Veiligheidsregio Midden- en West Brabant

Naar een BIO en NIS2 compliant rechtenbeheer binnen de Veiligheidsregio

De Veiligheidsregio Midden- en West-Brabant (VRMWB) is een krachtige en gerespecteerde hulpdienst die met eigen brandweer-, crisisteams en centralisten 24/7 klaarstaan om hulp te bieden bij incidenten, rampen en crises. Om de toegang tot de IT-systemen van de veiligheidsregio te beveiligen en compliant te zijn met de relevante wet- en regelgeving wil men het account- en toegangsbeheer automatiseren. Als eerste stap in dit project selecteerde en implementeerde men de HelloID Identity-as-a-Service oplossing van Tools4ever. Het is het startpunt voor een uitgebreider traject waarin ook NIET-technische aspecten van Identity & Access Management worden doorontwikkeld.

Bij de Veiligheidsregio zijn 1800 medewerkers in dienst, waarvan er 1300 werken als vrijwilligers bij de brandweer. Met 24 gemeenten, brandweer, GHOR en politie bundelt men de krachten in de regio om goed voorbereid te zijn op rampen en crises. Uiteraard is informatievoorziening daarbij cruciaal en dat geldt ook voor de informatiebeveiliging. Met een veelheid van functies, afdelingen en vestigingen vormt de Veiligheidsregio een complexe organisatie en is het enorm ingewikkeld om te beheren welke medewerkers en vrijwilligers toegang mogen krijgen tot welke systemen en gegevens. Jeff Evertse (solution architect bij de Veiligheidsregio) vertelt: “Tot nu toe was dit bovendien volledig handmatig georganiseerd. Als we een nieuwe collega verwelkomden hadden we hiervoor handmatige processen. HR registreerde de nieuwe medewerker en vervolgens werd met een mailtje het verdere proces gestart. Een gebruiker moet uiteraard binnen de Active Directory worden opgenomen, binnen TOPdesk moeten allerlei handelingen worden gestart voor de uitgifte van bijvoorbeeld kleding en apparaten, en in het Paxton systeem moet een toegangspasje worden aangemaakt. Op zichzelf klopten onze processen wel maar fouten zijn zo snel gemaakt. En bij functiewijzigingen bleven bestaande rechten vaak onnodig actief terwijl bij iemands vertrek de accounts niet altijd werden verwijderd. We waren simpelweg niet compliant met richtlijnen als de BIO, de AVG en NIS2.”

Ruud Danen (projectadviseur bij de Veiligheidsregio) vervolgt: “Gebrek aan efficiëntie was dus nog ons minste probleem. Het echte pijnpunt lag in de manco’s rondom de informatiebeveiliging en de non-compliance. We moeten als Veiligheidsregio op ieder moment kunnen aantonen welke personen welke rechten hebben, wanneer die zijn uitgegeven en op basis van welke beleidsafspraken. Als je dat echt goed wilt organiseren moet je in een IAM project drie P’s goed organiseren: People, Processes en Products. Na een inventarisatie wisten we dat er nog heel veel uitzoekwerk was rondom de organisatie en de processen. Daarom is er bewust gekozen voor een tweetraps aanpak. Eerst is een keuze gemaakt voor een product en is een eerste IAM-implementatie uitgerold. Hiermee hebben we onze eerste prioriteit gerealiseerd: ervoor zorgen dat personen zonder actief contract geen toegang meer hebben tot informatiesystemen en gebouwen van de Veiligheidsregio. Daarnaast hebben we direct onze kennis van HelloID kunnen opbouwen. Vervolgens kunnen we in een uitgebreider vervolgtraject de toegang tot systemen verfijnen en de organisatie van logische toegangsbeveiliging inbedden in de processen en verantwoordelijkheden.” Jeff vervolgt: “Op basis van onze eisen kwam HelloID als de meest geschikte oplossing naar voren. We hebben HelloID gekoppeld aan ons HR-systeem en aan de hand van de beschikbare HR-gegevens voorzien we nu iedere gebruiker automatisch van een Active Directory account, triggeren we de benodigde acties binnen TOPdesk en ontvangt iedereen een pasje met de juiste toegangsrechten.”

Ook fysiek toegangsbeheer met HelloID

“Dat fysieke toegangsbeheer is een interessante feature voor de Veiligheidsregio. Uiteraard werken de medewerkers vanuit verschillende locaties, variërend van kantoorlocaties tot brandweerkazernes. Iedere medewerker krijgt een eigen pasje met daarop een geregistreerd profiel dat bepaalt tot welke locaties iemand wel of geen toegang heeft. En ook die toegang beheren we tegenwoordig via HelloID,” vertelt Jeff: “We gebruikten hiervoor al een beheersysteem, Paxton. Dat online toegangscontrole systeem is geschikt voor duizenden gebruikers en honderden deuren in verschillende locaties. Als onderdeel van de handmatige verstrekking van accounts en toegangsrechten kregen mensen ook een fysiek pasje (een zogeheten druppel) dat met Paxton werd gekoppeld aan een specifiek profiel met toegangsrechten. Tools4ever heeft op basis van de Paxton API een HelloID koppeling ontwikkeld en daarmee hebben we de toekenning van toegangsprofielen opgenomen binnen HelloID. Dat betekent dat nu iedereen aan de hand van iemands functie, afdeling en contractgegevens kan worden gekoppeld aan het juiste Paxton profiel. Zo houden we het digitale toegangsbeheer en het fysieke toegangsbeheer synchroon.”

Resultaten en vervolgstappen

Ruud vertelt meer over de vervolgstappen: “Samen met Tools4ever hebben we nu één van de drie P’s in ons project gerealiseerd, de product uitrol. Iedere medewerker binnen de Veiligheidsregio wordt nu automatisch voorzien van accounts op basis van iemands HR gegevens. HelloID heeft daarbij aangetoond dat het platform krachtige functionaliteit biedt, dat het concept met business rules ons de flexibiliteit geeft onze IAM structuur gaandeweg vorm te geven en dat het beheer ervan zodanig gebruiksvriendelijk is dat ook onze eigen functioneel beheerders met die business rules aan de slag kunnen.

Dit is erg belangrijk want het grote leerpunt was dat er veel tijd nodig is om de andere P’s – People & Processes – goed in te vullen. Met de HelloID Provisioning module automatiseer je de uitgifte en het beheer van je accounts en de bijbehorende rechten. Om dat te kunnen doen moet er zo veel mogelijk standaard aan de hand van beleidsregels en een autorisatiematrix zijn vastgelegd welke medewerker om welke reden welke rechten moeten krijgen. Ook beveiligingsnormen als de BIO vragen om deze transparantie en standaardisatie. Toen we onze complexe organisatie en processen analyseerden bleek dat er in de praktijk nog  veel uitzonderingen en onduidelijkheden zijn die we eerst moeten verduidelijken voordat we ze in business rules kunnen opnemen.

Met die vervolgslag zijn we nu bezig en zo kunnen we onze IAM implementatie gaandeweg steeds verder verfijnen. Welke rechten moet je verstrekken als een medewerker meerdere functies, contracten en werkplekken heeft? Of en hoe moeten we iemands deskundigheid binnen de IAM-oplossing gebruiken nu juist die deskundigheid vaak bepaalt wat iemand binnen de Veiligheidsregio wel of niet mag doen? Hoe gaan we onze governance organiseren en welke rapportages hebben we daarvoor nodig? En moeten we naast de standaard uitgifte van rechten onze geplande helpdesk en Service Automation inzetten om ook de verstrekking van maatwerk rechten te ondersteunen en te documenteren? Het zijn maar een paar voorbeelden van vragen die we de komende tijd gaan proberen te beantwoorden. Met HelloID als een uitstekend uitgangspunt.”