governanceIndustrie & ManufacturingGeanonimiseerd

Governance as Code voor een industriële organisatie met vier businessunits

Een industriële onderneming met vier businessunits en een centrale IT-afdeling had governance volledig via de Azure Portal ingericht. Policies waren niet gedocumenteerd, niet getest en niet consistent toegepast. Een externe audit leverde 23 bevindingen op. RLCM migreerde de volledige governance naar een versiebeheerde Policy as Code aanpak.

Resultaten

Compliance score
71%
99%
Audit bevindingen
23
2
Change lead time governance
5 dagen
4 uur

Context

Klant: Industriële onderneming (geanonimiseerd) — Industrie & Manufacturing

De klant is een industriële onderneming met productielocaties in Nederland en Duitsland. De centrale IT-afdeling beheert de Azure-omgeving voor vier businessunits, elk met eigen applicaties en teams. Na een externe ISO 27001-audit kwamen 23 bevindingen naar voren, waarvan het merendeel betrekking had op Azure-governance: ontbrekende of inconsistente policies, ongedocumenteerde RBAC-toewijzingen en het ontbreken van een auditeerbaar change management proces voor cloudconfiguraties. De directie stelde als eis dat de volgende audit maximaal vijf bevindingen zou opleveren.

Uitdaging

De centrale uitdaging was dat governance volledig in de hoofden van twee medewerkers zat. Policies waren via de portal aangemaakt zonder documentatie, zonder test en zonder review. Niemand wist precies welke policies op welke scope van toepassing waren, en waarom. RBAC-toewijzingen waren handmatig en niet periodiek gereviewed: voormalige medewerkers hadden nog actieve rechten. Daarnaast had elke businessunit zijn eigen wensen voor uitzonderingen op policies, wat leidde tot een wildgroei aan exemptions zonder einddatum of goedkeuringsproces.

Aanpak

RLCM startte met een inventarisatie van alle bestaande policies, initiatieven en RBAC-toewijzingen via Azure Resource Graph en de Azure Policy compliance API. Alle bestaande configuraties werden geëxporteerd en als startpunt in een Git-repository opgeslagen. Vervolgens werd een Azure DevOps-pipeline ingericht met drie fasen: validatie van JSON-syntax en naamgevingsconventie, what-if analyse op een testomgeving, en na goedkeuring deployment naar productie. Policies werden gecategoriseerd op risico: hoog-risico policies (netwerk, identity, encryptie) kregen prioriteit en werden als eerste gemigreerd. Een exemption-workflow werd geïmplementeerd met verplichte einddatum, goedkeuring door de security officer en automatische melding bij verlopen exemptions. RBAC-toewijzingen werden als code vastgelegd en gekoppeld aan Microsoft Entra ID-groepen in plaats van individuele gebruikers, waardoor offboarding automatisch de toegang introk.

Governance as CodeAzure PolicyManagement GroupsCI/CDAzure DevOps

Architectuurdiagram beschikbaar op aanvraag

Gedetailleerde referentiearchitecturen worden gedeeld in een persoonlijk gesprek, afgestemd op uw situatie.

Lessons learned

  • Exporteer bestaande policies als startpunt — dit voorkomt discussie over wat er al is en geeft direct een baseline.
  • Koppel RBAC-toewijzingen aan groepen, nooit aan individuen — dit maakt offboarding automatisch en auditeerbaar.
  • Exemptions zijn het zwakste punt van elke governance-aanpak: verplichte einddatum en goedkeuringsproces zijn niet optioneel.
  • Betrek de businessunit-leads bij de policy-prioritering — draagvlak is essentieel voor een soepele migratie.
  • Een compliance-dashboard in Azure Workbooks maakt de voortgang zichtbaar voor management en versnelt besluitvorming.

Vergelijkbare situatie?

Bespreek uw situatie in een vrijblijvend gesprek. We brengen uw Azure-omgeving in kaart en stellen een aanpak op maat voor.