Access Governance is een aanpak waarbij op een geautomatiseerde wijze autorisaties van een heterogeen applicatielandschap worden geanalyseerd met als doel de risico’s van ongeautoriseerde toegang te verminderen. Access Governance wordt ingezet als internecontrolemaatregel, maar kan ook onderdeel uitmaken van de interne of externe audit, waarbij de externe accountant steunt op de uitkomst van het Access Governance-proces en hiermee waarborgen krijgt omtrent de juistheid van de toegang tot de financiële systemen en onderliggende infrastructuur. Naast voornoemde aspecten wordt in dit artikel uitgelegd hoe Access Governance as a Service kan worden ingezet, wat inhoudt dat een organisatie de periodieke autorisatieanalyse uitbesteedt aan een externe partij. Dit model is ook toepasbaar in relatie tot de betrokkenheid van IT-audit bij de jaarrekeningcontrole. Daarnaast wordt de relatie tussen Access Governance en Identity & Access Management (IAM) gegeven.
Inleiding
Het afgelopen decennium is er bij veel organisaties aandacht geweest voor logisch toegangsbeheer. Deze organisaties zijn vaak gestart met een verbeterproject. Ondanks de toenemende aandacht voor toegangsbeheer worstelen nog steeds veel organisaties met dit onderwerp. Toegangsbeheer is veelal een aandachtspunt in de management letter (brief met bevindingen en aanbevelingen naar aanleiding van de jaarrekeningcontrole) van de externe accountant. Hierbij kan men zich afvragen waarom toegangsbeheer een terugkomend aandachtspunt is. Is het onderwerp niet relevant genoeg omdat er bijvoorbeeld voldoende compenserende maatregelen zijn ingericht en additioneel getoetst zijn waardoor bevindingen niet tot echte issues leiden? Of wordt de oplossing van het probleem als te complex ervaren? Beide spelen in ieder geval een rol. Het steunen op mogelijke compenserende maatregelen is echter risicovol. Een organisatie weet vooraf niet of deze maatregelen achteraf voldoende zijn. Daarnaast loopt de organisatie nog steeds risico’s dat (oud-)medewerkers (intern/extern) misbruik maken van een teveel aan autorisaties.
De perceptie dat het structureel verbeteren van logisch toegangsbeheer complex is en gepaard gaat met dure IAM-projecten en ondersteunende software is te begrijpen. IAM-projecten richtten zich vaak voor een groot gedeelte op automatisering van toegangsprocessen, waarbij de kwaliteit van autorisaties niet direct de benodigde prioriteit kreeg en het echte probleem dus niet voldoende werd opgelost. Wanneer er werd gekozen voor de implementatie van rolgebaseerde toegang (Role Based Access Control – RBAC), betekende dit vaak langdurige trajecten om tot een rollenmodel te komen dat passend was voor de gehele organisatie en in veel gevallen werden de doelstellingen niet gerealiseerd. Nu beoogt dit artikel niet om u als lezer volledig af te laten stappen van IAM en RBAC. IAM gecombineerd met RBAC is namelijk nog steeds een adequate methode om logisch toegangsbeheer verregaand te professionaliseren en te automatiseren. De doelstelling van het artikel is wel om u kennis te laten maken met een meer detectieve aanpak (Access Governance). Dit is een aanpak waarbij autorisaties periodiek worden beoordeeld tegen vastgestelde regels, zoals functiescheiding en autorisatiematrices. Vervolgens kan een organisatie op basis van de ambities/noodzaak besluiten om door te groeien naar een preventieve aanpak op basis van IAM en RBAC. De afwegingen tussen deze scenario’s worden verderop in het artikel toegelicht. Een toelichting op IAM is opgenomen in onderstaand kader.
IAM uitgelegd
IAM is een samenspel van beleid, processen en systemen om efficiënt en effectief het proces te beheersen waarin de toegang met betrekking tot applicaties wordt beheerd. In figuur 1 zijn de verschillende IAM-componenten schematisch weergegeven.
Figuur 1. Het IAM-referentiemodel.
Het referentiemodel is opgebouwd uit de volgende IAM-processen:
- Gebruikers- en autorisatiebeheer. Dit domein richt zich op de activiteiten gerelateerd aan het beheren van identiteiten (en daaraan gerelateerd de gebruikersaccounts) binnen de gebruikersadministratie. Het heeft betrekking op de gehele levenscyclus (initiële vastlegging, wijziging en verwijdering) van eindgebruikeraccounts. Daarnaast richt het gebruikersbeheer zich op het koppelen van organisatierollen (en specifieke autorisaties) aan geregistreerde identiteiten. Enerzijds geschiedt deze koppeling door het (automatisch) koppelen van afleidbare rollen op basis van attributen binnen de bronregistratie (bijvoorbeeld SAP HCM), anderzijds door het inrichten van een workflow/gebruikersinterface voor toekenning van rollen die niet afleidbaar zijn vanuit de bronregistratie (zoals taakgebaseerde of tijdelijke rollen).
- Rollenbeheer. Dit domein richt zich op de activiteiten ten aanzien van het definiëren en beheren van organisatierollen, onder andere afgeleid van de administratie van de organisatie en via data-analyses. Via deze organisatierollen verkrijgt men toegang tot en binnen de applicaties. Omdat niet alle autorisaties via rollen zullen worden toegekend, worden binnen het rollenbeheer ook ‘losse’ autorisaties opgenomen in het autorisatiemodel. Dit betreft bijvoorbeeld applicatierollen.
- Provisioning. Dit domein betreft het aanmaken dan wel verwijderen van accounts, en het toekennen dan wel afnemen van autorisaties voor deze accounts in de systemen. Provisioning kan zowel volledig geautomatiseerd als handmatig (met tussenkomst van een functioneel beheerder) plaatsvinden.
- Monitoring en auditing. Dit domein richt zich op het controleren van de naleving van het van toepassing zijnde beleid en het vergelijken van de geïmplementeerde toegangsrechten (‘ist’) met de gewenste en/of geadministreerde toegangsrechten in het rollenmodel (‘soll’).
Access Governance uitgelegd
Access Governance is een efficiënt proces om de toegang met betrekking tot applicaties/systemen op een frequente basis te reviewen. Bij dit proces wordt gebruikgemaakt van analysesoftware. Verderop in dit artikel wordt de relatie tussen IAM en Access Governance verder uitgewerkt. Samenvattend kan worden gesteld dat Access Governance een detectief proces is om autorisaties te valideren en op te schonen. Hiermee is het een opmaat naar de implementatie van preventieve controles met IAM, zoals de implementatie van Role Based Access Control.
In figuur 2 is het Access Governance-proces schematisch weergegeven.
Figuur 2. Autorisatieverificatieproces.
Het autorisatieverificatieproces beslaat grofweg drie fasen.
Fase 1. Data verzamelen en definiëren testregels
In de eerste fase wordt allereerst bepaald welke systemen/applicaties moeten worden bekeken. Vervolgens worden per applicatie de autorisatiedata geëxporteerd naar bijvoorbeeld een ‘comma separated file’, een zogenaamd plat tekstbestand. De export van de autorisatiedata kan uit verschillende bestanden bestaan, aangezien diverse informatie benodigd is, onder andere de koppeling van de autorisaties aan de accounts; het totaaloverzicht van beschikbare autorisaties.
De tweede stap is het verkrijgen van de persoonsgegevens uit de HR-administratie. Eén van de basale controles is namelijk het nagaan of ieder account te herleiden is tot een natuurlijke persoon uit die HR-administratie. Om te voorkomen dat te veel accounts niet gekoppeld kunnen worden, is het noodzakelijk dat de externe medewerkers ook in een bronregistratie zijn opgenomen. Dit mag een tweede, aparte registratie zijn. Uit deze controle komen altijd accounts naar voren die niet te koppelen zijn aan een persoon. Dit betreft namelijk de systeemaccounts die vaak benodigd zijn voor bepaalde functies in een applicatie. Overigens zouden deze systeemaccounts wel te verklaren moeten zijn en zou aan ieder systeemaccount een eigenaar moeten zijn toegekend die het account beheert, maar in de praktijk blijkt dit echter niet altijd het geval te zijn.
Om de autorisatieanalyse goed te kunnen verrichten, moeten zogenaamde bedrijfsregels worden opgesteld. Deze kunnen onderscheiden worden in generieke bedrijfsregels en applicatiespecifieke bedrijfsregels. De generieke regels zijn op iedere applicatie van toepassing. Hierbij kan worden gedacht aan:
- Ieder persoonlijk account moet te herleiden zijn tot een natuurlijk persoon uit een bronregistratie, zodat activiteiten in de applicaties zijn te herleiden tot personen.
- Er mogen geen test-accounts in de productieomgeving actief zijn, zodat test-accounts niet misbruikt kunnen worden voor daadwerkelijke transacties.
- Er mag geen account met alle autorisaties zijn om te voorkomen dat hiermee functiescheiding wordt doorbroken.
De applicatiespecifieke regels worden opgesteld per applicatie. Deze regels zijn gebaseerd op eventuele reeds aanwezige autorisatiematrices of specifieke functiescheidingsregels. De eigenaar van de applicatie (applicatie- c.q. proceseigenaar) is verantwoordelijk voor de toegekende autorisaties in de applicatie. De applicatiespecifieke regels worden daarom afgestemd met de proceseigenaar. Bij dit afstemmingsproces is vaak ook functioneel beheer betrokken, maar uiteindelijk worden de regels goedgekeurd door de proceseigenaar. De applicatiespecifieke regels kunnen ook testen of functiescheiding over applicaties heen wordt nageleefd. Daarnaast kunnen ook specifieke regels voor IT-componenten (bijvoorbeeld de database en het besturingssysteem) worden gedefinieerd, zodat autorisaties uit het gehele applicatiedomein worden getest. De applicatiespecifieke regels richten zich voornamelijk op de non-SAP-omgeving, aangezien voor SAP al specifieke analysesoftware met voorgedefinieerde regels aanwezig is.
Fase 2. Uitvoeren analyse
De in de vorige fase gedefinieerde bedrijfsregels worden ingevoerd in de analysesoftware. Gecombineerd met de autorisatie- en HR-data die in de voorgaande fase zijn vergaard, wordt nu de geautomatiseerde analyse uitgevoerd. Op basis van de regels worden overzichten gegenereerd van zaken die afwijken van de ingevoerde bedrijfsregels.
Voordat de overzichten met afwijkingen in de rapportages worden verwerkt, worden de ruwe overzichten afgestemd met een functioneel beheerder. Op basis van deze afstemming worden de resultaten verder verfijnd. Hiermee wordt zoveel mogelijk voorkomen dat in de rapportage afwijkingen zijn opgenomen die ten onrechte als afwijking zijn geclassificeerd, bijvoorbeeld doordat een regel niet correct is gedefinieerd.
Fase 3. Rapportage en follow-up
In deze fase worden afwijkingsoverzichten verwerkt tot rapportages. In deze rapportages kan ook een vergelijking worden gemaakt met het aantal afwijkingen per regel ten opzichte van de voorgaande controle. Op basis van een dergelijk overzicht wordt eenvoudig inzicht verkregen in de voortgang van de follow-up, namelijk of de eerder geconstateerde afwijkingen zijn opgelost.
Figuur 3. Voorbeeld van afwijkingsdashboard.
De terugkoppeling van de resultaten vindt plaats met de proceseigenaar. Deze persoon bepaalt of een afwijkende autorisatie verwijderd moet worden of dat een specifieke situatie als uitzondering wordt geaccepteerd. Dit dient dan uiteraard wel te worden vastgelegd. In de rapportage kan ook een risicoclassificatie worden opgenomen, zodat direct duidelijk is of en zo ja, hoeveel afwijkingen als hoog risico worden geclassificeerd. Voor deze afwijkingen kan worden besloten om na te gaan of het teveel aan autorisaties daadwerkelijk is misbruikt en of er compenserende maatregelen van toepassing zijn die het risico van ongeautoriseerde transacties verminderen. Dit is met name van belang indien in het kader van de financiële audit wordt gesteund op de periodieke autorisatieverificatie (het Access Governance-proces).
Op grond van de aard van de afwijkingen kunnen ook suggesties worden gedaan om het autorisatiemanagementproces te verbeteren om afwijkingen in de toekomst te voorkomen.
De belangrijkste kenmerken van Access Governance:
- Analyse van een heterogeen applicatielandschap
- Off-line analyse → geen online connectie met te analyseren applicatie nodig
- Aanpak met focus, organisatie kan zich alleen richten op kritieke applicaties en gegevens
- Schaalbaar van 1 – n applicaties
- Praktische aanpak met direct resultaat
- Aanpak is leverancieronafhankelijk en diverse softwarepakketten zijn beschikbaar voor analyse
Mogelijke verbeteringen bij vervolgiteraties
Access Governance heeft de meeste toegevoegde waarde als het verificatieproces periodiek wordt herhaald, bijvoorbeeld ieder kwartaal. In dat geval worden afwijkingen relatief snel opgemerkt en wordt het risico op misbruik kleiner. De eerste iteratie is normaliter de meest intensieve iteratie omdat dan het gehele proces moet worden opgezet en de bedrijfsregels moeten worden geïnventariseerd. De vervolgiteraties bieden daarom vaak ruimte voor verbetering van het verificatieproces door:
- applicatiespecifieke regels met meer diepgang te definiëren;
- een risicoclassificatie aan de bedrijfsregels toe te kennen.
Voordelen voor de (financial) auditfunctie
Traditioneel is het testen van de effectiviteit van logische toegangsbeheermaatregelen arbeidsintensief en vergt dit veel handmatig werk. Hierdoor is het testen van de toegangsbeheermaatregelen vaak meer een ad-hocproces waar de (financial) auditor slechts beperkt op kan steunen. In tabel 1 zijn de belangrijkste voordelen weergegeven.
Tabel 1. De voordelen van Access Governance.
Naast de bovengenoemde voordelen kan Access Governance ook als auditinstrument worden ingezet bij de verkoop of opsplitsing van bedrijfsonderdelen. Access Governance maakt namelijk inzichtelijk wie waartoe toegang heeft en op basis van de rapportages en autorisatieoverzichten kan worden bepaald welke rechten moeten worden ingetrokken van personeel dat na de splitsing of verkoop niet meer werkzaam is bij de organisatie.
Inrichten van Access Governance
Om te voorkomen dat autorisaties na één controleslag worden geschoond en er daarna weer vervuiling ontstaat die niet tijdig wordt opgemerkt, is het van belang om een periodiek controleproces in te richten. Op deze manier implementeert de organisatie een detectieve controlemaatregel op een structurele wijze.
Een organisatie kan ervoor kiezen om het controleproces intern te implementeren. In de praktijk blijkt dat de verantwoordelijkheid voor het faciliteren van dit process vaak bij een afdeling Risk Management of Security Management terechtkomt. De proceseigenaren zelf zijn verantwoordelijk voor de uitvoering van het proces en het laten doorvoeren van de benodigde autorisatiewijzigingen. Risk Management of Security Management heeft dan een bewakende rol om ervoor te zorgen dat het controleproces juist en tijdig wordt doorgevoerd en dat de proceseigenaar zich met name bezighoudt met de vaststelling van de bedrijfsregels en de follow-up van de rapportages (oplossen van de geconstateerde afwijkingen). De daadwerkelijke uitvoering kan afhankelijk van de capaciteit worden belegd bij de IT-organisatie of bij Risk dan wel Security Management. Voor het intern uitvoeren van het controleproces moet ook analysesoftware worden aangeschaft door de organisatie.
Een ontwikkeling die steeds meer in opkomst is, is het uitbesteden van de daadwerkelijke uitvoering van het controleproces: Access Governance as a Service. In dat geval blijft de organisatie wel verantwoordelijk voor de uitvoering van het controleproces en het feit of afwijkingen worden opgevolgd. De uitvoering van het gehele controleproces, inclusief het verkrijgen van data en het inventariseren van bedrijfsregels, wordt uitbesteed aan een externe partij. Groot voordeel van Access Governance as a Service is dat de organisatie zelf geen kennis hoeft op te bouwen in het controleproces en geen kennis hoeft te hebben van de analysesoftware. Tevens hoeft de organisatie niet zelf analysesoftware aan te schaffen en te beheren. Een derde punt is dat door de uitbesteding de organisatie er zeker van is dat het controleproces wordt uitgevoerd. Bij controleprocessen die intern worden uitgevoerd is het risico groter dat vanwege drukke werkzaamheden bepaalde controles niet of niet tijdig worden verricht.
Met name het aantal applicaties dat geanalyseerd dient te worden en hoe vaak, is bepalend voor de vraag of het verstandig is om het controleproces intern te beleggen of extern als Access Governance as a Service. Hoe meer analyses er moeten worden uitgevoerd, hoe hoger de investering voor uitbesteden wordt. Het is daarom raadzaam om bijvoorbeeld eerst een beperkt aantal applicaties te laten analyseren en op basis van de ervaringen de Access Governance-strategie te bepalen, waarin onder andere de volgende aspecten aan bod komen:
- scope van de analyse (welke applicaties/systemen);
- frequentie van de analyse;
- belegging van de taken en verantwoordelijkheden voor de verschillende onderdelen uit het proces;
- groeimodel richting preventieve maatregelen (IAM-implementatie).
Relatie Access Governance & Identity en Access Management
Zoals in het kader in het begin van dit artikel uitgelegd, is IAM een samenspel van beleid, processen en systemen om efficiënt en effectief het proces te beheersen waarin de toegang met betrekking tot applicaties wordt beheerd. Een brede IAM-implementatie behelst hierbij meerdere processen. Access Governance is voornamelijk een rapportageproces waarbij wordt beoogd op basis van afwijkingsrapportages de bestaande situatie van de geïmplementeerde autorisaties te wijzigen en in lijn te brengen met de geldende bedrijfsregels. Een groot voordeel van Access Governance ten opzichte van IAM is dat geen tijdrovende implementatie van een RBAC-model noodzakelijk is. Dit is met name voor organisaties waarbij de bedrijfsprocessen niet of in een beperkte mate zijn gestandaardiseerd een grote uitdaging.
In figuur 4 is Access Governance gepositioneerd ten opzichte van IAM.
Figuur 4. Access Governance gepositioneerd ten opzichte van Identity & Access Management.
Vanuit Access Governance kan de organisatie stapsgewijs doorgroeien richting een IAM-implementatie waarbij meer preventieve maatregelen worden geïmplementeerd en steeds meer wordt opgeschoven richting continuous auditing omdat een IAM-voorziening continu inzicht kan geven in de juistheid van de geïmplementeerde autorisaties. Afwegingen om te bepalen of de stap van Access Governance richting een brede IAM-voorziening voldoende toegevoegde waarde biedt, zijn:
- Is meer zekerheid nodig over de juistheid van de autorisaties, is de organisatie nog niet voldoende in control?
- Biedt Access Governance voldoende basis voor de externe accountant en/of toezichthouders? Afhankelijk van het profiel van de organisatie en de wijze van inrichting van het controleproces kan dit voldoende zijn.
- Is er behoefte aan automatisering van de processen om autorisaties sneller te laten verwerken?
- Is er voldoende ‘pijn’ in de organisatie om het aanvraagproces verregaand te gaan aanpassen met workflows/gebruikersinterface voor aanvraagproces en rolgebaseerde toegang?
Het is van belang zich te realiseren dat het niet altijd de ambitie hoeft te zijn om een brede IAM-voorziening te implementeren. Voor sommige organisaties biedt een goed functionerend Access Governance-proces voldoende invulling aan de uitdagingen rondom logisch toegangsbeheer. Daarnaast zijn er nog tussenvormen mogelijk tussen Access Governance en een brede IAM-implementatie. Men kan bijvoorbeeld de bedrijfsregels die binnen Access Governance worden gebruikt ook hanteren in het aanvraagproces. De aanvragen worden dan vooraf getoetst tegen de bedrijfsregels om vervuiling te voorkomen. Ook kan het controleproces bijvoorbeeld verregaand worden geautomatiseerd, waarbij managers via een workflow aangeven of een afwijking moet worden ingetrokken of dat het een geaccepteerde uitzondering betreft.
Conclusie
Het aantoonbaar verantwoording kunnen afleggen over de juistheid van autorisaties is van belang voor organisaties en is voor veel organisaties een uitdaging. Access Governance is een aanpak waarbij autorisaties periodiek op een pragmatische wijze worden geanalyseerd. Op basis van de resultaten kan het teveel aan autorisaties worden geschoond. Met name de pragmatiek van de aanpak komt tegemoet aan de complexiteit van een brede IAM-implementatie waarbij de baten ten aanzien van de juistheid van de toegekende autorisaties op korte termijn uitblijven. Access Governance past goed binnen de financial audit omdat de aanpak de mogelijkheid biedt om specifieke applicaties diepgaand te analyseren op de juistheid van de autorisaties.
Ten slotte biedt een goed functionerend Access Governance-proces de basis om door te groeien richting een brede IAM-implementatie indien een organisatie hiertoe de ambitie heeft.