Dennis Lindh, Funktionsansvarig IT, Kristinehamns kommun
Kristinehamn inför Adaptiv Governance
Vid Vänerns strand i Värmlands län 4 mil till Karlstad och 6 mil till Örebro 25 000 innevånare
3000 anställda
5000 elever
BAKGRUND
▪ Införde IDM under 2014
▪ Helt automatiserat skapande av användarkonto
▪ Källsystem HR-system, där namnuppgifter kvalitetssäkras med Pulsen Quality ID
▪ Enkel livscykelhantering där anställningens start & slutdatum styr.
VÅRT UTGÅNGSLÄGE
IDENTITY GOVERNANCE
▪ Kvalitetssäkring av användare och behörigheter
▪ Rätt behörighet till rätt användare
▪ Chef har ansvaret inom sin organisation
▪ Säkerhet och effektivisering
▪ Användarvänlighet & självservice
VARFÖR KRISTINEHAMN VALDE IGA OCH ADAPTIV GRANSKNING
UPPÅT & FRAMÅT
Inför IAM
Nytt ekonomisystem Raindance på plats
Gov POC
Utveckling Governance
Adaptiv Behörighetsgransking + Governance över Raindance
TERMINOLOGI
INOM GOVERNANCE
PERSON
= användare/identitet
GRUPP
Innehåller användare Behörighet
Applikation
exempel: Raindance
Applikation
exempel: Active Directory
Behörighet Konto Konto
RAINDANCE
•
Totalt antalet konton: 600-700st•
Konton har funnits i Raindance från och med driftsättning 1 maj 2017•
Konton som har felaktiga behörigheter kan vara de personer som har startat/bytt tjänst/slutat/återkommit inom intervallet 1 maj 2017 - 1 april 2018•
Antalet konton med felaktiga behörigheter bedöms vara väldigt få (2-3st)•
Vid byte av tjänst sker ingen automatisk förändring av behörighet i Raindance•
Förändring av behörigheter sker om verksamheten meddelar att en person har fått förändrad tjänst (här är det inte ovanligt med ledtider)▪
Behörighetsgrupper som används i Raindance:•
Systemadministratör Hög (6)•
Ekonom Hög (5)•
Sällan användare Medel (3)•
Sällan användare Plus Medel (3)UPPGIFTER INFÖR GRANSKNING
RAINDANCE
RESULTAT AV GENOMFÖRD GRANSKNING AV RAINDANCE
•
Ca 80 konton kunde inte knytas till en person (omappade) av 600 konton totalt.▪
Varav dessa var•
Utbildningskonton•
Konsultkonton•
Konton tillhörande kommunala bolag•
Avslutade konton – kommer aldrig tas bort•
Konton kunde inaktiveras direkt i samband med granskningen för personer som avslutat sin tjänst hos Kristinehamns kommun•
26 högriskbehörigheter granskades•
6 borttag av behörighetsrollen Ekonomi•
1 borttag av behörighetsrollen Sys-admin•
Övriga: behåll520; 86%
80; 14%
Raindance: konton (600st)
Mappade konton Omappade konton
6 19 1
Raindance: högrisk behörigheter (26st)
Borttag Högrisk (Ekonomi) Borttag Högrisk (Sys-admin)
ACTIVE DIRECTORY
▪
Totalt antalet konton: oklart antal användare som är aktuellaNulägesuppfattningen är kontroll på 99% av användarna i Active Directory
▪
Antalet användare med höga behörigheter: 15-20st - alla på IT-avdelningen, servicekonton för IDM + konton för extern support▪
Antalet konton med felaktiga behörigheter bedöms vara oroväckande hög▪
Det finns ingen bra kontroll på tilldelade behörigheter▪
Vid byte av tjänst sker ingen automatisk förändring av höga behörigheter▪
Behörigheter delas ofta ut utifrån arbetsplats, inte arbetsuppgiftUPPGIFTER INFÖR GRANSKNING AV AD
ACTIVE DIRECTORY
▪
I AD identifierades 7 olika högrisk behörigheter▪
27 Högrisk behörigheter granskades▪
7 borttag av högrisk behörighet▪
Övriga: behåll▪
Mer än 1/4 (25,9%) av högrisk behörigheterna var felaktigaRESULTAT AV GENOMFÖRD GRANSKNING AV AD
ACTIVE DIRECTORY
▪
I AD hittades totalt 4687 konton för anställda, konsulter och systemkonton▪
784 konton kunde inte knytas till en person (omappade)▪
473 aktiva konton▪
Ca13 % av de aktiva kontona i AD för anställda, konsulter och systemkonton saknar en automatiserad livscykelhantering, dvs de skapas/ändras/avslutas helt manuellt idag.▪
Vid granskning togs 40 konton bort direkt då de var ogiltiga▪
I AD hittades 23 795 behörighetsgrupper▪
18 244 av dessa saknade medlemmar▪
5 551 grupper har medlemmar▪
Många av grupperna är rester av organisationsförändringar och att grupper skapas per automatik men inte livscykelhanteras fullt utRESULTAT AV GENOMFÖRD GRANSKNING AV AD
3187 473
Active Directory: aktiva konton (3660st)
Konton Konton utan ägare 3903 784
Active Directory: konton (4687st)
Konton Konton utan ägare
ADAPTIV FRAMTID
▪
Alla behörigheter ska i vår framtid adaptivt granskas enligt önskad periodisering.Så att vi på så vi säkerställer att de anställda och deras chefer kan utföra sitt arbete utan en mellanhand.