Managed hosting door True

Leiden pakt autorisatie aan na kritiek

 

De gemeente Leiden gaat de toegang tot ict-systemen en applicaties aanpakken. Door betere autorisatie moet duidelijk zijn welke ambtenaar of medewerker toestemming heeft om applicaties te openen en gegevens te bewerken. Van een aantal applicaties moet de wachtwoordinstelling binnen een maand zijn verbeterd. De gemeente gaat ook generieke gebruikersaccounts aanpakken en met leveranciers in gesprek.

Dat laat de gemeente weten na vragen van Computable. Externe accountant Ernst & Young (EY) dringt in een kritisch adviesrapport aan de gemeente aan op verbeteringen. Door de onzorgvuldige manier waarop gebruikersrechten worden beheerd, kan de accountant niet vertrouwen op de informatie uit sommige gemeentelijke ict-systemen en applicaties. De deadline voor de jaarrekeningcontrole 2016, die normaal gesproken in april 2017 zou worden afgerond, wordt daardoor mogelijk niet gehaald.

De gemeente laat weten dat de wachtwoordinstellingen van veelgebruikte applicaties als BPMOne en Tcare binnen een maand aangepast worden binnen de mogelijkheden die de applicaties daarvoor bieden. 'Daar waar aanpassing van de applicaties nodig is, treden wij in overleg met de leveranciers om de mogelijkheden te onderzoeken. Zo nodig nemen we tijdelijk aanvullende maatregelen om ongewenste toegang te beheersen', laat een woordvoerder weten aan Computable. Als applicaties niet aan het gewenste niveau van informatiebeveiliging kunnen voldoen, zal de gemeente overwegen om over te gaan tot vervanging van deze applicaties.

EY adviseert de gemeente om voor alle applicaties een autorisatiematrix op te stellen, waarin per functie is vermeld welke rollen en rechten worden toegekend. Zo moet geborgd zijn dat gebruikers niet meer rechten krijgen dan vanuit hun functie strikt noodzakelijk is. Ook kan op die manier functiescheiding worden vastgelegd. Bij de aanvraag van toegangsrechten voor een nieuwe gebruiker werd in de oude situatie gerefereerd aan rechten van een andere gebruiker. De gemeente: 'Voor applicaties die hiertoe de mogelijkheid bieden zal de gemeente een adequate rechtenstructuur invoeren in de betrokken applicaties. Dit zal uiterlijk het tweede kwartaal 2017 gereed kunnen zijn. Afstemming met leveranciers is daarbij mogelijk van belang.'

Generieke gebruikersaccounts

De gemeente: 'Het werken met generieke gebruikersaccounts is soms efficiënt maar gezien het gewenste niveau van interne beheersing niet wenselijk. We zullen per applicatie bepalen wat de gewenste wijze wordt om een werkbare situatie te behouden met inachtneming van het gewenste niveau van betrouwbaarheid van de systemen en de daarin vastgelegde data. Dit doen wij zo nodig in overleg met leveranciers van software, in combinatie met bovengenoemde aanpassingen. Dit zal in het eerste halfjaar van 2017 plaatsvinden.'

Leiden is een voorloper in het deels uitbesteden van gemeentelijke ict. De gemeente lijkt met de steeds strenger wordende eisen van toezichthouders last te hebben van de wet van de remmende voorsprong. In een reactie op het EY-rapport uit de gemeente zijn zorgen dat controle te dominant wordt en de situatie waarin steeds meer taken gedecentraliseerd worden, leidt tot te veel regels en het zetten van vinkjes.

Het college van burgermeester en wethouders schrijft: 'In de boardletter weegt de accountant de interne bevindingen zwaarder dan eerdere jaren. Het college wil hierover zijn zorgen uitspreken. De strengere eisen die aan controles worden gesteld door de financiële autoriteiten staan in de ogen van het college steeds vaker op gespannen voet met het uitgangspunt van het college om in de samenwerking met de inwoners en partners vanuit vertrouwen te doen wat nodig is voor de stad. Bij dat uitgangspunt hebben wij een ambtelijke organisatie voor ogen waar de verantwoordelijkheden laag in de organisatie zijn belegd, waar eigenaarschap wordt getoond en waar mensen constructief samenwerken. Meer controle en nog strengere eisen kunnen tot gevolg hebben dat de regels, protocollen en uitvoerige verantwoording leidend worden, ten koste van de doelen die wij nastreven overeenkomstig de behoefte en de vraag vanuit de stad.'

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/5928948). © Jaarbeurs IT Media.

?


Lees ook


 

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.