Mark van Lierop, Solution Architect IAM, beantwoordt tijdens Heliview TALKS de vragen waarom en hoe zij dit, in samenwerking met Grabowsky, gedaan hebben.
Waarom was Identity Governance & Administration (IGA) voor jullie belangrijk?
We wilden meer grip krijgen op onze identiteiten en hun toegang, vanwege de aangescherpte wet- en regelgeving. Daarnaast staan wij als private bank onder verscherpt toezicht van De Nederlandse Bank (DNB) en de Europese Centrale Bank (ECB). De afgelopen jaren is hier nog ook de Algemene Verordening Gegevensbescherming (AVG) bij gekomen. Door het op orde brengen van de processen en het implementeren van tools hebben we hier veel meer grip op gekregen.
Waarom was Privileged Access Management (PAM) voor jullie belangrijk?
Privileged Access Management (PAM) gaat over de accounts met de hoogste rechten. En met deze hoge rechten vormen deze accounts ook het grootste risico. Omdat wij deze risico’s als bank natuurlijk goed willen managen hebben wij ons Privileged Access Management sterk verbeterd. Dit hebben we gedaan met CyberArk technologie, de marktleider op het gebied van Privileged Access Management.
Waarom hebben jullie gekozen voor de combinatie One Identity en CyberArk?
One identity is een eenvoudige tool in gebruik. Het integreert heel sterk met Microsoft Active Directory, met Azure Active Directory en met allerlei tools die je al hebt. Onze IAM-collega’s konden het ook eenvoudig leren. Het is heel laagdrempelig om in te stappen.
Op het gebied van PAM is CyberArk de grootste marktleider en ook tijdens ons selectieproces is CyberArk bij ons als beste naar voren gekomen.
Hoelang duurde de Identity Governance & Administration verandering?
De hele transitie om Identity Governance te introduceren heeft een jaar of 5 geduurd. Vroeger lag het autorisatiebeheer aandachtsgebied erg versnipperd in de organisatie. Nu hebben we dat gecentraliseerd.
Wie binnen de Volksbank maakt er gebruikt van de PAM-oplossing Cyberark?
Privileged Access Management zorgt voor de beveiliging van de meest risicovolle accounts binnen al onze applicaties en systemen. Deze accounts worden niet alleen door mijn ICT-collega’s gebruikt, maar ook door mijn business collega’s. Dit aantal loop al snel richting de 600.
Wat voor impact had deze verandering op de manier van werken voor de mensen
Privileged Access Management heeft een andere manier van werken met zich meegebracht. De processen worden nu afgedwongen door middel van technologie. Zo moeten mijn collega’s nu bijvoorbeeld eerst changes indienen voordat ze belangrijke wijzigingen kunnen doorvoeren. Daarnaast moeten ze nu eerst inloggen op CyberArk om vervolgens toegang te kunnen krijgen tot de privileged accounts. Ook worden privileged account sessies opgenomen.
Kan iedereen hier gemakkelijk mee overweg?
Ja, het heeft een prettige manier van samenwerken opgeleverd. Om de mensen goed mee te nemen hebben we duidelijke werkinstructies ter beschikken gesteld en hebben we daar waar nodig de mensen opgeleid. Ook hebben we ervoor gezorgd dat de mensen altijd gemakkelijk en snel bij ons terecht konden voor vragen en opmerkingen. Als bijkomend voordeel is er nu veel duidelijkheid bij de mensen ontstaan over de processen die noodzakelijk zijn voor de bank.
Wat is de belangrijkste les die je hebt geleerd van dit traject?
De belangrijkste les die ik heb geleerd van de implementatie van OneIdentity en CyberArk is dat je daar zo min mogelijk maatwerk in probeert aan te passen. Dat je probeert de standaarden die tools bieden te volgen. Om ook de complexiteit te voorkomen en voorspelbaar te worden.
Is standaardisatie belangrijk om het project goed te laten verlopen?
Ja, superbelangrijk omdat hoe meer maatwerk je maakt, hoe meer softwareconfiguraties er onderhouden moeten worden.
Helpt dit ook om risico’s te vermijden?
Ja, want ook op het gebied van maatwerk, want ook daarin kunnen weer risico’s zitten. Daarom blijven we kijken naar de standaarden die tools bieden.
Wat zijn de uitdagingen naar de toekomst toe?
De bank wil meer digitaal wendbaar zijn, we willen meer flexibel zijn om onze klanten goed te bedienen. En dat willen we uiteraard ook veilig houden. Om dat ook richting de toekomst te doen, zien we daar een beweging richting de Cloud. Maar dit moet ook heel erg veilig zijn. Waarbij we natuurlijk eerst heel veel zaken on-premise deden zien we daar nu een hele transitie ontstaan.