Statens It arbejder på stort IGA-projekt

En forbedret tilgang til styring af identiteter og adgangsrettigheder

Statens It har besluttet at strømline og optimere styringen af identiteter og adgangsrettigheder. Det sker som led i det løbende arbejde med at standardisere, effektivisere og forbedre kvaliteten af de administrative processer og styrke informationssikkerheden for kunder og brugere.

Vicedirektør Søren Ulrich Vulff forklarer det således:

Visionen er at etablere en integreret tilgang til identitetsstyring understøttet af en fleksibel, nem, sikker, omkostningseffektiv og standardiseret løsning, der kan udbygges på tværs af kunder, platforme og systemer - Vicedirektør Søren Ulrich Vulff

Målet er at sikre en mere omkostningseffektiv administration af og kontrol med adgange til systemer og data, så brugere med et arbejdsmæssigt behov – og kun disse - får adgang til den funktionalitet og de oplysninger, de har behov for, uden væsentlig forsinkelse og unødigt ressourcespild.

Vi har på få år fordoblet vores antal af brugere, og med udsigt til endnu flere nye brugere de kommende år, er identitets- og rettighedsstyring et meget vigtigt indsatsområde for os. Vores nye IGA-løsning vil sikre en langt større grad af automatisering, sikkerhed og effektivisering af de personalemæssige og administrative processer for alle medarbejdere i Staten - Michael Ørnø, direktør i Statens It

Statens It er derfor i gang med at implementere en ny IGA-løsning – nedenfor kan du læse meget mere om den kommende IGA-løsning.

Fold punkterne ud for at læse mere om IGA-projektet

IGA står for Identity Governance & Administration og er en samlet betegnelse for softwareløsninger, der kan anvendes til automatisering af og øget kontrol med processer for håndtering af identiteter, brugere og deres adgangsrettigheder på tværs af deres livscyklus og systemer.

Følgende er eksempler på kernefunktionalitet i en IGA-løsning.

  • Administration af identitetslivscyklus: Central håndtering af forskellige identitetstyper (fx medarbejdere, konsulenter) gennem hele deres livscyklus fra ansættelse/oprettelse til fratrædelse/nedlæggelse.
  • Rettighedsadministration: Ejerskab og kontrol over rettighedsgivende data, fx ejerskab af systemer og tilknyttede adgangsgrupper og rettigheder.
  • Adgangsforespørgsel: Bestilling og godkendelse af adgangsrettigheder gennem selvbetjening.
  • Målopfyldelse: Automatisk tildeling af godkendte adgangsrettigheder i målsystemer .
  • Adgangscertificering: Periodisk gennemgang og vurdering af tildelte adgangsrettigheder.
  • Politik- & rolleadministration: Rollemodellering og vedligeholdelse samt politikker for automatisk tildeling af roller baseret på fx organisatorisk tilhørsforhold og arbejdsområde.
  • Workflow: Workflows for håndtering af ændringer og godkendelser.
  • Rapportering & analyser: Overblik over identiteter, brugere, tildelte adgangsrettigheder, godkendelser mv.
  • Revision: Ændringshistorik og kontrol med overholdelsen af etablerede adgangspolitikker – fx konti uden ejere eller adgange oprettet uden nødvendig godkendelse.

%MCEPASTEBIN%

Den nye IGA-løsning vil medføre en række fordele for den enkelte kunde, når løsningen er fuldt implementeret. En af disse fordele er en forenkling af processer.

I dag forgår alle bestillinger af brugere og adgangsrettigheder igennem Serviceportalen. Der findes ikke en entydig sammenhæng mellem en brugers organisatoriske tilhørsforhold og de roller og rettigheder, som vedkommende kan bestille og tildeles på tværs af systemer. Bestilling af adgangsrettigheder sker som en fritekst beskrivelse af hvilke rettigheder, den pågældende medarbejder har behov for. Brugeradministrationen i Statens It vælger derefter manuelt mellem de tilgængelige sikkerhedsgrupper og gennemfører ændringen i relevante målsystemer.

Implementeringen af et nyt fælles-statsligt HR system giver nye muligheder for at optimere processen for oprettelse og styring af adgangsrettigheder på tværs af de statslige institutioner. Statens It’s nye IGA løsning vil indgå som et centralt element i integrationen med Statens HR-Løsning, som illustreret nedenfor:

figuren viser, at der synkroniseres data mellem Statens HR-løsning, Statens It's Serviceportal og IGA-systemet.

Efter implementering af den nye IGA løsning vil alle relevante roller og rettigheder kunne bestilles gennem en selvbetjeningsløsning, hvor brugere og HR-medarbejdere via Serviceportalen selv kan søge på relevante roller og rettigheder baseret på brugerens organisatoriske tilhørsforhold. Når bestillingen er godkendt af brugerens nærmeste leder, vil de godkendte roller og rettigheder automatisk blive tildelt brugeren i relevante systemer.

I første omgang vil IGA løsningen blive integreret med Statens It’s fælles Windows AD-platform, således at adgangsrettigheder til alle fagsystemer, der er baseret på Windows-sikkerhedsgrupper, automatisk kan styres. På længere sigt kan integrationer med øvrige fagsystemer også udvikles, så adgangstildeling til disse systemer også automatisk kan styres af IGA løsningen.

Det vil med integrationen med det kommende fælles-statslige HR system også være muligt, at rolletildelinger sker helt automatisk uden godkendelse baseret på de indtastede data i HR systemet, herunder eksempelvis oplysninger om jobtitel og organisatorisk tilhørsforhold mv. Tilsvarende vil adgangsrettigheder automatisk blive fjernet, når medarbejderen fratræder eller skifter stilling / ansvarsområde.

Dette vil samlet set føre til en forenkling af processerne for anmodning og godkendelse af brugere og deres adgange og sikre, at relevante adgangsrettigheder tildeles straks efter relevant ændring i det fælles-statslige HR system eller godkendelse af ændringsanmodning.

Som led i efterlevelsen af kravene i ISO 27001 sikkerhedsstandarden, skal alle statslige myndigheder regelmæssigt foretage en gennemgang af brugernes tildelte adgangsrettigheder.

Den nye IGA-løsning hos Statens It vil understøtte og styrke denne proces.

Den nye IGA-løsning vil indeholde information om alle brugere og deres tildelte adgangsrettigheder på tværs af systemer. IGA løsningen vil således gøre det muligt at gennemføre en periodisk og dokumenteret gennemgang og revurdering af de tildelte roller og rettigheder i overensstemmelse med kravene i ISO 27001 standarden.

Hvis det i forbindelse med gennemgangen konstateres, at en bruger ikke længere har behov for en eller flere af de tildelte roller, vil dette kunne angives, hvorefter rettighederne automatisk fjernes.

Dermed understøtter løsningen en forbedret proces for og sikrer den nødvendige dokumentation i forbindelse med den periodiske gennemgang af brugernes adgangsrettigheder, herunder at alle relevante ændringer til brugernes adgangsrettigheder bliver håndteret.

Løsningen vil ligeledes indeholde afvigelsesrapporter med eventuelle roller, som er tildelt manuelt og hvor der ikke foreligger en godkendelse forud for tildelingen. Det vil via rapporterne være muligt at angive, at brugeren skal fratages de rettigheder, der er tildelt manuelt, hvorefter rettighederne fjernes automatisk med det samme.

Samlet set vil ovenstående medvirke til en styrkelse af informationssikkerheden og sikre en tilstrækkelig dokumentation for efterlevelse af de etablerede politikker for bruger- og rettighedsstyring.

IGA løsningen vil give et centralt overblik over brugere og deres tildelte adgangsrettigheder på tværs af systemer. Løsningen vil også indeholde historik over, hvornår en bruger er blevet tildelt en given adgangsrettighed samt hvem, der har godkendt denne.

Et af formålene med IGA løsningen er desuden at automatisere og systemunderstøtte ensartede og manuelle processer med henblik på at øge effektiviteten og reducere risikoen for fejl i sagsbehandlingen.

Som udgangspunkt planlægges nedenstående processer at blive understøttet af den nye IGA-løsning:

  • Oprettelse af ny bruger
  • Bruger rokering eller anden ændring af bruger
  • Nedlæggelse af bruger
  • Tildeling af rettigheder
  • Ændring af rettigheder
  • Nedlæggelse af rettigheder
  • Oprettelse af ekstern konsulent
  • Forlængelse eller anden ændring af ekstern konsulent
  • Nedlæggelse af ekstern konsulent
  • Straks-nedlæggelse af bruger eller konsulent
  • Håndtering af ressortomlægning og andre organisationsændringer
  • Gennemførelse af ledelsestilsyn, herunder håndtering af afledte ændringer til brugere og rettigheder

Processen for håndtering af identiteter og adgangsrettigheder gennem hele livscyklus for en medarbejder eller ekstern konsulent er illustreret nedenfor:

En livscyklus starter ved at en identitet oprettes, dernæst oprettes der brugerkonti og der foretages løbende adgangsstyring og kontrol. Slutteligt i livscyklussen nedlægges adgangsrettigheder.

Den enkelte bruger vil opleve at tiden fra godkendelse af en ændring (f.eks. tildeling af en ny rolle) til den er gennemført i relevante systemer vil blive væsentligt reduceret. Ligeledes vil den øgede brug af selvbetjeningsløsninger, hvor adgangsrettigheder kan bestilles af den enkelte bruger, reducere antallet af sager, der kræver genbehandling grundet fejl eller misforståelser i forbindelse med bestillingen.

I første omgang vil IGA-implementeringen omfatte Statens It’s egne brugere og vil fokusere på etablering af kernefunktionalitet i løsningen samt integrationen med det fælles-statslige HR system og Statens It’s Windows AD platform.

I løbet af 2021, vil implementeringen hos de enkelte kunder starte. Implementering vil blive gennemført i forskellige bølger med involvering af de enkelte kunder. Implementeringen vil blive planlagt med udgangspunkt i erfaringerne fra første fase og under hensyntagen til planen for udrulning af

Statens HR. Implementeringsaktiviteterne omfatter følgende:

  • Kortlægning og opsætning af de adgangsrettigheder, som er relevante for den enkelte kunde
  • Definition af regler for automatisk tildeling af adgange baseret på oplysninger om en brugers jobtitel og organisatoriske tilhørsforhold
  • Vurdering af behov for integration til kundespecifikke målsystemer
  • Træning af brugere i anvendelse af IGA løsningen.

Implementeringen vil blive gennemført i tæt samarbejde med projektteamet fra SIT og den enkelte kunde, men kunden er overordnet ansvarlig for den organisatoriske implementering.

Statens It anbefaler, at de enkelte kunder starter forberedelsen i god tid før implementeringen. Således kan den enkelte kunde med fordel allerede nu forberede sig ved at

  • Sikre, at der foreligger en opdateret systemoversigt med angivelse af systemejer for hvert system, der fortsat er i anvendelse
  • Sikre at organisationshierarkiet i Statens HR er opdateret og afspejler den faktiske organisering af arbejdsopgaver.
  • Identificere stillingsbetegnelser og beskrive de arbejdsopgaver, som den pågældende stilling forventes at udføre i de enkelte systemer, herunder identificere opgaver, som ikke bør udføres af den samme person
  • Foretage løbende oprydning i nuværende adgangsrettigheder, så kun de systemroller og brugere, som er i brug, fremgår af det enkelte system.