USECASE
Versimpelde compliance en auditing
Account- en toegangsbeheer processen die ‘by design’ aantoonbaar compliant zijn met de relevante informatiebeveiliging- en privacyrichtlijnen.
Hoe ben je aantoonbaar compliant in een complex, dynamisch IT landschap
In organisaties met soms honderden of duizenden gebruikers en tientallen applicaties en gegevensbronnen is het beheer van de individuele gebruikersaccounts en toegangsrechten een complex vraagstuk. Hoe kunnen we dat vraagstuk zo aanpakken dat we gegarandeerd en ook eenvoudig aantoonbaar compliant zijn met geldende informatiebeveiligingsrichtlijnen?
Identity-driven beveiliging, met zero-trust als uitgangspunt.
Met het geautomatiseerde en volledig rol gebaseerde account- en rechtenbeheer voldoet het HelloID platform aan het ‘least privilege’ concept. Dit principe vormt de kern van moderne informatiebeveiligingsrichtlijnen en tezamen met de volledig geautomatiseerde exception afhandeling en uitgebreide audit trail en rapportagemogelijkheden, is HelloID eenvoudig auditeerbaar en aantoonbaar compliant.
Automatisch en business gedreven accountbeheer
- De account lifecycle – instroom, doorstroom, uitstroom – is volledig geautomatiseerd en aangestuurd vanuit business systemen.
- Bij einde dienstverband worden accounts automatisch opgeruimd. Geen kans op datalekken door actiev, vergeten accounts.
- Toegangsrechten worden beheerd aan de hand van iemands rol. Toegang is op ‘need to know’ basis, ongewenste rechtenopstapeling is uitgesloten.
- Rechtenaanpassingen als gevolg van organisatorische veranderingen, worden eenvoudig verwerkt door business rules aan te passen.
Geautomatiseerd exception management
- Geautomatiseerde aanvraagproces voor extra en/of tijdelijke toegangsrechten.
- Configureerbare goedkeuringsprocessen zodat voor ieder type rechtenaanvraag de rolscheiding is geborgd.
- Instelbare looptijd voor serviceverzoeken om ongewenst rechtenstapeling te voorkomen.
Monitoring
- Toegangspogingen tot systemen en data worden centraal gelogd en kunnen snel geanalyseerd ten behoeve van rapportages en audits.
- Rapportages van alle verstrekte toegangsrechten, op te splitsen naar gebruikers(groepen), afdelingen, rollen etc.
- Overzicht van toegepaste Business Rules en wijzigingen
- Rapportages van rechtenaanvragen, inclusief aanvragers en beoordelaars
Functionaliteiten
Hoe we een compliant en auditeerbare Identity Access Management realiseren
7 stappen die elk met low-code of no-code geconfigureerd kunnen worden
- Bronsysteem: Integreren van HelloID met bronsystemen zoals HR, SIS en/of roostersystemen. Wijzigingen in de brongegevens komen hiermee automatisch beschikbaar in HelloID.
- Personen: Omzetten van gegevens over personen/rollen uit bronsystemen naar een gemeenschappelijke weergave binnen HelloID met behulp van een ‘identity vault’.
- Business Rules: Regels instellen die bepalen aan welke rollen, welke type accounts en toegangsrechten worden verstrekt, en onder welke condities.
- Doelsystemen: Koppelen van HelloID aan on-prem en/of cloud applicaties. Dit kan stapsgewijs per applicatie worden uitgevoerd.
- Serviceprocessen: processen automatiseren, inclusief online goedkeuringsflows en activatie in doelsystemen. Dit kan per proces als aparte stap worden uitgevoerd.
- Toegangsmanagement: In samenhang met – bijvoorbeeld – Active Directory toegangsprocedures instellen, zoals Single Sign-On (SSO) en Multi-Factor Authenticatie (MFA).
- Rapportages en auditing: Configureren van standaard en klantspecifieke rapportages en monitoring functies ten behoeve van analyses en audits.
Veelgestelde vragen
De ISO 27001 norm is een veel toegepaste norm voor informatiebeveiliging. Deze norm richt zich op het opzetten van een risico gestuurd informatiebeveiligingsplan dat we met een zogenaamde Plan, Do, Check en Act cyclus (PDCA) up-to-date houden. Daarnaast zijn er sectorspecifieke normen als de BIO (Baseline Informatiebeveiliging Overheid) en de NEN 7510 (Informatiebeveiliging in de zorg). BIO en NEN 7510 gebruiken ISO 27001 als uitgangspunt maar verfijnen deze met specifieke richtlijnen en aanbevelingen voor de betreffende sectoren.
HelloID maakt gebruik van een geautomatiseerd en volledig rol gebaseerd account- en rechtenbeheer dat voldoet aan het ‘least privilege’ concept, een fundamenteel principe van moderne informatiebeveiligingsrichtlijnen. Bovendien zijn er uitgebreide audit trails en rapportagemogelijkheden die de compliance van uw organisatie eenvoudig auditeerbaar en aantoonbaar maken.
Feitelijk niet maar de AVG raakt wel direct je informatiebeveiliging. De AVG (Algemene verordening gegevensbescherming) is de privacywet en heeft een bredere scope dan puur informatiebeveiliging. De AVG legt voor organisaties en particulieren vast welke persoonsgegevens van burgers men mag verzamelen en wat je met deze gegevens mag doen. Daarbij zijn er ook strikte regels over hoe je zulke persoonsgegevens moet beveiligen om ongewenste verspreiding (een datalek) te voorkomen. Informatiebeveiligingsrichtlijnen als ISO 27001, de BIO en NEN 7510 helpen je te voldoen aan de AVG eisen.
Wanneer een medewerker de organisatie verlaat, wordt het gebruikersaccount automatisch opgeruimd door HelloID, waardoor de kans op datalekken door actieve, vergeten accounts wordt geëlimineerd. Dit proces wordt automatisch aangestuurd vanuit business systemen zoals het HR-systeem.
HelloID heeft een geautomatiseerd aanvraagproces voor extra en/of tijdelijke toegangsrechten. Dit proces is configureerbaar en maakt gebruik van goedkeuringsprocessen om rolscheiding te waarborgen. Bovendien kan een instelbare looptijd voor serviceverzoeken worden ingevoerd om ongewenste rechtenstapeling te voorkomen.