontspannende vakantie is men het wachtwoord snel vergeten. Wachtrijen aan de balie en vele telefoontjes naar de servicedesk zijn het gevolg.
Om aan deze problematiek het hoofd te bieden, heeft Tools4ever een tweetal interessante producten ontwikkeld: Self Service Reset Password Management (SSRPM) en Password Complexity Manager (PCM).
Self Service Reset Password Management (SSRPM) en Password Complexity Manager (PCM)
Middels SSRPM is het voor de gebruikers mogelijk om zelf hun wachtwoord te resetten of hun account te unlocken, zonder dat ze hiertoe contact op hoeven te nemen met de servicedesk. Bij het inlogscherm verschijnt een extra button voor het resetten van het wachtwoord. Na het aanklikken van deze button kan de gebruiker zelf zijn of haar wachtwoord resetten of unlocken na het beantwoorden van een aantal persoonlijke vragen ter identificatie. In combinatie met Password Complexity Manager (PCM) wordt de gebruiker bij het kiezen van het nieuwe wachtwoord zelfs visueel ondersteund bij het voldoen aan de complexiteitsregels van de organisatie. De password complexity regels staan duidelijk in beeld en worden middels een groen vinkje afgevinkt wanneer de gebruiker aan de betreffende regel heeft voldaan. Met SSRPM kan de gebruiker dus snel en eenvoudig aan de slag na een iets té ontspannen vakantie en neemt het aantal reset password calls op de servicedesk zeer sterk af. Kortom: Password Complexity kan wel degelijk voor iedereen een zegen zijn!
Voor meer informatie over SSRPM zie: Self Service Reset Password Management (SSRPM) - laat eindgebruikers zelf hun wachtwoord resetten
Meer informatie over PCM kunt u vinden op:
Password Complexity Manager (PCM) - reguleer de complexiteit van passwords en wachtwoorden
Abonneren op:
Posts (Atom)
+3.jpg)