Recertification

In dit artikel

Wat is recertification?
Aanleiding recertification
Hoe werkt recertification?
Hoe pakken wij recertification binnen HelloID aan?
Doel van recertification
Meer weten over onze IAM recertification?

Wat is recertification?

Recertification – of hercertificatie in het Nederlands – maakt deel uit van de HelloID governance functionaliteit. Recertification helpt om meer grip te houden op het gebruik van self-service producten. Van alle verstrekte accounts of autorisaties wordt zo’n 80% uitgegeven via automatische provisioning. De overige 20% kunnen gebruikers of hun managers aanvragen via bijvoorbeeld een self-service portal. Risico is dat zulke licenties en toegangsrechten eenmaal verstrekt nooit meer worden beoordeeld en ingetrokken. Terwijl iemand een bepaalde licentie inmiddels wellicht helemaal niet meer nodig heeft, er tegenwoordig betere alternatieven zijn of bepaalde software niet meer binnen het bedrijfsbeleid past. Met recertification kun je op een planmatige manier zulke uitgegeven rechten regelmatig opnieuw laten beoordelen. De uitkomst kan zijn dat iemand de licentie kan blijven gebruiken, maar ook kan een alternatief worden aangeboden of besloten dat de software niet langer mag worden gebruikt. Om te voorkomen dat dit allemaal teveel tijd gaat kosten, biedt onze recertification functionaliteit ook de tools om de beoordeling en bevestiging van licenties en applicatierechten zoveel mogelijk bulksgewijs te kunnen uitvoeren.

Aanleiding recertification

Met een IAM platform als HelloID beheer je de gebruikers binnen je IT-omgeving, de accounts die aan deze gebruikers worden verstrekt en allerlei andere producten. Denk daarbij aan applicatierechten en/of -licenties, toegang tot projectmappen, mailboxen etc. Bij organisaties met honderden of duizenden medewerkers en soms honderden applicaties volstaat een Excel lijstje natuurlijk niet en moet je het beheer goed organiseren en zoveel mogelijk automatiseren. Bij HelloID doen we dat op twee manieren die elkaar aanvullen:

De bulk van de accounts en rechten worden verstrekt met automatische Provisioning op basis van iemands rol in de organisatie. Bij deze RBAC (Role Based Access Control) krijgt iedereen de rechten die hij of zij nodig heeft om de toegewezen rol te kunnen uitvoeren. De verkoop medewerker krijgt bijvoorbeeld standaard toegang tot het CRM systeem terwijl een administrateur de financiële applicaties moet kunnen gebruiken.
Omdat niet alle rechten aan specifieke rollen zijn gekoppeld en mensen soms ook aanvullende toegangsrechten nodig hebben, bijvoorbeeld voor een tijdelijk project, biedt HelloID ook de Service Automation Daarmee ondersteunen we de aanvragen en de bijbehorende workflows voor zulke individuele aanvullende toegangsrechten.

Daarmee zijn we er nog niet want je IT-omgeving verandert voortdurend. Mensen krijgen andere functies, verhuizen naar een andere afdeling, nieuwe medewerkers starten en anderen vertrekken. Ook kan een eerder verstrekte applicatie inmiddels weer achterhaald zijn. Kortom, je wilt je account- en rechtensituatie steeds aanpassen aan de veranderde omstandigheden.

We noemden de twee methodes om accounts en toegangsrechten te beheren: via Provisioning of via Service Automation. De rechten die we beheren via de Provisioning module blijven automatisch up to date. Als iemand een andere rol krijgt, worden ook de toegangsrechten automatisch aangepast. En wordt een alternatief gekozen voor bijvoorbeeld het CRM systeem, dan wordt ook die wijziging automatisch doorgevoerd.

Maar het ligt ingewikkelder bij de individuele producten die via Service Automation worden beheerd. Vaak worden producten slechts incidenteel verstrekt en vaak voor onbeperkte tijd. De uitgegeven producten worden dus niet automatisch beheerd en raken als het ware ‘uit beeld’. Daarom is er recertification functionaliteit om de uitgegeven rechten regelmatig opnieuw te beoordelen.

Hoe werkt recertification?

Om te weten hoe recertification werkt moeten we eerst nog even kijken hoe we met behulp van de Service Automation zo’n individuele aanvraag kunnen organiseren. Een medewerker vraagt bijvoorbeeld via een selfservice portal toegang tot een project mailbox. Daarvoor moet de gebruiker toegang krijgen tot een specifieke Active Directory of EntraID groep. De aanvraag daarvoor kunnen we binnen Service Automation stroomlijnen met een workflow waarin bijvoorbeeld eerst de manager van de medewerker en vervolgens ook de mailboxeigenaar toestemming moeten geven. Hebben ze allebei online de aanvraag goedgekeurd dan verwerkt HelloID dit en stuurt automatisch een verzoek naar AD of EntraID om de relevante instellingen door te voeren.

Vaak is zo’n uitgifte voor onbepaalde tijd en als niemand dan zelf initiatief neemt, houdt de medewerker toegang zolang zo’n mailbox bestaat en wordt het recht pas beëindigd als iemand de organisatie verlaat. Met recertification kunnen we nu regulier een check inbouwen waarin we nagaan of iemand nog recht heeft op deze mailbox. In essentie werkt dat door de aanvraagprocedure te herhalen. Zowel de manager als de mailboxeigenaar krijgen opnieuw een online verzoek dat ze kunnen goedkeuren of afwijzen. Aan de hand daarvan behoudt de medewerker de toegang of wordt het betreffende recht ingetrokken.

Dit is het basisprincipe van recertification maar er zijn uiteraard meer mogelijkheden. Dat leggen we hieronder verder uit.

Hoe pakken wij recertification binnen HelloID aan?

Het planmatig uitvoeren van recertifications doen we aan de hand van zogeheten campagnes. Per campagne kun je een bepaalde set gebruikers of self-service producten selecteren waarvoor je een hercertificatie wilt laten uitvoeren. Daarvoor beschikt HelloID over meerdere types recertification campagnes:

Systeemcampagnes controleren met een vastgesteld bereik de configuratie op producten die oneigenlijk in gebruik zijn volgens de huidige productconfiguratie- en beleidsregels. Medewerkers hebben bijvoorbeeld onnodig meerdere versies van hetzelfde product in bezit. Of mensen zijn inmiddels verhuisd naar een andere een andere afdeling of krijgen een andere functie waardoor ze niet meer lid zijn van de benodigde AD/ entraId groep. Ook kan het zijn dat aan een gebruiker meerdere producten zijn verstrekt waarvan we inmiddels hebben besloten dat die conflicterend zijn.
Aangepaste campagnes kun je zelf samenstellen aan de hand van een of meerdere filters. Je kunt bijvoorbeeld specifieke gebruikersgroepen selecteren aan de hand van afdelingen of rollen. Of specifieke self-service producten selecteren of alle producten met een bepaalde risico-classificatie of prijs-niveau.

Een security-officer kan bijvoorbeeld een campagne aanmaken voor gebruikers die toegang hebben tot producten die je hebt gelabeld als ‘hoog risico’. Nadat je de campagne hebt aangemaakt, kun je die door HelloID laten uitvoeren. Dat noemen we een iteratie en in de ‘campaign insights’ vind je nu een overzicht van alle gebruikers die zulke ‘high-risk applicaties’ in bezit hebben. Aan de hand daarvan kan deze security-officer beoordelen of al die licenties nog echt nodig zijn en welke licenties eventueel moeten worden ingetrokken. En op een vergelijkbare manier kan een afdelingsmanager een beeld krijgen van zijn licentiekosten, kan de HR-manager bepalen wie er allemaal toegang hebben tot de privacy-gevoelige HR-gegevens en kan de IT-manager specifiek inzoomen op de gebruikers van dure licenties.

We kunnen dus via verschillende doorkijkjes nagaan of onze producten niet nodeloos of zelfs ongewenst worden gebruikt. Tegelijkertijd loop je dan nog het risico dat we sommige gebruikersgroepen of producten over het hoofd zien. Daarom is er ook een aparte systeemcampagne ingebouwd met daarin alle resterende gebruikers en producten die niet in andere recertification campagnes zijn opgenomen.

Doel van recertification

We willen met onze recertification functionaliteit verschillende doelen helpen bereiken:

In control blijven: Met de uitgifte van individuele producten loop je het risico van ‘eens uitgegeven is altijd uitgegeven’; iemand heeft een licentie of toegangsrecht ontvangen en dat is vaak voor onbepaalde tijd. Met recertification beschik je nu over het gereedschap om toch regelmatig na te gaan of verstrekte producten nog steeds noodzakelijk zijn en voldoen aan de huidige richtlijnen. We blijven dus beter in control over de IT-middelen die we binnen de organisatie gebruiken.
Beheerlast beperken: Tegelijkertijd introduceer je met recertification nieuwe werkzaamheden. Immers, regulier zullen de individueel toegekende rechten opnieuw moeten worden beoordeeld door managers en producteigenaren. Zij moeten bepalen of een gebruiker nog steeds een bepaald product nodig heeft. Om die beheerlast te beperken voorzien we onze recertification functionaliteit van tools om dat werk waar mogelijk bulksgewijs te laten uitvoeren. Inclusief handige notificaties voor de betrokken medewerkers om het werk zo eenvoudig mogelijk te houden.
Compliant blijven: Tenslotte verbeteren we hiermee ook onze compliance. Wet- en regelgeving, privacyrichtlijnen en informatiebeveiligingsnormen schrijven voor dat we weten welke producten we gebruiken voor het verwerken van onze data. En ook moeten we regelmatig controleren of die producten nog steeds passen binnen diezelfde kaders en normen. Gebruiken we bijvoorbeeld software die inmiddels niet meer compliant is, dan moeten we het gebruik daarvan snel in kaart brengen en beëindigen.

Waar we met onze recertification gereedschappen naar toewerken is dat we volledige grip hebben op alle software en toegangsrechten. We willen op ieder moment zeker weten dat iedere gebruiker exact de juiste software en rechten gebruikt voor zijn of haar werk; niet meer maar ook niet minder. Voor zo’n 80% van alle uitgegeven rechten borgen we dat aan de hand van onze automatische provisioning en onze business rules. Voor de resterende 20% individueel uitgereikte producten kunnen we dat nu ook borgen met behulp van onze recertification tools.

Meer weten over onze IAM recertification?

Zo kunnen we aan de hand van de recertification functionaliteit het account- en rechtenbeheer verder professionaliseren en voorkomen we de ongewenste uitgifte van licenties en toegangsrechten. Het is een belangrijk onderdeel van je HelloID governance functionaliteit. Wil je meer weten over het gebruik van de governance functionaliteit in het algemeen of specifiek hoe je de recertification functies gebruikt om je Service Automation module verder te verbeteren? Bekijk hier dan ons webinar of onze governance pagina.

Met de recertification functionaliteit zorg je dat je grip houdt op je uitgegeven toegangsrechten en zorgt ervoor dat je als organisatie compliant blijft met wet- en regelgeving.

Dat hangt af van het type certificering. Bij certificaties voor normen als de ISO 27001 is regelmatige recertification veelal verplicht om het certificaat te behouden. In de context van onze IAM governance is het een interne beoordelingsslag die weliswaar niet verplicht is maar wel helpt om je compliance met verschillende informatiebeveiligingsnormen te onderbouwen.

Nee, er zijn geen specifieke IAM certificaten waarvoor een leverancier zich kan certificeren. Wel zijn er relevante standaarden en normen die iets zeggen over de kwaliteit van je IAM product en dienstverlener. HelloID is als IAM provider onder andere ISO 27001 gecertificeerd en we beschikken we over een SOC 2 Type II auditverklaring.