Managed hosting door True

EY uit kritiek op ICT gemeente Leiden

 

De gemeente Leiden is onzorgvuldig met de rechten van gebruikers van ict-systemen. Nieuwe medewerkers krijgen toegang tot informatie die gekoppeld is aan de rechten van andere ambtenaren. Het is niet na te gaan wie er bepaalde informatie heeft bekeken en met welke applicaties een ambtenaar heeft gewerkt. Ook de administratie van subsidies verloopt rommelig.

Dat blijkt uit onderzoek van Ernst & Young (EY) dat een controle uitvoerde op de ict-systemen van de gemeente, waarover het Leidsch Dagblad heeft gepubliceerd. Volgens de adviseurs kan de gemeente niet vaststellen of ambtenaren wel de juiste rechten hebben om bij de informatie in de gemeentelijke ict-systemen te kunnen.

Ook lijken er problemen te zijn met het loggen van gebruikersinformatie. Het is voor de gemeente namelijk niet vast te stellen wie bepaalde documenten heeft bekeken. Dat staat ook in de informatie waar de krant de hand op heeft weten te leggen.

Volgens het Leidsch Dagblad is Ernst & Young hard in haar oordeel. Het dagblad citeert: 'De geconstateerde tekortkomingen hebben tot gevolg dat wij voor onze controlewerkzaamheden (...) niet kunnen steunen op de it-beheersomgeving.' Gegevens over financiën, personeel en salaris die uit de systemen van de gemeentelijke organisatie komen zouden volgens de accountant onbetrouwbaar kunnen zijn.

Subsidies

Ook bij de verstrekking van subsidies zouden ict-problemen spelen waardoor het toekennen van die gelden volgende Ernst & Young mislopen.

De adviseurs constateren dat inkomende subsidies niet op een centrale plek worden opgeslagen, maar op verschillende plekken bij de gemeente binnenkomen. Het zou ontbreken aan een centraal overzicht en verantwoording. De accountants schrijven dat ook het risico bestaat dat de subsidiegelden onrechtmatig worden besteed.

Ook bij de afdeling inkoop blijken computersystemen onbetrouwbaar. Volgens de adviseurs moet de gemeente snel actie ondernemen om te voorkomen dat er problemen ontstaan bij de verantwoording van de jaarrekening. De gemeente is om een reactie gevraagd, maar was nog niet in de gelegenheid om te reageren.

De gemeente is om een reactie gevraagd, maar was nog niet in de gelegenheid om een inhoudelijke reactie te geven. 

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5919387). © Jaarbeurs IT Media.

?


Lees meer over


 

Reacties

tipje van de ijsberg. Ik denk dat geen enkele gemeente of anderszins overheidsinstantie voor de volle 100% de toegangsrechten van gebruikers kan verantwoorden, logs van toegang tot documenten en dergelijke kan overleggen, of kan aangeven welke applicaties door welke gebruikers zijn gebruikt. Technisch is dat wel mogelijk, maar de logging systemen voor zulke functionaliteit zijn complex en duur, en verzamelen op dagelijkse schaal massale hoeveelheden data. Daar weer nuttige informatie uit halen is zeer complex.

Erwin, met je reactie kan ik het alleen maar oneens zijn. Het is een combinatie van processen, procedures en techniek, en bovenstaand artikel geeft aan dat het met bijvoorbeeld authorisatie procedures voor applicaties al niet goed zit. Log management en aggregatie is de volgende stap, en ok dit hoeft niet belachelijk veel geld te kosten, maar moet wel gedaan worden. Belangrijk is beginnen, en aan security de juiste prioriteit toekennen. Met andere woorden, het security maturity level verhogen.

Ik ben blij dat EY dit onderzoek heeft gedaan. Waarom?
Ik durf de stelling te poneren dat enkel in organisaties waarin op dit moment al sterk toezicht is - het identity en accessmanagement is ingeregeld en waar de IAM processen zijn geborgd in de organisatie -, de integrale IAM op een verantwoord niveau ligt. De bancaire en verzekeringssector lopen daarin voorop, gevold door de universitieten/hogescholen. Bij de overheid lijkt het bij defensie en politie redelijk op orde (allen staan onder sterk toezicht).
Voor de rest is het bij de publieke/ semi publieke en private sector over het algemeen nog een gatenkaas als het gaat om IAM.(16.000 gemelde datalekken in ruime een jaar tijd)
Voor afzonderlijke applicaties/primaire bedrijfsprocessen lijkt het nog wel op orde, maar van borging en embedding van het IAM proces is in de rest van de organisatie al helemaal geen sprake, en met GDPR in het vooruitzicht zouden toch heel wat organisaties zich wat ongemakkelijk moeten gaan voelen, daar heb je zelfs geen waarschuwingsartikel van EY voor nodig.
Vanuit tooling zijn er op dit moment maar twee oplossingen in de markt die de integrale IAM vraagstukken kunnen oplossen. Het succes van deze tooling wordt echter vooral bepaald door het changemanagement dat nodig is om de betrokken tooling tot een succes te brengen.

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×