Veiligheid en Controletechnische Functiescheiding in Business Intelligence

Veiligheid in Business Intelligence

Wanneer Oracle Business Intelligence wordt ingezet om bedrijfsinformatie toegankelijk te maken, speelt beveiliging een cruciale rol. Gebruikers van de software zijn vaak verdeeld in groepen of afdelingen en hebben afhankelijk van hun rol toegang tot specifieke gegevens.  

BI Security

Binnen BI zijn er drie hoofdgebruikersrollen:

• BI Consumers – Mogen BI Objecten (Dashboards & Analytics) interactief bekijken.
• BI Authors – Gebruikers die hun eigen analyses kunnen maken en opslaan. 
• BI Administrators – Gebruikers die alle dashboards kunnen beheren en analyses kunnen          publiceren.

Elke rol heeft dus zijn eigen toegangsrechten . BI Authors zijn hierin een tussenvorm. Zij kunnen analyses maken voor de organisatie, maar toegang tot data kan beperkt zijn tot specifieke gebieden.

Rechten en Toegangsniveaus bevinden zich op twee belangrijke niveaus:

• Web Catalog – Bepaalt wie welke dashboards mag zien en gebruiken.
• Common Enterprise Information Model – Bepaalt welke onderdelen van het informatiemodel toegankelijk zijn en welke data mag worden gefilterd.

Schematisch verhoudt het bovenstaande zich als volgt:

Extra beveiligingsrichtlijnen:

• Toegangsrechten worden gekoppeld aan rollen, en rollen aan groepen van gebruikers.
• Het is aan te raden om per groep een specifieke rol te definiëren, zodat toegang helder en beheersbaar blijft.
• Bij conflicten in toegang geldt altijd het principe van “minste beperking,” waarbij gebruikers toegang hebben tot de meest uitgebreide rechten die een rol biedt.
• Data kan worden beperkt tot bijvoorbeeld informatie van specifieke filialen of klantgroepen.

Standaard heeft niemand toegang tot data, totdat expliciete toegang wordt verleend. Deze “negatieve beveiliging” zorgt ervoor dat data veilig en alleen voor bevoegde personen toegankelijk is.

JD Edwards Security

Wanneer Oracle JD Edwards langere tijd in gebruik is, wordt er vaak een specifieke verdeling van toegangsniveaus aangebracht om verschillende rollen en afdelingen binnen de organisatie te ondersteunen. Oracle BI biedt de mogelijkheid om deze instellingen, zoals toegang tot bedrijfs- of afdelingsdata, ook in het Business Intelligence-systeem te gebruiken. Dit lijkt logisch, maar gebruikers van JD Edwards zijn vaak operationele medewerkers, terwijl BI-gebruikers ook op strategische leidinggevende posities zitten, zoals managers of directieleden. Daarom vraagt dit om een bredere aanpak.  

Naast JD Edwards kan Oracle Business Intelligence ook data integreren van andere systemen zoals een personeelssysteem of een laboratoriumsysteem. Voor dagelijkse rapporten is er een handige functie binnen Oracle BI, namelijk BI Publisher. Met deze tool wordt data uit JD Edwards op een manier ontsloten die de bestaande beveiligingsinstellingen van JD Edwards respecteert. Dit betekent dat medewerkers in Oracle JD Edwards met BI Publisher dezelfde gegevens zien als in JD Edwards, met dezelfde beveiliging en gebruiksvriendelijke dataweergave.

Eén centrale gebruikersregistratie

Oracle maakt het steeds makkelijker om alle softwaretoegang vanuit één centraal systeem te regelen. Dit betekent dat gebruikers zich één keer aanmelden en daarmee toegang krijgen tot de relevante applicaties op het juiste niveau. Oracle JD Edwards kan ook gebruikmaken van dit centrale systeem voor gebruikersbeheer, zodat één inlogsysteem (zoals Single Sign-On of Microsoft Active Directory) toegang biedt tot alle benodigde tools.

Datafiltering in Oracle BI 

Een krachtige functie in Oracle BI is datafiltering, waarmee informatie beperkt kan worden tot wat een gebruiker daadwerkelijk mag zien. Een voorbeeld hiervan is dat een directeur gegevens over alle vestigingen kan inzien, terwijl een manager alleen gegevens van een specifieke regio ziet. De instellingen voor deze filters zijn onderdeel van het informatiemodel en zorgen ervoor dat alleen de toegestane data zichtbaar is.

Dashboards en Toegang

In Oracle BI bevat een dashboard informatie over een specifiek onderwerp. De BI-tools zorgen ervoor dat medewerkers alleen toegang hebben tot de dashboards en gegevens die relevant zijn voor hun functie. Zo heeft een HR-medewerker bijvoorbeeld geen toegang tot verkoopinformatie.

Een voorbeeld:

Een filiaalhouder heeft in Oracle BI inzicht in de omzetcijfers van zijn eigen winkel. Daarnaast toont Oracle BI hem welke aandeel zijn winkel bijdraagt in de totale omzet en hoe goed hij het ten opzichte van andere winkels doet. Hij heeft echter geen inzicht in de informatie van andere winkels.

Het bovenstaande voorbeeld lijkt security-technisch een onmogelijkheid en paradox. Oracle Business Intelligence heeft echter de tools om het bovenstaande mogelijk te maken. Dit kan zelfs zover gaan dat dit zogenoemde Pars Pro Toto (ofwel deel van het geheel) alleen getoond wordt, indien dit cijfer uit bijvoorbeeld meer dan vijf componenten is opgebouwd. Zijn er immers maar twee winkels in het totaal betrokken, dan is het voor de filiaalmanager zeer eenvoudig om af te leiden welk deel de andere winkel verzorgt. Op deze manier kan ook bediend worden dat gemiddeldes en contributies aan het geheel pas worden getoond als deze een representatieve steekproef van de data vormen. Zo kan geregeld worden dat een bepaald percentage alleen verschijnt indien het gemiddelde uit minimaal 10 elementen bestaat.

Dit is een voorbeeld van de krachtige analysemogelijkheden die de toolset van Oracle Business Intelligence biedt.

Definities – One Version of the Truth

Wederom valt of staat alles met definities. Datafiltering perkt immers in wat men te zien krijgt en dus beïnvloedt het de volledige waarheid. Het is dus van belang de rollen, groepen en datafiltering mee te nemen in de beschrijving van de bedrijfsdefinities in het eerder genoemde bedrijfswoordenboek. Omzet is niet zomaar Omzet. De inhoud van het cijfer is afhankelijk van:

• Hoe dit bedrijfstechnisch gedefinieerd is.
• Welke implementatievraagstukken in Oracle JD Edwards zijn toegepast om dit te administreren.
• Welke condities er aan de presentatie ten grondslag liggen.
• Welke inperkingen er vanuit security-oogpunt op moeten worden toegepast.

Het is dus zaak security al in een vroeg stadium te betrekken in de analyse en opzet van de toepassingen in Oracle Business Intelligence. Het kan van grote invloed zijn op de keuzes en aanpak van de realisatie en dus op de waarheid die men te zien krijgt.

Security Matrix

Om overzicht te houden over de rechten, rollen en groepen in Oracle BI, kan een Security Matrix worden gebruikt. Hierin wordt bijgehouden welke data en welke dashboards beschikbaar zijn voor verschillende rollen en gebruikersgroepen. Deze structuur helpt applicatiebeheerders om bij nieuwe BI-inhoud zoals dashboards direct te weten wie er toegang toe moet krijgen.

Bij de implementatie van een BI-oplossing draait het om veel meer dan rapporten of mooie dashboards. BI is bedoeld om de juiste informatie beschikbaar te maken voor de juiste mensen, op het juiste moment. Cadran ondersteunt bedrijven hierbij met een projectaanpak die de valkuilen van BI-implementatie voorkomt en helpt organisaties te sturen op basis van betrouwbare data.