In gesprekken met de diverse ziekenhuizen merk ik dat er behoefte bestaat aan een vertaling van de richtlijnen uit de NEN 7510 naar concrete toepassingen. Binnen de ziekenhuizen worden in het kader van de NEN 7510 certificering projectgroepen gevormd die tot doel hebben om de richtlijnen uit de NEN 7510 te vertalen naar toepasbare oplossingen die goed in de praktijk te implementeren zijn.
Om de zorgorganisaties een praktische handleiding te bieden voor verbetering van de punten waarop eerder zwak gescoord is, heb ik voor een aantal richtlijnen uit de NEN 7510 een vertaling gemaakt naar oplossingen die hierin kunnen voorzien en zich in de praktijk bewezen hebben.
In drie blog artikelen geef ik in ieder deel aan de hand van een onderwerp uit de NEN 7510 een vertaling van een aantal richtlijnen naar concreet toepasbare oplossingen. Dit blog artikel is het eerste deel en richt zich op beveiligingseisen ten aanzien van personeel en fysieke beveiliging. De genoemde richtlijnen en maatregelen in dit blog verwijzen naar de NEN 7510: 2004. Wanneer de definitieve versie van de herziening van de NEN 7510, de NEN 7510: 2010 beschikbaar komt (naar verwachting in september 2011), zal ik hier op dit blog uitgebreid ingaan op de punten waar de NEN7510 op dit gebied is aangescherpt.
8.3.2 Risico van toegang tot gegevens – intrekken toegangsrechten
De NEN 7510 stelt dat voorkomen dient te worden dat medewerkers of externe leveranciers na wijziging dienstverband of uit-diensttreding nog toegang hebben tot informatie of informatiesystemen van de instelling. Voor een goed systeembeheerder wordt deze eis als vanzelfsprekend beschouwd, maar vaak wordt vanuit de organisatie niet doorgegeven dat een medewerker uit-dienst is en blijft de IT-afdeling deze informatie onthouden. Dit heeft tot gevolg dat het account van de medewerker blijft bestaan, met het risico dat de medewerker na uit-diensttreding of functiewijziging nog steeds bij alle gegevens kan waar de medewerker tijdens zijn of haar actieve dienstverband ook toegang toe had.
Met het inrichten van een Identity Management (IdM) oplossing kan het inrichten van toegangsrechten goed en secuur ingericht worden middels een automatische ontmantelingsprocedure of aanpassing van de toegangsrechten bij uitdiensttreding of functiewijziging. De IdM oplossing zorgt voor een automatische koppeling tussen de contractgegevens van medewerkers in het personeelssysteem en de Active Directory. Voor de niet-loondienst medewerkers (externe partij, uitzendkrachten, maatschappen, etc.) kunnen dan middels de Identity Management oplossing zaken ingeregeld worden als beperkte levensduur van het user account, periodieke terugkoppeling met leidinggevende, overzichten van niet gebruikte user accounts, etc.
Een veel gebruikte Identity Management oplossing in de ziekenhuiswereld is User Management Resource Aministrator (UMRA) van Tools4ever. Deze oplossing wordt inmiddels bij 25 Nederlandse ziekenhuizen met veel succes ingezet en heeft bij deze ziekenhuizen een sterke bijdrage geleverd aan het voldoen aan de NEN 7510.
8.3.3 Teruggeven van voorzieningen
De NEN 7510 stelt dat medewerkers na uitdiensttreding alle eigendommen van de instelling die ze in bezit hebben terug dienen te geven. Deze eis lijkt heel logisch, maar blijkt in de praktijk vaak lastig te handhaven.
Het teruggeven van voorzieningen vormt een logische aansluiting op het intrekken van toegangsrechten als omschreven onder richtlijn 8.3.2. Naast het intrekken van de digitale toegang vormt het ontnemen van o.a. fysieke toegang (toegangspas) en het terugkrijgen van goederen en andere aan de instelling gerelateerde voorzieningen een minstens net zo belangrijk onderdeel van de ontmantelingsprocedure bij uit-diensttreding van medewerkers.
Een Identity Management oplossing biedt de mogelijkheid om een koppeling te realiseren met facility management systemen zoals Ultimo, Planon en TOPdesk. Dankzij deze koppelingen en de koppeling met het personeelssysteem kan bepaald worden welke items een vertrekkende medewerker in bezit heeft. Afhankelijk van de gebruikte procedure in de zorginstelling zorgt de Identity Management oplossing ervoor dat de betrokken medewerkers (directe leidinggevende, medewerker PZ en FM) geïnformeerd worden en de voorzieningen geretourneerd worden. De eerder besproken IdM oplossing UMRA biedt out-of-the-box koppelingen met Ultimo, Planon en TOPdesk en kan hiermee uitstekend voorzien in een sluitende ontmantelingsprocedure waarbij de betrokken personen en afdelingen geïnformeerd worden over de aanstaande uit-diensttreding van een medewerker en de in te leveren voorzieningen.
9.1.2 Fysieke toegangsbeveiliging
De NEN 7510 stelt dat middels fysieke toegangsbeveiliging beveiligde zones ingericht moeten worden waartoe alleen geautoriseerd personeel toegang toe heeft. Deze zones dienen ter bescherming van gegevens, apparatuur en personeel.
Voor het goed inrichten van fysieke toegangsbeveiliging is een koppeling met het personeelssysteem essentieel om de verstrekking en intrekking van een toegangspas/smartcard te kunnen relateren aan een geldig dienstverband van een medewerker. Een Identity Management oplossing kan uitstekend voorzien in de mogelijkheid om de informatie uit het personeelssysteem met een automatische koppeling te verbinden aan de beheerapplicatie van het toegangssysteem. Hierdoor kan ingeregeld worden dat een gebruiker alleen een toegangspas/smartcard krijgt op het moment dat deze een geldig dienstverband heeft. Daarnaast is het mogelijk een verband te leggen tussen de functie/afdeling van het contract van de medewerker en de beveiligde zones waar een medewerker toegang toe behoort te hebben. De eerder besproken IdM oplossing UMRA kan koppelen met de meeste fysieke toegangssystemen, zoals Galaxy, Chubb – Afx, EAL ATS, Nedap – AEOS en Keyprocessor - iProtect.
Voor meer informatie over de toepassing van de NEN 7510 - Informatiebeveiliging in de zorg en de mogelijkheden die hiertoe te behalen zijn met een Identity and Access Management oplossing, kunt gratis de white paper NEN 7510 compliance als pdf downloaden: White paper NEN 7510 compliance (pdf)
Posts tonen met het label IDM. Alle posts tonen
Posts tonen met het label IDM. Alle posts tonen
maandag 13 juni 2011
woensdag 28 juli 2010
Identity Management: wat is de ROI?
De maanden september en oktober vormen traditioneel de maanden waarin de budgetaanvragen voor het volgende jaar voorbereid en ingediend gaan worden. Met de NEN 7510 in het achterhoofd, kijken veel ziekenhuizen naar een Identity & Access Management (IAM) oplossing om de User Lifecycle strakker te kunnen inrichten en een goede controle te hebben op wie, waar en wanneer toegang heeft tot belangrijke informatie. Vooral het zorgvuldig toekennen van de rechten die medewerkers hebben op applicaties en systemen (Role Based Access Control) en een snelle en consequente ontmantelingsprocedure bij uit-diensttreding zijn hierbij van belang.
In een tijd met teruglopende IT-budgetten, is het schrijven van een goede busiesscase veelal een must om budget voor een project toegekend te krijgen. Een snelle Return-On-Investment (ROI) is daarbij een sterke motivator om een Identity Management project opgenomen te krijgen in het budget voor het komende jaar.
In dit artikel zal ik een aantal belangrijke punten toelichten die sterk bijdragen aan een korte terugverdientijd van een Identity & Access Management (IAM) oplossing en daarmee de budgetaanvraag flink kunnen versoepelen!
Minder ICT-personeel
Deze besparing klinkt met name de medewerkers op de ICT-afdeling niet altijd even prettig in de oren, maar voor het management is dit zeker in economisch lastige tijden wel degelijk aantrekkelijk. Doordat het aanmaken van accounts, het doorvoeren van wijzigingen, unlock/reset password, aanpassen groepslidmaatschappen, verwijderen van accounts en vele andere veel voorkomende beheerswerkzaamheden in slechts enkele minuten of zelfs volledig automatisch plaats vindt, kan worden bespaard op de hoeveelheid personeel op de servicedesk of helpdesk. Op ICT-afdelingen met een hoge werkdruk kan de inzet van een Identity Management (IDM) oplossing een sterke verlaging van de werkdruk teweeg brengen. Dit heeft als positief effect minder ziekteverzuim, kleinere kans op fouten en snellere doorlooptijden bij het afhandelen van calls.
Snellere service
De doorlooptijd voor het aanmaken van een account voor een nieuwe medewerker vanaf aanvraag vanuit de organisatie tot aan realisatie loopt bij veel organisaties al snel op tot 1 - 2 weken als gevolg van drukte op de helpdesk/servicedesk. Met name als een afdelingsmanager vergeten is om een nieuw personeelslid aan te melden bij de ICT afdeling, kan een lange doorlooptijd zeer hinderlijk zijn. Immers, de nieuwe medewerker begint en kan niet bij zijn mailbox, heeft geen toegang tot de printers, netwerkmappen enz.
Met het implementeren van een Identity & Access Management (IAM) oplossing kan door middel van auto provisioning vanuit het HR-systeem naar active directory, koppeling vanuit de AD naar diverse applicaties en systemen en Role Based Access Control (RBAC) automatisch een user account worden aangemaakt. Een proces wat voorheen enkele weken in beslag nam, is dan gereduceerd tot enkele minuten.
Ook na indiensttreding van een medewerker kan middels een Identity Management (IDM) oplossing een sterk verbeterde dienstverlening geboden worden vanuit de ICT-afdeling richting de organisatie. Wijzigingsverzoeken kunnen via Workflow Management & Self Service snel de goedkeuring krijgen van de betrokken personen en vervolgens automatisch of via een ticket door de helpdesk worden afgehandeld. Wijzigingsverzoeken verlopen hiermee snel en secuur, zodat medewerkers niet onnodig hoeven te wachten op de uitvoer van hun verzoek.
Lager gekwalificeerd personeel
Door middel van auto provisioning van user accounts en het bieden van digitale formulieren voor het afhandelen van veel voorkomende beheertaken, kunnen veel van de dagelijkse werkzaamheden op het gebied van user accountbeheer uitgevoerd worden door non-skilled medewerkers. Er hoeven dan immers geen werkzaamheden in de Active Directory meer plaats te vinden, waardoor minder IT kennis noodzakelijk is. Het inzetten van lager gekwalificeerd personeel voor veel voorkomende user beheertaken, biedt dan een aanzienlijke kostenbesparing.
Besparing op licentiekosten
In veel organisaties is het gangbaar dat bij indiensttreding van een medewerker een kopie gemaakt wordt van het user profiel van diens voorganger of van een collega met min of meer dezelfde functie. Zo kan het gebeuren dat hierbij het profiel gekopieerd wordt van iemand die extra rechten had op bepaalde applicaties. Naast het grote gevaar wat hierin schuilt op het gebied van security brengt dit ook onnodige licentiekosten met zich mee.
Slecht doorgevoerd IT Asset Management (ITAM) zorgt bij veel organisaties ook voor onnodig hoge licentiekosten. Zo geven medewerkers eenmaal verkregen toegangsrechten op een applicatie (voor bijvoorbeeld een tijdelijk project) niet meer terug op het moment dat ze dit niet meer nodig hebben. En weten afdelingsmanagers vaak ook niet welke applicaties hun medewerkers nu echt nodig hebben voor de uitvoering van hun functie. Gemakshalve wordt dan vaak een heel lijstje aangevinkt vanuit het idee ‘beter te veel dan te weinig’.... Het spreekt voor zich dat de licentiekosten hiermee onnodig oplopen. Met het inzetten van
Role Based Access Control (RBAC) kan dit voorkomen worden. Op basis van de rol die iemand vervult in de organisatie kan bij indiensttreding een account aangemaakt worden, waarbij op basis van de informatie uit de RBAC-tabellen door de IDM-oplossing de benodigde applicatierechten uitgelezen worden. Hiermee krijgt een medewerker toegang tot exact de juiste applicaties die hij of zij nodig heeft. Een sterke besparing op de licentiekosten is het gevolg.
Besparing resources van ex-medewerkers
In organisaties waar geen sluitende uitdienst-procedure toegepast wordt bij het vertrek van medewerkers, blijkt al snel zo’n 3 – 10 procent vervuiling in de Active Directory op te treden. User accounts blijven bestaan en daarmee lopen de kosten voor opslag/backup (home directory en mailbox data) en licenties gewoon door terwijl de betreffende medewerkers niet meer bij de organisatie werkzaam zijn. Door het koppelen van de contractinformatie uit het personeelssysteem met de user accounts in het netwerk is op eenvoudige wijze een besparing op de resources van ex-medewerkers te realiseren. In de praktijk blijkt hiermee zo’n 3 procent reductie in opslag-, backup- en licentiekosten te behalen.
Conclusie
De Return-On-Investment (ROI) is sterk afhankelijk van de huidige situatie bij een organisatie. Bovenstaande veel voorkomende besparingspunten kunt u als uitgangspunt gebruiken bij het schrijven van een businesscase voor uw eigen organisatie. Afhankelijk van de wijze waarop het user accountbeheer nu ingericht is, is een snelle of minder snelle ROI mogelijk. Doorgaans zien we dat de ROI al binnen 1 of 2 jaar te behalen valt en dan hebben we het nog niets eens over de vele indirecte (security) voordelen.
Praktijkervaring en ervaringscijfers
Meer informatie over de indirecte besparingen die met de implementatie van een Identity Management oplossing te behalen zijn, kunt u vinden op: Return On Investment (ROI) voor geautomatiseerd user account beheer
Voor ervaringscijfers van organisaties die met de implementatie van de Identity & Access Management oplossing UMRA van Tools4ever een sterke besparing hebben gerealiseerd op het gebied van User Accountbeheer, kunt u kijken op: Return On Investment (ROI) berekening van Identity Management projecten
Om een goed beeld te krijgen van de voordelen en besparingen die een zorginstelling kan behalen met de aanschaf van een Identity & Access Management oplossing, treft u hieronder een aantal casestudies aan van zorginstellingen die recent een IAM-oplossing hebben geïmplementeerd:
- Westfriesgasthuis: Veilige informatievoorziening bij Westfriesgasthuis
- Ziekenhuis Rivierenland: Single Sign On met gebruikerspas noodzakelijk voor NEN 7510
- Zuwe Hofpoort Ziekenhuis: Zuwe Hofpoort Ziekenhuis vindt oplossing voor digitaal onderdeel van NEN 7510
- UMC Utrecht: UMC Utrecht regelt delegation of control en meer met UMRA
- Stichting Talant: Interface met bronsystemen Beaufort en Unit4Cura ten behoeve van HKZ certificering en audit
- Stichting Altrecht: Stichting Altrecht maakt vliegende start met effectief beheer van user accounts
- Ipse de Bruggen: Automatische synchronisatie tussen Beaufort en de Active Directory middels User Management Resource Administrator
- Bureau Jeugdzorg Overijssel: Auto provisioning van user accounts vanuit en naar Active Directory, Beaufort (RAET), IJ
In een tijd met teruglopende IT-budgetten, is het schrijven van een goede busiesscase veelal een must om budget voor een project toegekend te krijgen. Een snelle Return-On-Investment (ROI) is daarbij een sterke motivator om een Identity Management project opgenomen te krijgen in het budget voor het komende jaar.
In dit artikel zal ik een aantal belangrijke punten toelichten die sterk bijdragen aan een korte terugverdientijd van een Identity & Access Management (IAM) oplossing en daarmee de budgetaanvraag flink kunnen versoepelen!
Minder ICT-personeel
Deze besparing klinkt met name de medewerkers op de ICT-afdeling niet altijd even prettig in de oren, maar voor het management is dit zeker in economisch lastige tijden wel degelijk aantrekkelijk. Doordat het aanmaken van accounts, het doorvoeren van wijzigingen, unlock/reset password, aanpassen groepslidmaatschappen, verwijderen van accounts en vele andere veel voorkomende beheerswerkzaamheden in slechts enkele minuten of zelfs volledig automatisch plaats vindt, kan worden bespaard op de hoeveelheid personeel op de servicedesk of helpdesk. Op ICT-afdelingen met een hoge werkdruk kan de inzet van een Identity Management (IDM) oplossing een sterke verlaging van de werkdruk teweeg brengen. Dit heeft als positief effect minder ziekteverzuim, kleinere kans op fouten en snellere doorlooptijden bij het afhandelen van calls.
Snellere service
De doorlooptijd voor het aanmaken van een account voor een nieuwe medewerker vanaf aanvraag vanuit de organisatie tot aan realisatie loopt bij veel organisaties al snel op tot 1 - 2 weken als gevolg van drukte op de helpdesk/servicedesk. Met name als een afdelingsmanager vergeten is om een nieuw personeelslid aan te melden bij de ICT afdeling, kan een lange doorlooptijd zeer hinderlijk zijn. Immers, de nieuwe medewerker begint en kan niet bij zijn mailbox, heeft geen toegang tot de printers, netwerkmappen enz.
Met het implementeren van een Identity & Access Management (IAM) oplossing kan door middel van auto provisioning vanuit het HR-systeem naar active directory, koppeling vanuit de AD naar diverse applicaties en systemen en Role Based Access Control (RBAC) automatisch een user account worden aangemaakt. Een proces wat voorheen enkele weken in beslag nam, is dan gereduceerd tot enkele minuten.
Ook na indiensttreding van een medewerker kan middels een Identity Management (IDM) oplossing een sterk verbeterde dienstverlening geboden worden vanuit de ICT-afdeling richting de organisatie. Wijzigingsverzoeken kunnen via Workflow Management & Self Service snel de goedkeuring krijgen van de betrokken personen en vervolgens automatisch of via een ticket door de helpdesk worden afgehandeld. Wijzigingsverzoeken verlopen hiermee snel en secuur, zodat medewerkers niet onnodig hoeven te wachten op de uitvoer van hun verzoek.
Lager gekwalificeerd personeel
Door middel van auto provisioning van user accounts en het bieden van digitale formulieren voor het afhandelen van veel voorkomende beheertaken, kunnen veel van de dagelijkse werkzaamheden op het gebied van user accountbeheer uitgevoerd worden door non-skilled medewerkers. Er hoeven dan immers geen werkzaamheden in de Active Directory meer plaats te vinden, waardoor minder IT kennis noodzakelijk is. Het inzetten van lager gekwalificeerd personeel voor veel voorkomende user beheertaken, biedt dan een aanzienlijke kostenbesparing.
Besparing op licentiekosten
In veel organisaties is het gangbaar dat bij indiensttreding van een medewerker een kopie gemaakt wordt van het user profiel van diens voorganger of van een collega met min of meer dezelfde functie. Zo kan het gebeuren dat hierbij het profiel gekopieerd wordt van iemand die extra rechten had op bepaalde applicaties. Naast het grote gevaar wat hierin schuilt op het gebied van security brengt dit ook onnodige licentiekosten met zich mee.
Slecht doorgevoerd IT Asset Management (ITAM) zorgt bij veel organisaties ook voor onnodig hoge licentiekosten. Zo geven medewerkers eenmaal verkregen toegangsrechten op een applicatie (voor bijvoorbeeld een tijdelijk project) niet meer terug op het moment dat ze dit niet meer nodig hebben. En weten afdelingsmanagers vaak ook niet welke applicaties hun medewerkers nu echt nodig hebben voor de uitvoering van hun functie. Gemakshalve wordt dan vaak een heel lijstje aangevinkt vanuit het idee ‘beter te veel dan te weinig’.... Het spreekt voor zich dat de licentiekosten hiermee onnodig oplopen. Met het inzetten van
Role Based Access Control (RBAC) kan dit voorkomen worden. Op basis van de rol die iemand vervult in de organisatie kan bij indiensttreding een account aangemaakt worden, waarbij op basis van de informatie uit de RBAC-tabellen door de IDM-oplossing de benodigde applicatierechten uitgelezen worden. Hiermee krijgt een medewerker toegang tot exact de juiste applicaties die hij of zij nodig heeft. Een sterke besparing op de licentiekosten is het gevolg.
Besparing resources van ex-medewerkers
In organisaties waar geen sluitende uitdienst-procedure toegepast wordt bij het vertrek van medewerkers, blijkt al snel zo’n 3 – 10 procent vervuiling in de Active Directory op te treden. User accounts blijven bestaan en daarmee lopen de kosten voor opslag/backup (home directory en mailbox data) en licenties gewoon door terwijl de betreffende medewerkers niet meer bij de organisatie werkzaam zijn. Door het koppelen van de contractinformatie uit het personeelssysteem met de user accounts in het netwerk is op eenvoudige wijze een besparing op de resources van ex-medewerkers te realiseren. In de praktijk blijkt hiermee zo’n 3 procent reductie in opslag-, backup- en licentiekosten te behalen.
Conclusie
De Return-On-Investment (ROI) is sterk afhankelijk van de huidige situatie bij een organisatie. Bovenstaande veel voorkomende besparingspunten kunt u als uitgangspunt gebruiken bij het schrijven van een businesscase voor uw eigen organisatie. Afhankelijk van de wijze waarop het user accountbeheer nu ingericht is, is een snelle of minder snelle ROI mogelijk. Doorgaans zien we dat de ROI al binnen 1 of 2 jaar te behalen valt en dan hebben we het nog niets eens over de vele indirecte (security) voordelen.
Praktijkervaring en ervaringscijfers
Meer informatie over de indirecte besparingen die met de implementatie van een Identity Management oplossing te behalen zijn, kunt u vinden op: Return On Investment (ROI) voor geautomatiseerd user account beheer
Voor ervaringscijfers van organisaties die met de implementatie van de Identity & Access Management oplossing UMRA van Tools4ever een sterke besparing hebben gerealiseerd op het gebied van User Accountbeheer, kunt u kijken op: Return On Investment (ROI) berekening van Identity Management projecten
Om een goed beeld te krijgen van de voordelen en besparingen die een zorginstelling kan behalen met de aanschaf van een Identity & Access Management oplossing, treft u hieronder een aantal casestudies aan van zorginstellingen die recent een IAM-oplossing hebben geïmplementeerd:
- Westfriesgasthuis: Veilige informatievoorziening bij Westfriesgasthuis
- Ziekenhuis Rivierenland: Single Sign On met gebruikerspas noodzakelijk voor NEN 7510
- Zuwe Hofpoort Ziekenhuis: Zuwe Hofpoort Ziekenhuis vindt oplossing voor digitaal onderdeel van NEN 7510
- UMC Utrecht: UMC Utrecht regelt delegation of control en meer met UMRA
- Stichting Talant: Interface met bronsystemen Beaufort en Unit4Cura ten behoeve van HKZ certificering en audit
- Stichting Altrecht: Stichting Altrecht maakt vliegende start met effectief beheer van user accounts
- Ipse de Bruggen: Automatische synchronisatie tussen Beaufort en de Active Directory middels User Management Resource Administrator
- Bureau Jeugdzorg Overijssel: Auto provisioning van user accounts vanuit en naar Active Directory, Beaufort (RAET), IJ
zondag 11 juli 2010
NEN 7510 & Identity Management: wat zijn de mogelijkheden?
Met de komst van de NEN 7510 norm voor informatiebeveiliging in de zorgsector is Identity Management (IDM) of in de bredere context Identity & Access Management (IAM) een actueel onderwerp geworden binnen zorginstellingen. Het komen tot een adequate informatiebeveiliging vereist een goede en accurate controle op de personen die toegang hebben tot vertrouwelijke informatie, zoals patiëntgegevens. Ook de invoering van het landelijk Elektronisch Patiëntendossier (EPD) en de daarmee samenhangende eisen ten aanzien van een Goed Beheerd Zorgsysteem (GBZ) brengen het onderwerp Identity Management hoog op de agenda bij veel zorginstellingen.
De bewustwording van het belang van een goede Identity Managementoplossing maakt de invoering er nog niet eenvoudiger op. Er zal budget gereserveerd moeten worden en minstens zo belangrijk, een goede implementatie vereist draagvlak binnen meerdere afdelingen van de organisatie. Invoering van Identity Management is immers niet alleen een 'ICT en security-feestje', ook de P&O afdeling en de zorgmanager zijn er bij betrokken. Het onderwerp Identity and Access Management is voor veel mensen echter nog een vaag begrip en de beschikbare informatie is vaak technisch en specialistisch van aard. In dit artikel zal ik het onderwerp Identity and Access Management en de toepassing binnen de zorg toelichten aan de hand van de drie belangrijkste deelonderwerpen.
Identity and Access Management
Het onderwerp Identity and Access Management (IAM) kan onderverdeeld worden in een drietal deelonderwerpen:
• User Account Management
• Password Management
• Single Sign-On (SSO)
Binnen bovenstaande driedeling, komen diverse aspecten aan bod als Auto Provisioning, Fast User Switching, Delegatie, Workflow Management & Self Service en Role Based Access Control (RBAC). Deze termen zullen hieronder toegelicht worden.
User Account Management
User Account Management is van groot belang om een overzicht te houden van wie, waar en wanneer toegang heeft tot informatie. User Account Management richt zich op het beheren van de toegangsrechten tot systemen en applicaties gedurende de gehele levensloop van een medewerker binnen een organisatie. Dit wordt ook wel User Lifecycle Management genoemd. Deze zogenaamde User Lifecycle begint bij de indiensttreding van een medewerker. In de oude situatie wordt deze medewerker door de P&O afdeling of de zorgmanager aangemeld bij de ICT afdeling en maakt een medewerker van de ICT afdeling voor deze persoon een gebruikersaccount aan met de toegang tot de benodigde systemen en applicaties. Denk hierbij aan het aanmaken van een emailaccount, eventuele toegang tot het ziekenhuisinformatiesysteem (ZIS) en bekendmaking bij een systeem voor fysieke toegangscontrole. Door drukte op de ICT afdeling kan de doorlooptijd voor het aanmaken van een gebruikersaccount al snel oplopen tot enkele weken. Met name wanneer men vergeten is om de persoon aan te melden bij de ICT afdeling, kan een dergelijke doorlooptijd hinderlijk zijn en is de nieuwe medewerker de eerste weken verstoken van een inlogaccount.
Middels User Account Management kan het proces van het aanmaken van een user account met de bijbehorende toegangsrechten sterk geoptimaliseerd worden. Zo biedt Auto Provisioning de mogelijkheid om middels een koppeling met het personeelssysteem (bijvoorbeeld Beaufort, AFAS, SAP HR/HCM) automatisch een user account aan te maken. Op basis van Role Based Access Control (RBAC) kan dan gekeken worden welke rechten deze persoon heeft op basis van de rol die de persoon vervult in de organisatie en kan middels een koppeling met de diverse systemen bijvoorbeeld een account aangemaakt worden in het ziekenhuisinformatiesysteem (ZIS). Indien een medewerker gedurende zijn werkzaamheden merkt dat hij of zij nog bepaalde rechten tot shares of applicaties nodig heeft, kan de medewerker deze zelf aanvragen middels een self-service systeem, waarna er een workflow gestart wordt die de betrokken personen langs gaat voor de vereiste goedkeuring en realisatie. Middels delegatie is het mogelijk dat bepaalde user beheertaken van de ICT afdeling naar de zorgmanager gedelegeerd kunnen worden om middels korte lijnen de snelheid van handelen te verhogen. Aan het eind van de User Lifecycle heeft de koppeling met het personeelssysteem als groot voordeel dat na beëindiging van een dienstverband (automatisch) een ontmantelingsprocedure gestart kan worden om te voorkomen dat deze persoon na uitdiensttreding nog toegang heeft tot belangrijke informatie.
Meer informatie over User Account Management kunt u vinden op: Geautomatiseerd user beheer met delegation en auto provisioning vanuit HR-systeem
Voor meer informatie over de koppelingen met personeelssystemen en andere applicaties kunt u kijken op: Koppelingen Beaufort, AFAS, SAP HCM, Active Directory, Exchange, TopDESK, PlanON, Ultimo
Password Management
Een goed wachtwoordbeleid is essentieel om een goede informatiebeveiliging te kunnen waarborgen. Bovendien wordt dit ook geëist bij de NEN7510 normering. Het invoeren van sterke/complexe wachtwoorden biedt een goede stap om de informatiebeveiliging naar een hoger plan te brengen. Een groot nadeel van een complex wachtwoord is dat eindgebruiker deze vaker zal vergeten en vervolgens de helpdesk gaat bellen voor een nieuw wachtwoord. Vaak is het resetten van een wachtwoord al de meest voorkomende helpdesk call en daardoor zal de invoering van een complex wachtwoord leiden tot een sterke stijging van de beheerslast.
Op het gebied van Password Management zijn er diverse oplossingen mogelijk om de beheerslast niet te laten oplopen bij de invoering van een complex wachtwoord. Zo biedt een oplossing als Self Service Reset Password Management (SSRPM) de mogelijkheid aan eindgebruikers om zelf hun wachtwoord te resetten. De eindgebruiker kan haar/zijn wachtwoord resetten (of account unlocken) zonder hiervoor contact op te nemen met de heldesk. Password Complexity Manager (PCM) maakt het mogelijk om voor verschillende groepen van gebruikers de complexiteitsregels voor wachtwoorden apart in te stellen. Mensen die vanuit hun functie geen toegang tot vertrouwelijke informatie hebben, kunnen zodoende gebruik maken van een minder complex en dus makkelijker te onthouden wachtwoord. Met een oplossing als Password Synchronization Manager (PSM) is het tot slot mogelijk om wachtwoorden over verschillende applicaties te synchroniseren om hiermee het aantal te onthouden wachtwoorden voor gebruikers sterk omlaag te brengen. Voor meer informatie over het toepassen van Password Management, verwijs ik u ook graag naar mijn voorgaande artikel: Password Complexity: zorg of zegen?.
Meer informatie over het resetten van wachtwoorden door eindgebruikers treft u op: Laat eindgebruikers zelf hun wachtwoord resetten met Self Service Reset Password Management Software
Informatie over het instellen van afzonderlijke complexiteitsregels voor groepen gebruikers treft u op: Password Complexity Manager - reguleer de complexiteit van passwords en wachtwoorden
Over het synchroniseren van wachtwoorden binnen diverse applicaties kunt u meer informatie vinden op: Synchroniseer wachtwoorden in alle applicaties in uw netwerk met Password Synchronization Manager
Single Sign-On
Het toepassen van Single Sign-On is met name binnen ziekenhuizen op het moment een hot item. Om de te voldoen aan de NEN7510, stappen ziekenhuizen en andere zorginstellingen af van de gebruikelijke groepsaccounts en worden deze vervangen door individuele accounts. In combinatie met de toenemende eisen op het gebied van de complexiteit van wachtwoorden, worden de inlogprocedures meer complex en tijdrovend. Vanuit het oogpunt van security ontstaat een averechts effect: eindgebruikers moeten steeds meer inlog procedures onthouden, wachtwoorden worden complexer en uiteindelijk gaan eindgebruikers hun wachtwoord opschrijven op geeltjes en plakken die op hun beeldscherm of onder hun toetsenbord.
Single Sign-On (SSO) speelt hierop in. Middels SSO hoeft de gebruiker slechts 1 keer in te loggen en voor alle volgende applicaties geen wachtwoord meer in te voeren. Met name in stresssituaties scheelt dit kostbare tijd. Een verder vereenvoudiging van de inlogprocedures kan verkregen worden met Fast User Switching i.c.m. met een gebruikerspas (bijvoorbeeld de UZI-pas), waarmee de gebruiker door middel van het invoeren van de gebruikerspas toegang krijgt tot de gewenste applicaties. Het verwijderen van de pas volstaat om uit te loggen uit de applicaties en de computer beschikbaar te stellen voor de volgende medewerker. Een aanvulling hierop is het Follow-Me principe, waarbij het mogelijk is op een andere computer verder te werken met de openstaande applicaties. Met name voor een specialist die een rondgang doet over de afdeling en op verschillende computers toegang wil hebben tot zijn gegevens, biedt dit een sterke tijdsbesparing.
Meer informatie over de toepassing van Single Sign-On binnen ziekenhuizen kunt u lezen in onderstaande praktijkcases:
- Ziekenhuis Rivierenland: Single Sign On met gebruikerspas noodzakelijk voor NEN 7510
- Zuwe Hofpoort Ziekenhuis: Zuwe Hofpoort Ziekenhuis vindt oplossing voor digitaal onderdeel van NEN 7510
Meer informatie over toepassing van Single Sign-On kunt u vinden op: Single Sign-On: eenmalig inloggen en automatisch toegang tot alle applicaties en resources in het netwerk.
In een volgend artikel zal ik verder in gaan op de voordelen die met het invoeren van Identity Management binnen de organisatie behaald kunnen worden. Dit in combinatie met belangrijke punten voor de Return On Investment (ROI) geeft een goed handvat om een snelle invoering binnen de organisatie mogelijk te maken.
De bewustwording van het belang van een goede Identity Managementoplossing maakt de invoering er nog niet eenvoudiger op. Er zal budget gereserveerd moeten worden en minstens zo belangrijk, een goede implementatie vereist draagvlak binnen meerdere afdelingen van de organisatie. Invoering van Identity Management is immers niet alleen een 'ICT en security-feestje', ook de P&O afdeling en de zorgmanager zijn er bij betrokken. Het onderwerp Identity and Access Management is voor veel mensen echter nog een vaag begrip en de beschikbare informatie is vaak technisch en specialistisch van aard. In dit artikel zal ik het onderwerp Identity and Access Management en de toepassing binnen de zorg toelichten aan de hand van de drie belangrijkste deelonderwerpen.
Identity and Access Management
Het onderwerp Identity and Access Management (IAM) kan onderverdeeld worden in een drietal deelonderwerpen:
• User Account Management
• Password Management
• Single Sign-On (SSO)
Binnen bovenstaande driedeling, komen diverse aspecten aan bod als Auto Provisioning, Fast User Switching, Delegatie, Workflow Management & Self Service en Role Based Access Control (RBAC). Deze termen zullen hieronder toegelicht worden.
User Account Management
User Account Management is van groot belang om een overzicht te houden van wie, waar en wanneer toegang heeft tot informatie. User Account Management richt zich op het beheren van de toegangsrechten tot systemen en applicaties gedurende de gehele levensloop van een medewerker binnen een organisatie. Dit wordt ook wel User Lifecycle Management genoemd. Deze zogenaamde User Lifecycle begint bij de indiensttreding van een medewerker. In de oude situatie wordt deze medewerker door de P&O afdeling of de zorgmanager aangemeld bij de ICT afdeling en maakt een medewerker van de ICT afdeling voor deze persoon een gebruikersaccount aan met de toegang tot de benodigde systemen en applicaties. Denk hierbij aan het aanmaken van een emailaccount, eventuele toegang tot het ziekenhuisinformatiesysteem (ZIS) en bekendmaking bij een systeem voor fysieke toegangscontrole. Door drukte op de ICT afdeling kan de doorlooptijd voor het aanmaken van een gebruikersaccount al snel oplopen tot enkele weken. Met name wanneer men vergeten is om de persoon aan te melden bij de ICT afdeling, kan een dergelijke doorlooptijd hinderlijk zijn en is de nieuwe medewerker de eerste weken verstoken van een inlogaccount.
Middels User Account Management kan het proces van het aanmaken van een user account met de bijbehorende toegangsrechten sterk geoptimaliseerd worden. Zo biedt Auto Provisioning de mogelijkheid om middels een koppeling met het personeelssysteem (bijvoorbeeld Beaufort, AFAS, SAP HR/HCM) automatisch een user account aan te maken. Op basis van Role Based Access Control (RBAC) kan dan gekeken worden welke rechten deze persoon heeft op basis van de rol die de persoon vervult in de organisatie en kan middels een koppeling met de diverse systemen bijvoorbeeld een account aangemaakt worden in het ziekenhuisinformatiesysteem (ZIS). Indien een medewerker gedurende zijn werkzaamheden merkt dat hij of zij nog bepaalde rechten tot shares of applicaties nodig heeft, kan de medewerker deze zelf aanvragen middels een self-service systeem, waarna er een workflow gestart wordt die de betrokken personen langs gaat voor de vereiste goedkeuring en realisatie. Middels delegatie is het mogelijk dat bepaalde user beheertaken van de ICT afdeling naar de zorgmanager gedelegeerd kunnen worden om middels korte lijnen de snelheid van handelen te verhogen. Aan het eind van de User Lifecycle heeft de koppeling met het personeelssysteem als groot voordeel dat na beëindiging van een dienstverband (automatisch) een ontmantelingsprocedure gestart kan worden om te voorkomen dat deze persoon na uitdiensttreding nog toegang heeft tot belangrijke informatie.
Meer informatie over User Account Management kunt u vinden op: Geautomatiseerd user beheer met delegation en auto provisioning vanuit HR-systeem
Voor meer informatie over de koppelingen met personeelssystemen en andere applicaties kunt u kijken op: Koppelingen Beaufort, AFAS, SAP HCM, Active Directory, Exchange, TopDESK, PlanON, Ultimo
Password Management
Een goed wachtwoordbeleid is essentieel om een goede informatiebeveiliging te kunnen waarborgen. Bovendien wordt dit ook geëist bij de NEN7510 normering. Het invoeren van sterke/complexe wachtwoorden biedt een goede stap om de informatiebeveiliging naar een hoger plan te brengen. Een groot nadeel van een complex wachtwoord is dat eindgebruiker deze vaker zal vergeten en vervolgens de helpdesk gaat bellen voor een nieuw wachtwoord. Vaak is het resetten van een wachtwoord al de meest voorkomende helpdesk call en daardoor zal de invoering van een complex wachtwoord leiden tot een sterke stijging van de beheerslast.
Op het gebied van Password Management zijn er diverse oplossingen mogelijk om de beheerslast niet te laten oplopen bij de invoering van een complex wachtwoord. Zo biedt een oplossing als Self Service Reset Password Management (SSRPM) de mogelijkheid aan eindgebruikers om zelf hun wachtwoord te resetten. De eindgebruiker kan haar/zijn wachtwoord resetten (of account unlocken) zonder hiervoor contact op te nemen met de heldesk. Password Complexity Manager (PCM) maakt het mogelijk om voor verschillende groepen van gebruikers de complexiteitsregels voor wachtwoorden apart in te stellen. Mensen die vanuit hun functie geen toegang tot vertrouwelijke informatie hebben, kunnen zodoende gebruik maken van een minder complex en dus makkelijker te onthouden wachtwoord. Met een oplossing als Password Synchronization Manager (PSM) is het tot slot mogelijk om wachtwoorden over verschillende applicaties te synchroniseren om hiermee het aantal te onthouden wachtwoorden voor gebruikers sterk omlaag te brengen. Voor meer informatie over het toepassen van Password Management, verwijs ik u ook graag naar mijn voorgaande artikel: Password Complexity: zorg of zegen?.
Meer informatie over het resetten van wachtwoorden door eindgebruikers treft u op: Laat eindgebruikers zelf hun wachtwoord resetten met Self Service Reset Password Management Software
Informatie over het instellen van afzonderlijke complexiteitsregels voor groepen gebruikers treft u op: Password Complexity Manager - reguleer de complexiteit van passwords en wachtwoorden
Over het synchroniseren van wachtwoorden binnen diverse applicaties kunt u meer informatie vinden op: Synchroniseer wachtwoorden in alle applicaties in uw netwerk met Password Synchronization Manager
Single Sign-On
Het toepassen van Single Sign-On is met name binnen ziekenhuizen op het moment een hot item. Om de te voldoen aan de NEN7510, stappen ziekenhuizen en andere zorginstellingen af van de gebruikelijke groepsaccounts en worden deze vervangen door individuele accounts. In combinatie met de toenemende eisen op het gebied van de complexiteit van wachtwoorden, worden de inlogprocedures meer complex en tijdrovend. Vanuit het oogpunt van security ontstaat een averechts effect: eindgebruikers moeten steeds meer inlog procedures onthouden, wachtwoorden worden complexer en uiteindelijk gaan eindgebruikers hun wachtwoord opschrijven op geeltjes en plakken die op hun beeldscherm of onder hun toetsenbord.
Single Sign-On (SSO) speelt hierop in. Middels SSO hoeft de gebruiker slechts 1 keer in te loggen en voor alle volgende applicaties geen wachtwoord meer in te voeren. Met name in stresssituaties scheelt dit kostbare tijd. Een verder vereenvoudiging van de inlogprocedures kan verkregen worden met Fast User Switching i.c.m. met een gebruikerspas (bijvoorbeeld de UZI-pas), waarmee de gebruiker door middel van het invoeren van de gebruikerspas toegang krijgt tot de gewenste applicaties. Het verwijderen van de pas volstaat om uit te loggen uit de applicaties en de computer beschikbaar te stellen voor de volgende medewerker. Een aanvulling hierop is het Follow-Me principe, waarbij het mogelijk is op een andere computer verder te werken met de openstaande applicaties. Met name voor een specialist die een rondgang doet over de afdeling en op verschillende computers toegang wil hebben tot zijn gegevens, biedt dit een sterke tijdsbesparing.
Meer informatie over de toepassing van Single Sign-On binnen ziekenhuizen kunt u lezen in onderstaande praktijkcases:
- Ziekenhuis Rivierenland: Single Sign On met gebruikerspas noodzakelijk voor NEN 7510
- Zuwe Hofpoort Ziekenhuis: Zuwe Hofpoort Ziekenhuis vindt oplossing voor digitaal onderdeel van NEN 7510
Meer informatie over toepassing van Single Sign-On kunt u vinden op: Single Sign-On: eenmalig inloggen en automatisch toegang tot alle applicaties en resources in het netwerk.
In een volgend artikel zal ik verder in gaan op de voordelen die met het invoeren van Identity Management binnen de organisatie behaald kunnen worden. Dit in combinatie met belangrijke punten voor de Return On Investment (ROI) geeft een goed handvat om een snelle invoering binnen de organisatie mogelijk te maken.
Abonneren op:
Posts (Atom)
+3.jpg)