Control Reporting as a Service
Wilt u zichzelf veel tijd en hoofdpijn besparen en de Auditor van uw Identity and Access Management controls op elk willekeurig moment zelf kunnen bewijzen dat uw organisatie in control is? Dat kan bewaarheid worden met een doorlopende bewaking van de control, met periodieke rapportage van eventuele bevindingen. Waardoor zwakke punten in het proces vroegtijdig worden ontdekt, wat de mogelijkheid biedt tot procesoptimalisatie.
Laat EquiVario u ontzorgen. Met onze dienst 'Control Reporting as a Service' nemen wij uw medewerkers oneigenlijk en tijdrovend werk uit handen. Dan kunnen zij zich wijden aan werkzaamheden waar ze goed en productief in zijn.
Controls en controles
Bij IT Security hoort beleid. Om de uitvoering van dat beleid te borgen worden controls ingericht, meestal op basis van een framework als 'ISO27001/2' of een branchespecifiek framework als 'BIO' (voor de overheid). Identity and Access Management kent in elk van die frameworks zijn eigen controls. Voor gemeentelijke overheden kunnen wij het VNG framework en de BIO-eisen vertalen naar één goedwerkend framework met als resultaat een nagenoeg impliciete ENSIA-verantwoording op het gebied van IAM.
Een belangrijke basiscontrol is bijvoorbeeld het 'Joiners-Movers-Leavers' of 'Indienst-Doorstroom-Uitdienst'-proces rond de Identity Lifecycle. Deze control is erop gericht te borgen dat voor alle actieve identiteiten binnen uw organisatie een rechtvaardigingsgrond bestaat. Dat kan indiensttreding zijn, maar ook tijdelijke inhuur voor een project, of het feit dat de bijbehorende medewerker voor een door de organisatie gecontracteerde externe dienstverlener werkt.
Compliance Officer
Alles is helder en transparant en zonder veel moeite te verifiëren…
Business & IT development manager
Ingewikkelde materie die simpel en hapklaar gepresenteerd wordt in mijn dashboard...
Business gebruiker
Eenvoudige one stop shopping om toegang te krijgen tot IT-middelen en toegangsrechten...
Servicedeskmedewerker
Ik kan de klant effectief helpen, alle gegevens en aanvragen zijn transparant…
IT Auditor
Robuuste audit trail en de AO/IC gegevens zijn eenvoudig en in samenhang te raadplegen…
IAM Manager
Met de SollMatrix kunnen we compliant blijven zonder dat we een complex IAM systeem nodig hebben…
Functioneel Beheerder
Eindelijk af van die bergen spreadsheets voor het onderhouden van de verschillende autorisatiematrices...
Bij de jaarlijkse audit van uw controls zal de Auditor niet alleen bestaan en opzet van de control bewezen willen zien, maar ook de werking. Kan bijvoorbeeld worden aangetoond dat elke identiteit/account op uw Active Directory (AD) of Azure Active Directory daarop terecht en juist is aangemaakt? In de praktijk levert dit een aanzienlijke hoeveelheid handmatig werk op. Een aantal van uw medewerkers is telkens weer veel tijd aan kwijt het produceren van bronbestanden en uitvoeren van vergelijkingen en/of visuele beoordeling op juistheid. Tijd die ten koste gaat van hun productiviteit. De Auditor zal daarna ongetwijfeld bevindingen van afwijkingen rapporteren. Uw medewerkers zijn vervolgens weer tijd kwijt aan herstelwerk en aan het aantonen van het feit dat dat herstel heeft plaatsgevonden.
Onze dienst
Met 'Control Reporting as a Service' bieden wij:
- Een periodieke controle op onderling af te spreken basiscontrols:
- Initieel onze Periodieke Identiteiten Verificatie
- Rapportage van bevindingen:
- over personen (medewerkers en inhuur/gasten)
- over Niet Persoonlijke Accounts (NPA: onder voorwaarde van beschikbaarheid van Autorisatiematrices);
- dashboard in hoofdlijnen;
- overzicht van bevindingen per type;
- geadviseerde mitigerende maatregel;
- totaaloverzicht met details van de controleresultaten;
- monitoring van opvolging: worden bevindingen daadwerkelijk opgelost
Zet onze dienst in als vliegwiel voor het verbeteren van proceskwailteit en serviceniveau van uw IAM-omgeving.
Uw inbreng
Om onze dienst te kunnen leveren, verwachten wij van uw organisatie periodiek geplande bronbestanden. Voor onze initiële controle (PIV AD) kunnen dat de volgende zijn:
- gebruikersexport uit AD;
- medewerkerexport uit HR-systeem;
- personenexport uit het ITSM-tool (bv TOPdesk);
- Autorisatiematrix van AD met registratie van de NPA's
Beleid en Controls
Heeft u nog geen formeel IT Securitybeleid op gebied van IAM op papier, of nog geen ingerichte Controls, neem dan contact met ons op. Onze ervaren Consultants kunnen u helpen stapsgewijs, in praktisch haalbare stappen een basis voor dat beleid op te stellen en op basis daarvan een eerste set basiscontrols.
Met de basis van de informatie voorziening op orde kan je flexibel verder naar de toekomst