Succesvolle Proof of Concept Governance Risk & Compliance bij 3F

Rob Bosman Senior SAP Security, Risk and Compliance Consultant

In april 2010 hebben de ministeries van Financiën, Sociale Zaken en Werkgelegenheid (SZW) en Volksgezondheid, Welzijn en Sport (VWS) een samenwerkingsovereenkomst getekend om hun financiële administratie in een gezamenlijk systeem onder te brengen. Deze samenwerking was het startpunt voor het project dat vanaf dat moment het 3F-project heette.

In opdracht van de 3F-departementen voert 3F Beheer het onderhoud uit op het gebruikersbeheer en de rechten (autorisaties) voor deze departementen. Naar aanleiding van de aanbevelingen van de ADR (De Auditdienst Rijk – interne auditdienst van de Rijksoverheid) werd in 2014 door 3F Beheer besloten om een Proof of Concept met GRC (Governance, Risk and Compliance) te gaan doen.

Aanleiding

De aanleiding tot het uitvoeren van de PoC GRC bij 3F was meerledig. Ten eerste was er bij 3F Beheer de behoefte aan verdere professionalisering van het gebruikersbeheer en daarmee het in control zijn met conflictbeheersing. Ten tweede de voorbereiding op aansluiting van nieuwe departementen op 3F en ten slotte natuurlijk gehoor geven aan de aanbevelingen van de ADR.

Doelstelling

Het doel van de PoC was vaststellen of een GRC-toepassing toegevoegde waarde zou opleveren ten opzichte van het bestaande beheerproces van autorisaties.

De belangrijkste speerpunten hierbij waren:

  • inzichtelijk maken van risico’s
  • efficiënt beheer van autorisaties
  • decentraal gebruikersbeheer
  • effectieve en overzichtelijke rapportagemogelijkheden
  • monitoren en beheersen van risico’s
  • uitfaseren CUA (Central User Access)
  • departementen zelf inzicht geven in gebruikers/autorisaties
  • kwalitatieve businesscase

Oplossing

Na een korte selectieronde viel de keuze voor een GRC-oplossing op Security Weaver. Security Weaver biedt een uitgebreide set aan functionaliteit en diensten voor security en compliance en sloot het best aan op de requirements die door 3F Beheer opgesteld waren. iQibt heeft als implementatiepartner samen met Security Weaver de PoC uitgevoerd.

Onderdeel van de Proof of Concept was o.a. de installatie van de software van het GRC-systeem, de configuratie en implementatie van de GRC-softwareonderdelen, een plan van aanpak met betrekking tot de uitfasering van het huidige CUA maken en het opstellen van de PoC eindrapportage.

In een tijdsbestek van zeven weken heeft iQibt de Security Weaver modules geïmplementeerd en de interne medewerkers van 3F geleerd ermee om te gaan.

De volgende modules zijn hierbij geïmplementeerd:

  • Emergency Repair (ER) voor nooduser gebruik
  • Separations Enforcer (SE) regelset voor functiescheidingsconflicten
  • riskrapportages en mitigerende maatregelen

Resultaat

De opdrachtgever van het project, de CC manager van 3F, was erg tevreden over het eindresultaat van de PoC. Het (dagelijks) beheer van autorisaties is verbeterd en conflicten worden eenvoudig gedetecteerd. Het team van iQibt heeft een groot compliment gekregen voor de uitgevoerde werkzaamheden. Op basis van de resultaten van de PoC heeft 3F Security Weaver verder geïmplementeerd en uitgerold naar de aangesloten departementen.