In onze dagelijkse (advies)praktijk komen we steeds vaker de expliciete wens tegen om afhankelijk van de rol van een persoon of een groep personen bepaalde informatie wel of niet beschikbaar te stellen. Bijvoorbeeld bij de keuze voor een nieuw informatiesysteem en dan met name voor Business Intelligence-tools, wegen de (on)mogelijkheden van het rolgebaseerd autoriseren steeds zwaarder.
Waarom komt deze wens steeds vaker naar voren?
De belangrijkste oorzaak mijns inziens is het feit dat organisaties hun informatiesystemen openstellen voor externe gebruikers. Denk hierbij aan het openstellen van informatie voor partners zoals klanten en leveranciers. Het gaat hier in veel gevallen over grote groepen gebruikers die worden toegevoegd aan de gebruikerspopulatie. Deze ontwikkeling dwingt de organisatie tot afbakenen en afschermen. Rolgebaseerd rapporteren wordt daardoor eerder een eis dan een wens. Ook worden bedrijven vaak door hun accountant aangespoord om autorisatieprofielen van hun organisatie te tonen.
Privileges
Wat dienen organisaties te doen om op een effectieve en veilige manier gebruik te maken van de informatie uit Business Intelligence? Het opstellen en accorderen van autorisatieprofielen is een vereiste om een succesvolle verankering van rollen en bijbehorende privileges in een organisatie door te voeren. In deze profielen dient duidelijk gespecificeerd te zijn welke informatieobjecten voor de betreffende persoon of groep personen (afdeling) toegankelijk moet zijn. Deze exercitie wordt nogal eens onderschat. Dit komt doordat er in de praktijk regelmatig uitzonderingen zijn gemaakt op algemene regels die gelden voor een bepaalde afdeling.
Goed gedefinieerde rollen
Een goed ingeregeld autorisatiekader gebaseerd op goed gedefinieerde rollen leidt niet alleen tot daadwerkelijke afscherming van bepaalde gegevens voor onbevoegden, maar geeft tevens een transparant beeld hiervan. Dit laatste lijkt evident, maar veel organisaties zullen toegeven dat zij niet altijd beschikken over een up-to-date beeld van hun autorisatiestructuur. Autorisatiebeheer blijkt in veel gevallen onbetrouwbaar en niet in staat om uitgegeven permissies te herleiden.
Dunnere rapporten
Een bijkomend voordeel van rolgebaseerd rapporteren is het feit dat uitsluitend informatie uit de database wordt opgehaald die voor de ingelogde persoon toegankelijk is. Dit leidt tot minder dataverkeer en vaak ‘dunnere’ rapporten, zowel fysiek als in termen van opslagcapaciteit. Tevens is de informatie hierdoor toegesneden op de gebruiker er van, hij of zij krijgt dus min of meer gepersonaliseerde informatie ter beschikking. Hiermee is rolgebaseerd rapporteren een effectief middel tegen de informatie overload waarmee medewerkers steeds vaker geconfronteerd worden. Een goed ingericht Business Intelligence framework helpt daarbij.
Beide scenario’s zijn ongewenst
Het antwoord op de vraag in de kop is dus ja,………MAAR. Het gaat inderdaad over autoriseren, maar hier komt wel het één en ander bij kijken. Echter, de vraag is of er wel een keuze ís voor organisaties die hun informatie met derden willen delen. Als geen of weinig aandacht wordt besteed aan het toekennen van verschillende rollen met bijbehorende autorisaties kan dat de organisatie wel eens duur komen te staan. Het gevolg kan zijn dat zij de concurrentieslag missen door niet tijdig de juiste informatie voor de juiste partners beschikbaar te hebben, of zij lopen het risico dat informatie terecht komt bij partijen waar het niet hoort. Beide scenario’s zijn niet ondenkbaar en ongewenst!
Meer informatie: neem contact op met Berdino Verweij.
Geef een reactie