Waarom role mining en de implementatie van een IAM oplossing onlosmakelijk verbonden zijn

Om de toegang tot applicaties en systemen beter, efficiënter en veiliger te regelen, is toegangsbeheer op basis van rollen of attributen – of een mix – een must. Bij de praktische invulling van Role Based Access Control (RBAC) en Attribute Based Access Control (ABAC) speelt role mining een belangrijke rol. Stev Veninga, consultant bij IAM in control, legt in deze blog uit wat role mining is en wat je eraan hebt. Verder stelt hij dat betrokkenheid van de business en goede communicatie een must is.

Het is belangrijk dat organisaties van tevoren goed afspreken hoe zij de toegang beheren. Dat kan op naam, afdeling, functie of gebruikersnaam, maar bijvoorbeeld ook op basis van een werkrooster. Het handmatig verlenen van toegang is tijdrovend en vaak onpraktisch. Vandaar dat dit proces steeds vaker wordt geautomatiseerd met Identity & Access Management-oplossingen, zoals SmartAIM.

Maar daarmee ben je er vaak nog niet, als je je autorisatiehuishouding optimaal wilt beheren. Stev komt regelmatig bij organisaties over de vloer die al een IAM-oplossing hebben aangeschaft. Zijn werk begint met het analyseren van de autorisaties. Hiertoe wordt er een autorisatiemodel opgesteld, dat uiteraard voldoet aan strenge informatiebeveiligingseisen. In dit model worden onder meer de uitgangspunten (RBAC/ABAC of een mix) uitgewerkt, net als de verschillende soorten rollen en de afgesproken benamingen hiervoor opgenomen. Dit is het vertrekpunt voor role mining.

Top-down vs bottom-up

Role mining is een methode om de bestaande autorisaties en attributen van medewerkers te analyseren en te groeperen in rollen behorend bij de functies en taken die medewerkers vervullen. Op basis van de rollen en attributen wordt toegang verleend. Hiermee beheer je je autorisatiehuishouding. Er zijn twee soorten role-mining: top-down en bottum-up.

Bij top-down role mining wordt van tevoren achter een bureau bedacht welke autorisaties of attributen automatisch kunnen worden toegekend, zodra een medewerker ergens start. Standaard krijgen medewerkers bijvoorbeeld Microsoft 365, of krijgen zij toegang tot een aantal afdelingsmappen op basis van de afdelingscode. Het autorisatiemodel beschrijft via welke methode de organisatie rechten wil toekennen (RBAC, ABAC of een mix). Dit model kan vervolgens steeds verder worden uitgewerkt. Op die manier kunnen ook op detailniveau automatisch rechten worden uitgedeeld en weer ingenomen.

Bottom-up role mining vindt meer plaats op de werkvloer, met de business. Dit gebeurt volgens het RBAC-model. Autorisaties worden doorlopen om te bepalen in welke rollen ze moeten worden opgenomen en wie wel of geen toegang krijgt. Een rol is een verzameling autorisaties die bij elkaar hoort om een functie of taak uit te kunnen voeren. Bij bottom-up role mining worden op basis van de bestaande situatie (IST) patronen in autorisaties ontdekt. “Als wij zien dat bijvoorbeeld negen van de tien mensen uit een bepaalde groep autorisatie A hebben, dan kunnen wij de organisatie vragen of nummer tien dan ook geen toegang zou moeten krijgen. Bovendien kan de organisatie bepalen dat nieuwe medewerkers in deze groep de autorisatie standaard krijgen. Je kunt dat zien als een geboorterecht”, licht Veninga toe, die momenteel onder meer op een autorisatiebeheerproject zit bij NIFP. Hierbij is het ook belangrijk om vast te leggen wie aan rollen worden gekoppeld en wie de rollen mogen aanvragen.

Verschillende stappen

Bij role mining doorloop je verschillende stappen. Het begint bij het analyseren van de organisatie. Welke afdelingen zijn er en hoe groot en divers zijn die? Je bepaalt de scope, zodat je tijdens de role mining overzichtelijke, hapklare brokken overhoudt. Veninga: “Wij adviseren altijd te beginnen met de eenvoudige afdelingen qua diversiteit van functies. Afdelingen die al procesmatig en gestructureerd werken hebben ook een streepje voor. Je kunt ook kiezen voor de afdelingen die veel interne zichtbaarheid opleveren. Dat laatste brengt ons bij de volgende stap: draagvlak creëren.”

Vervolgens is het zaak om alle sleutelpersonen – in ieder geval de managers – te spreken om duidelijk te krijgen welke bedrijfsprocessen er spelen, wie wat doet, welke applicaties er worden gebruikt en tot slot welke softwarelicenties aandacht verdienen. Met deze analyse breng je alle autorisaties, processen en rollen in een bedrijf in kaart.

Voor role mining maken we gebruik van de analyse- en rapportage-tool Big Picture. “Met een soll-ist matrix maken we een visueel overzicht van wie toegang heeft tot welke autorisaties. Hierin worden de huidige functies, afdelingen en dus de autorisaties (applicaties, mappen, mailboxen, etc.) opgenomen. Op basis van die uitkomsten leggen we zaken aan leidinggevenden voor: ‘Waarom heeft Pietje Puk geen toegang tot applicatie X, terwijl zijn collega’s die hetzelfde werk doen dat wel hebben?’ of: ‘Heeft deze freelancer niet teveel rechten voor het werk dat hij of zij doet?’.”

Veninga doet op basis van de uitkomsten en de terugkoppeling hierop aanbevelingen tot aanpassingen in het toegangsbeheer. De soll-ist matrix is door allerlei visuele hulpmiddelen een krachtig hulpmiddel tijdens gesprekken met een manager. In deze stap komen er vaak afwijkingen in het rechtenbeheer, doordat meer verbanden en functionaliteiten worden ontdekt. “Bij grote veranderingen en na een iteratie van de matrix, gaan we opnieuw het gesprek aan met de betreffende managers. Het is belangrijk dat we zaken afstemmen.”

Maak mensen verantwoordelijk

Tot slot volgt na de afstemming de implementatie van het toegangsbeheer volgens RBAC, ABAC of een mix. Omdat bedrijven dynamisch zijn en processen en rollen vaak veranderen, luidt het advies een rolmanager aan te stellen die verantwoordelijk is voor het RBAC-model en de adoptie door de organisatie. Daarnaast dient de organisatie ook rolbeheerders aan te stellen. Zij onderhouden de bestaande rollen en creëren nieuwe. Een goede role mine-specialist is iemand die analytisch is, verbanden tussen autorisaties kan leggen, minutieus werkt, een vergadering strak kan leiden en communicatief vaardig is. “Je moet de organisatie meekrijgen en dat begint met betrokkenheid van het management. Als je die niet aan boord krijgt, kun je het schudden.”

Een mooie bijvangst van role mining is opschoning. Veel medewerkers beschikken over rechten die zij al lang niet meer nodig hebben of nooit gehad hadden mogen hebben. De opschoning kan wel oplopen tot 30% van het totaal aantal uitgegeven autorisaties. Veninga’s motto luidt dan ook: ‘bij twijfel opschonen’. “Tijd voor een grote schoonmaak, waardoor je niet alleen beveiligingsrisico’s minimaliseert, maar ook tijd en geld bespaart.”

IAM in control brengt middelgrote gemeente in control

Deel dit bericht: