Efficiënt historische vervuiling schonen bij een RBAC-traject

Bij het starten van een RBAC-traject kom je al snel historische vervuiling in het rechtendomein tegen, in de vorm van oude domeinen, bestanden en groepen. Het lijkt logisch om dat eerst te schonen voordat je met RBAC begint, zodat je met een schone lei kunt beginnen. Maar onderdruk die neiging juist, want het proces en de tooling van RBAC maken het aanpakken van vervuiling veel gemakkelijker en overzichtelijker.

In de loop van de tijd bouwt een organisatie een hele geschiedenis op wat je terugziet in het rechtendomein. Doordat het vaak onduidelijk is wie de eigenaar is van een folder, mailgroep of schijf, blijft die geschiedenis groeien en wordt het vervuiling. Denk aan nieuwe afdelingsnamen, (Personeelszaken wordt HR), het samenvoegen van afdelingen, overnames, reorganisaties en tijdelijke projectgroepen en -rollen. Bij een reorganisatie bijvoorbeeld is er vaak een overgangsperiode waarin oude data beschikbaar moet blijven en nieuwe data geleidelijk aan de overhand gaat voeren. De organisatie verwacht van de afdeling ICT dat alles werkt, maar geeft achteraf niet aan wat er weg kan. En zo kan het dus zijn dat sommige bedrijven die de eerste vorm van Active Directory gebruikten, een historie hebben opgebouwd die teruggaat tot de jaren 90.

Het risico zit in de informatiebeveiliging: door oude rechten, afkortingen en naamgevingen, is er geen helder beeld welke medewerker waar toegang toe heeft. Je wilt niet dat een willekeurige medewerker toegang heeft tot gevoelige gegevens, maar je weet niet of dat desondanks het geval is. Toch is dit geen commerciële overweging voor organisaties. Het intern bouwen van een business case om de vervuiling te schonen, is erg lastig. De schade is niet altijd gemakkelijk te berekenen, de kans op schade lijkt klein en de kosten van ‘preventief’ de zaak goed in orde krijgen zijn doorgaans niet gering.

RBAC en vervuiling

Wanneer je als bedrijf kiest om een RBAC-model te implementeren voor rechtentoegang, komt de historische vervuiling vanzelf in beeld. Met RBAC wil je namelijk schoon schip maken, waardoor je goed zicht krijgt op risico’s en controle kunt uitoefenen. Tijdens een RBAC-traject verzamel je allerlei informatie over rechten, titels, locaties, rollen en taken. Die informatie kun je vervolgens ook gaan gebruiken om permissies en historie helder te krijgen en daar vervolgens vragen over te gaan stellen. Met RBAC haal je de middelen in huis om die vervuiling met grote slagen aan te pakken. Een drietal concrete voorbeelden:

  1. Startdatum: door de startdatum van medewerkers in je dataset op te nemen, kun je bepaalde verbanden gaan leggen. Waarom zitten bijvoorbeeld medewerkers van voor 2010 in een bepaalde mailgroep, maar medewerkers die daarna in dienst zijn gekomen niet meer?
  2. Persoonlijk toegekend: permissies die aan een specifiek persoon zijn toegekend, zou je in afdelingsverband al snel kunnen afschrijven als persoonlijk. Zou je handmatig zo alle afdelingen afgaan, dan kun je pas bij de vierde afdeling erachter komen dat deze specifieke permissie veel vaker voorkomt. Met RBAC-tooling zie je dat patroon veel sneller en kun je daar concreet naar handelen.
  3. Naamgeving: achter de naamsverandering van een afdeling gaat vaak ook een andere takenpakket schuil. Zoals baliemedewerkers die als front office medewerkers ook online worden ingezet bijvoorbeeld. Vervolgens kun je verifiëren of bepaalde toegang tot oude bestanden of applicaties nog wel actueel is.

Door het verbeteren van je rollenmodel komen onzuiverheden aan het licht. De waarom-vraag, waarom heeft iemand hier toegang toe, wordt gevolgd door de wie-vraag: wie is er verantwoordelijk voor deze informatie, mailgroep of applicatie? Juist het benoemen van de eigenaar helpt enorm bij het tegengaan van vervuiling.

Vervuiling als bijvangst

Door het karakter van vervuiling is het raadzaam om bij de klant te verifiëren of het oplossen van vervuiling een concrete doelstelling is. Als los traject is het namelijk moeilijk financieel te verantwoorden. Bij een RBAC-traject is het echter mooie bijvangst. Doordat je zaken structureert, informatie verzamelt en krachtige hulpmiddelen ter beschikking krijgt, kun je vervuiling efficiënt verwerken tijdens een RBAC-traject.

Ook bij een klant die graag zijn vervuiling wilt schonen, is het raadzaam om dit tijdens een RBAC-traject te doen. Doe je het vooraf, dan kost het veel meer inspanningen en zal het ook meer verstoring voor gebruikers op kunnen leveren. En door het gebrek aan goede tooling, kan het zijn dat je achteraf de wijzigingen niet meer helder in kaart kunt brengen. Doe het dus tijdens, want vervuiling is géén barrière om RBAC te doen.