Enfo hjälpte SJ ta kontroll över medarbetarnas digitala identiteter

SJ AB bedriver en personalintensiv verksamhet där ett stort antal medarbetares och konsulters digitala identiteter hanteras. Periodvis sker upp till 300 nyanställningar samtidigt och den löpande personalomsättningen med medarbetare och konsulter som börjar och slutar är relativt hög. Revisioner visade att det dåvarande systemet var ineffektivt och krävde många manuella arbetsinsatser. Med Enfos identitetshanteringslösning har situationen dramatiskt förbättrats för såväl SJs anställda som för anlitade konsulter.

Identitetshantering med brister

Situationen som framkom vid interna och externa revisioner av SJs informations- och verksamhetssystem visade påtagliga brister, bland annat att:

• Anställda och konsulter hade åtkomst till information och verksamhetssystem långt efter sista arbetsdag/sista uppdragsdag.
• SJ inte kunde redogöra för aktuella identitetsdata, vem som ägde den, om det fanns en aktiv relation med personen eller om samtycke till registrering fanns, vilket var en konflikt med personuppgiftslagen (PuL).
• SJ inte kunde redogöra för vem som hade åtkomst till vilka IT-system.
• Personberoende och manuell administration gav långa ledtider och kvalitetsbrister vid on boarding och off boarding av personal och konsulter.
• SJ var beroende av en extern leverantör för utfärdandet av en ”SJ-signatur”, en unik identifierare som måste skapas och betalas för alla anställda och konsulter.

SJ hade således ett stort behov av att få en fullständig överblick och helhetskontroll över behörigheter och identiteter inom organisationen. Det behövdes även en uppstramning av systemkonton, där system ska interagera med varandra utan att personer är inblandade.

Ny plattform med rätt funktionalitet

För att möta behoven införde Enfo en centraliserad hantering av identiteter och behörigheter på den tekniska plattformen IBM Security Identity Manager (ISIM).

Med dessa åtgärder minskade den manuella hanteringen samtidigt som mer eller mindre godtycklig administration av konton och behörigheter upphörde helt.

”Rätt person har rätt behörighet till rätt system vid rätt tidpunkt”

Enfos lösning gav en rad konkreta effekter, bland annat genom ett nära samarbete med SJs personalavdelning. Anställda får numera en SJ-identitet och behörigheter utifrån start- och slutdatum i HR-systemet. Vid första arbetsdagen aktiveras den anställdes behörigheter och inaktiveras på motsvarande sätt vid sista arbetsdag.

Varje anställd får sig automatiskt tilldelat ett tiotal basbehörigheter, till exempel AD-konto, personlig e-postadress och placering i rätt distributionslistor. Kontot uppdateras automatiskt med masterdata från olika källor.

En motsvarande rutin för konsulter etablerades, där konsulten registreras via självservice av den behöriga beställaren. En ansvarigrelation etableras vilket skapar ett ägandeskap kring konsultens SJ-identitet. Precis som för anställda är aktiveras kontot den första uppdragsdagen och inaktiveras den sista.

”Self service”-funktioner ökar eget ansvar

SJs IAM-program har vuxit till att bland annat omfatta digitaliserad behörighetsansökan. 25 blanketter ersätts av en digitaliserad och till viss del automatiserad process. Detta enligt SJs strategiska verksamhetsmål: snabbare, enklare och bättre. Dessutom flyttas ansvaret för behörigheter över till medarbetarna i en självbetjäningsfunktion. Varje funktion (exempelvis lokförare) kan ta fram de behörigheter som yrket kräver och söka dem.

– Vi anlitar Enfo för deras expertkompetens kring identitetshantering och IAM. Vi vill erbjuda modern teknik som service till organisationen och Enfo talar om för oss vad vi måste göra. Vi upplever att Enfo har modern och uppdaterad kunskap, att vi kan lita på dem och att de kan och förstår vår organisation, säger Camilla Odenteg Compliance Manager vid SJ AB.

– Vi är mycket nöjda och ser fram emot goda effekter av det självbetjäningsprojekt som nu är i sin slutfas, avslutar Camilla Odenteg.

Kort om caset

Behov

Att minska den manuella hanteringen av behörigheter och identiteter, få kontroll över vem som har tillgång till vilken information vid vilken tidpunkt samt få kontroll över systemkonton.

Lösning

Identitetshanteringsplattformen IBM Security Identity Manager (ISIM), designad och implementerad enligt Enfo Best practice.

Lösningen ger en centraliserad och till stora delar automatiserad hantering av identitetsdata, användarkonton och behörigheter.

ISIM integrerat med HR-systemet Personic ger kontroll på identiteter och behörigheter, samt start- och slutdatum för dessa. En egen SJ-signatur, oberoende av en extern leverantör, implementerades.

Nytta

Rätt behörighet till rätt person vid rätt tillfälle, minskad manuell hantering med digitalt godkännandeflöde, kortare ledtider, minskade kostnader med egen SJ-signatur samt bättre regelefterlevnad och minskad arbetsbörda på cheferna.

inShare