Artikel

HR aan de basis van toegangscontrole

Geen personeelsnummer, geen fysieke toegang

De toegang tot fysieke locaties wordt beveiligd met een pas of een sleutel. De uitgifte en het beheer van toegangspassen of een sleutelkluis loopt bij vrijwel alle organisaties via de (applicatie)beheerder van het security management systeem of van de sleutelkluis. De applicatiebeheerder voegt handmatig nieuwe gebruikers aan het systeem toe of maakt wijzigingen voor bestaande gebruikers, bijvoorbeeld naar aanleiding van een afdelingswijziging. Is dit handmatige proces nog wel van deze tijd?

Bij het toekennen van fysieke toegang middels een security management systeem wordt vaak een kopie gemaakt van een collega die ongeveer dezelfde functie vervult. Dit wordt ook wel ‘voorbeeldgebruiker’ genoemd. De nieuwe medewerker krijgt toegang tot die fysieke locaties die ook voor zijn collega gelden. Maar dit is niet altijd correct en de medewerker kan zo misschien toegang krijgen tot locaties die hij/zij helemaal niet nodig heeft.
Daarnaast wordt er niet veel aandacht besteed aan het ontnemen van toegangsrechten, bijvoorbeeld bij het wijzigen van een afdeling. Het is immers van groter belang dat de medewerker zijn/haar werk kan doen op de fysieke locatie en in eerste instantie niet waar er mogelijk teveel toegang tot is. Vroeg of laat is er geen zicht meer op wie waar fysieke toegang toe heeft.

Wanneer organisaties te maken krijgen met wet- en regelgeving, neem bijvoorbeeld de NEN7510 en 7511 normering die voor zorginstellingen van kracht is, volstaat deze handmatige manier van werken niet meer. Organisaties moeten dan namelijk inzichtelijk hebben en kunnen voorleggen welke medewerkers waar fysieke (en ook logische) toegang tot hebben. En wat te denken van organisaties die te maken hebben met hoge risico zones, zoals vervaardigers van defensiemateriaal, rechtbanken of grondpersoneel die vliegtuigen bevoorraden. Hoe gaan organisaties met dit probleem om? Hoe standaardiseren zij de uitgifte en beheer van fysieke toegang?

User life-cycle
Het toekennen van toegang tot fysieke ruimtes is in feite een onderdeel van de user life-cycle van een medewerker. Onder de user life-cycle verstaan we de stappen die een medewerker (user) binnen een organisatie doorloopt. Van in dienst, doorstroom tot uit dienst. Iedere stap heeft consequenties voor de toegangsrechten die een gebruiker heeft in het netwerk (logische toegang), maar ook voor de fysieke toegang. Op het moment dat een medewerker in dienst treedt, dienen de juiste toegangsrechten worden aangemaakt. Gedurende het dienstverband van de medewerker moeten deze toegangsrechten accuraat blijven en uiteraard dienen alle verleende toegangsrechten ingetrokken te worden als de medewerker de organisatie verlaat. Zo kunnen toegangspassen niet meer door oud-medewerkers worden gebruikt. Denk bijvoorbeeld aan onderzoeksjournalist Alberto Stegeman die laatst met een toegangspas van een ex-medewerker gewapend een rechtbank binnen liep.



HR-systeem als bron
Voor het beheren van de user life-cycle is het personeelssysteem een uitstekende bron. Immers, veel van de informatie die nodig is voor het beheren van de life-cycle bevindt zich al in het personeelssysteem en wordt goed onderhouden door de afdeling P&O. Denk bijvoorbeeld aan NAW-gegevens, start- en einddatum van het contract, kostenplaats, functie, ‘manager-medewerker’-relatie en afdeling. Door deze informatie te koppelen met het netwerk en een security management systeem, is het mogelijk om het personeelssysteem als basis te nemen voor het beheren van logische en fysieke toegangsrechten. Op basis van informatie uit het personeelssysteem (bv. functie, afdeling en kostenplaats) wordt dan geheel automatisch rechten toegekend aan (nieuwe) medewerkers. In de achterliggende autorisatiematrix of rollenmodel is omschreven welke logische en fysieke toegangsrechten (lees: zones) bij welke rol horen. Het rol gebaseerd toekennen van rechten wordt ook wel Role Based Access Control (RBAC) genoemd.

Praktijkvoorbeeld
Hoe werkt dat in de praktijk? Even een voorbeeld van een ziekenhuis in de provincie Noord-Holland. Binnen dit ziekenhuis worden de account- en toegangsrechten van medewerkers automatisch aangemaakt in de Active Directory, het zorginformatiesysteem CS-EZIS, helpdeskpakket Ultimo, security management systeem iProtect en e-learningsysteem EduManager. Men gebruikt hiervoor een Identity- & Access Management oplossing. Wanneer de afdeling P&O van het ziekenhuis een medewerker toevoegt, gegevens wijzigt of verwijdert in het personeelssysteem, verricht de software de juiste actie in het netwerk. Voor een nieuwe medewerker bijvoorbeeld is dat het aanmaken van een user account in het netwerk en bepaalde zones van de fysieke locatie standaard koppelen aan de gebruiker.

Sleutelkluis
Nog een voorbeeld uit de praktijk waarbij fysieke toegang wordt geregeld aan de hand van een rollenmodel. Dit keer betreft het een zorginstelling met hoofdkantoor in Almelo. Omwille van de hoge investeringen die nodig zijn om toegang met gebruikerspas te faciliteren, geeft deze organisatie de voorkeur aan de traditionele sleutel. Om de sleutels niet kwijt te raken, maken zij gebruik van de sleutelkast van proxSafe. Medewerkers kunnen door het intoetsen van een 5-cijferige pincode het rolluik van de sleutelkast openen. Afhankelijk van de rol die de medewerker in de organisatie heeft, kan de medewerker bepaalde sleutels van de hanger halen. De betreffende sleutels zijn herkenbaar door het oplichten van een lampje. De sleutel is voorzien van een RFID chip die registreert wanneer welke sleutel van de haak is gehaald. Wanneer de sleutel niet na de werkdag wordt teruggehangen gaat er automatisch een melding naar de leidinggevende van de medewerker zodat hij/zij actie kan ondernemen.

De zorginstelling heeft zelf gedefinieerd welke sleutels per rol gebruikt mogen worden. Deze rollen zijn gedefinieerd in het HR-systeem. Door gebruik te maken van Identity- & Access Management software en een koppeling tussen het personeelssysteem, wordt voor nieuwe medewerkers direct een account aangemaakt voor het sleutelsysteem, is direct duidelijk welke rol deze gebruiker heeft en dus ook welke sleutels kunnen worden gebruikt. De software genereert tevens automatisch de credentials (pincode) voor de gebruiker en stuurt deze credentials via e-mail naar de leidinggevende van de nieuwe medewerker. Vervolgens wordt deze data ook weggeschreven naar de centrale SQL database van de sleutelkluis, zodat de kluizen weten welke gebruiker waar bij mag.

Tijdelijke toegang
Wat nu te doen bij medewerkers die tijdelijk toegang nodig hebben, zoals vakantiekrachten of een stagiair (bijvoorbeeld arts in opleiding)? Vaak wordt voor dit soort tijdelijk personeel geen specifieke rol gedefinieerd in het personeelssysteem en is dus automatische toekenning voor toegangsrechten niet mogelijk. Voor deze uitzonderingen kunnen de toegangsrechten door de organisatie zelf worden toegewezen, bijvoorbeeld door gebruik te maken van een self-service portal. Een manager kan na het inloggen op de portal zelf rechten toekennen voor de medewerkers waarvoor hij verantwoordelijk is. Na eventuele goedkeuring door een derde persoon worden de extra verkregen rechten automatisch toegekend aan het account van de tijdelijke medewerker.

Conclusie
Het toekennen van fysieke en toegangsrechten is een onderdeel van de user life-cycle van een medewerker. Het personeelssysteem kan gekoppeld worden aan het security management systeem en daardoor als basis dienen voor het beheren van fysieke toegangsrechten.

Categorie:   
Auteur(s)
afbeelding van tseinen
Tjeerd Seinen
Tools4ever - Technisch Account Manager

Tjeerd Seinen als account manager werkzaam bij Tools4ever in Nederland. Hij beschikt over zowel een technische als commerciële achtergrond en hij is daardoor in staat om kansen in de markt om te zetten in functionaliteiten voor producten en consultancy diensten. Tjeerd heeft meer dan 20 jaar ervaring op het gebied van sales en softwareontwikkeling. Hij studeerde technische informatica aan de Hogeschool van Amsterdam. Daarnaast rondde hij de MBA-opleiding van het NIMBAS in Utrecht met succes af.

Nieuwe reactie inzenden

De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.
Indien het niet lukt om een reactie te plaatsen, stuur dan uw reactie naar redactie@xr-magazine.nl.
Alle inzendingen dienen correct, professioneel en beschaafd te zijn. IP-adressen worden gelogd, maar niet gepubliceerd. De redactie van XR Magazine behoudt zich het recht voor om anonieme reacties (niet op naam) of zonder geldig e-mailadres, te verwijderen zonder kennisgeving. Ook reacties waarin commerciële uitingen worden gedaan en/of commerciële producten en diensten worden aangeboden worden door de redactie verwijderd of ontdaan van commerciële uitingen zonder kennisgeving.