Your SlideShare is downloading. ×
0
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Introduksjon til Strategisk Identity and Access Management

1,050

Published on

High level introduction to strategic IAM

High level introduction to strategic IAM

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,050
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
33
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  1. Strategisk Identity & Access Management <br />Sikkerhet Inside Out<br />Ronny Robinsson-Stavem, seniorrådgiver Steria AS<br />
  2. Kontroll på medarbeidere og brukertilganger<br />15.09.2009<br />Konfidensiell - Navn på presentasjon.ppt<br />2<br />
  3. Beskytte verdier<br />15.09.2009<br />Konfidensiell - Navn på presentasjon.ppt<br />3<br />
  4. Etterlevelse av lover og regler<br />15.09.2009<br />Konfidensiell - Navn på presentasjon.ppt<br />4<br />
  5. 15.09.2009<br />Konfidensiell - Navn på presentasjon.ppt<br />5<br />Agenda<br />Identitetsadministrasjon <br />Strategiske forretningsdrivere<br />IAM elementer<br />Hindringer og suksessfaktorer<br />
  6. Definisjon av Identity & Access Management<br />15.09.2009<br />Konfidensiell - Navn på presentasjon.ppt<br />6<br />
  7. Virksomhetens utfordringer<br />15.09.2009<br />Konfidensiell - Navn på presentasjon.ppt<br />7<br />Administrator har 34 bestillinger på opprettelser av nye brukerkonti på sin arbeidspult<br />Ansatt sluttet for 4 måneder siden. Har fortsatt tilgang til systemer via VPN.<br />Flyttet til annet kontor i en annen bygning. Ansatte ringer fortsatt på gammelt internnummer.<br />Brukerstøtte tilbringer 1/3 av arbeidsdagen til å resette passord<br />Lost productivity<br />Security risk<br />Increased IT cost<br />
  8. Virksomhetens kostnader<br />15.09.2009<br />Konfidensiell - Navn på presentasjon.ppt<br />8<br />Virksomheter har 68 interne and 12 eksterne konto kataloger.<br />I snitt blir brukere opprettet i 16 systemer og fjernet kun i 10 systemer.<br />75% av interne brukere og 38% av eksterne brukere lagres i flere kataloger<br />Passord resets koster $57-$147.<br />Lost productivity<br />Security risk<br />Increased IT cost<br />
  9. Identitetslivssyklus<br />15.09.2009<br />Konfidensiell - Navn på presentasjon.ppt<br />9<br />Slette bruker<br /><ul><li>Slette/Fryse brukerkonto
  10. Slette/Fryse bemyndigelser</li></ul>Ny bruker<br /><ul><li>Opprette brukerid
  11. Utstede identifikasjon
  12. Tilgangsrettigheter</li></ul>Password styring<br /><ul><li>Sterke passord
  13. Glemt passord
  14. Passord Reset</li></ul>Endringer av brukerkonti<br /><ul><li>Forfremmelser
  15. Overføringer
  16. Nye arbeidsoppgaver
  17. Endringer av informasjon</li></ul>9<br />
  18. Eksplosjon av antall brukere<br />I<br />B<br />M<br />I<br />B<br />M<br />I<br />B<br />M<br />I<br />B<br />M<br />(Internet / Extranets)<br />Se pådette!<br />(ASCII / 3270)<br />(PC’s and LAN’s)<br />Brukere<br />Hjelp!<br />Administrative <br />ressurser<br />Virksomhets-<br />ressurser<br />1980<br />1990<br />10<br />
  19. Identitetsproblemet<br /><ul><li>Sikkerhet og risiko
  20. 62% av brukernes tilganger blir fjernet når en bruker slutter. Orphanaccounts øker risikoen for sikkerhetsbrudd med 23 %. 1
  21. 81% av sikkerhetsbrudd utføres av egne ansatte. 2 Svakheter ved insidesikkerhet koster 250K per hendelse. 3
  22. Revisjon og etterlevelse
  23. Kun 50% reviderer tilgangsrettigheter regelmessig.
  24. Opp mot 60% av tilgangsprofiler er ikke gyldige. 80% i bransjer der det er stor turn-over4
  25. Lovgivning (HIPAA, Basel II, Sarbanes-Oxley etc.) gjør revisjoner påbudt
  26. Effektivitet og produktivitet
  27. 15-25% av tilganger/forsyninger må gjøres på nytt grunnet feil. 5
  28. 27% av selskaper bruker med enn 5 dager på å opprette/fjerne brukerkonti. 5
  29. 11% av interne brukere tilkaller brukerstøtte månedlig med problemer relatert til tilganger; 7% for problemer relatert til brukerprofil 1
  30. Kostnadsreduksjon
  31. 40-60% av henvendelser til brukerstøtte er grunnet glemte passord.1
  32. 15% årlige endringer på brukerprofiler forbruker 29% av totale IT ressurser 1
  33. Selskaper med12 applikasjoner kan spare $3.5M and realisere 295% ROI over en 3 års periode. 6</li></ul>Sluttbrukere<br />Applikasjon<br />Applikasjon<br />Applikasjon<br />Katalogtjener eller database<br />Katalogtjener eller database <br />Katalogtjener eller database <br />Brukeridentifikasjon for autentisering og autorisasjon<br />Brukeridentifikasjon for autentisering og autorisasjon<br />Brukeridentifikasjon for autentisering og autorisasjon<br />Administratorer<br />Administratorer<br />Administratorer<br />1. Meta Group 2. Computer Security, Issues and Trends<br />3. FBI/CSI Computer Crime and Security Survey 4. IDC<br />5. International Security Forum Report 6. Calculated value<br />
  34. Tekniske utfordringer<br />Ikke sentralisert administrasjons<br />Forøkning av identifikasjon<br />Ulike miljøer<br />Fragmenterte sikkerhetspolicyer<br />Revisjonsspor over alt<br />Ulike administrasjonsgrensesnittfor hver eneste applikasjon<br />15.09.2009<br />Konfidensiell - Navn på presentasjon.ppt<br />12<br />
  35. IAM forretningsverdi<br />13<br />“Identity management projects are much more than technology implementations — they drive real business value by reducing direct costs, improving operational efficiency and enabling regulatory compliance.”<br />
  36. Strategiske forretningsdrivere for IAM<br />15.09.2009<br />Konfidensiell - Navn på presentasjon.ppt<br />14<br />Risikostyring<br /><ul><li>Rapportering
  37. Reduksjonstiltak
  38. Etterlevelse av policies
  39. Revisjonsledelse
  40. Økt sikkerhet</li></ul>Etterlevelse<br /><ul><li>SOX, Basel II, Solvency II
  41. Internrevisjon
  42. Eksterne revisjonsselskaper
  43. Omdømmekontroll</li></ul>Smidig organisasjon <br /><ul><li>Tilgang eksterne brukere
  44. Tilpasning for ansatte
  45. Outsourcing
  46. Oppkjøp</li></ul>Risikostyring<br />Kostnadskontroll<br /><ul><li>Reduserte kostnader
  47. Felles smidig arkitektur
  48. Økt produktivitet</li></ul>Etterlevelse<br />Smidighet<br />Effektiv<br />drift<br />Kostnadskontroll<br />Effektiv drift<br /><ul><li>Forbedrede SLA’er
  49. Forbedret brukeropplevelse
  50. Økt produktivitet</li></ul>Ref. Burton Group<br />
  51. Hvorfor må IAM være forretningsstyrt?<br />15.09.2009<br />Konfidensiell - Navn på presentasjon.ppt<br />15<br />Forretningskrav<br />Prosesser og roller<br />Budsjetter<br />Policy’er<br />Policy, Prosess, Planlegging, Politikk, Ledelse <br />Visjon og strategi<br />Reguleringskrav og lovverk<br />80%<br />Stort behov for en IAM koordinator for Planer, Arkitektur, Integrasjon, and Ledelse<br />20%<br />Teknisk<br />Hardware/Software<br />Kataloger<br />Brukeradministrasjon<br />Autorisasjon<br />Identifikasjon<br />Integrasjon<br />
  52. Skape verdier med IAM<br />16<br />Den virkelige gevinsten med IAM ligger i å integrere operasjoner og sørge for en sikker og tillitsfull samhandling på tvers av communities<br />Implementeringsfordeler<br />Integrerte operasjoner og automatiserte prosesser<br />Økt omsetning<br />Reduserte kostnader<br />Integrasjon<br />Standardisere policyer, prosesser and teknologi<br />Økt kvalitet og effektivitet<br />Kostnad og kompleksitet<br />Forretningsverdi<br />Standardisering<br />Opprett målinger som gjenspeiler alvorligheten av potensielle trusler og sårbarheter<br />Forbedret<br />Sikkerhet<br />Fokus på muligheter<br />Grunnleggende sikkerhet<br />og administrasjon<br />Implementeringsfokus<br />Fult integrerte IAM løsninger krever anvendelse og integrasjon av standarder, teknologier og prosesser, som introduserer avveininger rundt risiko og muligheter<br />
  53. IAM elementer<br />Eksterne<br />Internal<br />IT personell<br />SOA <br />Applikasjoner<br />Partnere<br />Delegert<br />Admin<br />SOA <br />Applikasjoner<br />Kunder<br />Ansatte<br />Identity Management Service<br />Access Management<br /><ul><li> Autentisering & SSO
  54. Autorisasjon & RBAC
  55. Identity Federation</li></ul>Identity Administration<br /><ul><li>Delegert Administrasjon
  56. Selvregistering & Selvbetjening
  57. Bruker & Gruppe Management</li></ul>Revisjon<br />og<br />Rapportering<br />Overvåking<br />og<br />Styring<br />Arbeidsflyt og orchestration<br />Katalogtjenester<br /><ul><li> LDAP kataloger
  58. Meta-katalog
  59. Virtuell katalog</li></ul>Identity Provisioning<br /><ul><li> Hvem, Hva, Når, Hvor, Hvorfor
  60. Regler & tilgang policies
  61. Integrasjonsrammeverk</li></ul>Systemer & Kataloger<br />Applikasjoner<br />NOS/Directories<br />OS (Unix)<br />ERP<br />CRM<br />HR<br />Mainframe<br />
  62. IAM kuben og modenhet<br />15.09.2009<br />Konfidensiell - Navn på presentasjon.ppt<br />18<br />IAM områder<br />Kataloger<br />Revisjon<br />Autentisering<br />Autorisasjon<br />Federation<br />Forretningsmål<br />Administrasjon<br />Policies<br />Prosesser<br />Leveringsevne<br />Yteevne<br />IAM dimensjonene<br />Mennesker<br />Modenhetsområder<br />Teknologi<br />
  63. Forskjellen mellom taktisk og strategisk innføring<br />15.09.2009<br />Konfidensiell - Navn på presentasjon.ppt<br />19<br />!<br />!<br />Taktisk<br />Strategisk<br /><ul><li>Sponset av IT
  64. Automatisering av brukerstøtte
  65. Kun IT personell
  66. Kostnadsreduksjon
  67. Antall hoder
  68. Effektivitet og nyttighet
  69. Fokus på avdeling
  70. Selvbetjening
  71. passord reset
  72. Plattformspesifikk:
  73. Windows gruppe administrasjon
  74. Datasynkronisering
  75. Sponset og forankret i ledelsen
  76. Endringer av forretningsprosesser
  77. HR er involvert
  78. Compliance & rapportering
  79. IAM styring
  80. Effektivitet og nyttighet
  81. Fokus på hele virksomheten
  82. Bruker provisioning
  83. Virksomhetsroller
  84. Applikasjonsintegrasjon
  85. Ikke bare IT infrastruktur
  86. Delegering og selvbetjening
  87. Datasynkronisering</li></ul>Identity Management <br />krever en taktisk og pragmatisk tilnærming <br />for et strategisk resultat<br />
  88. De virkelige hindringene for strategisk verdi<br />Taktiske IAM prosjekter vil begrense seg selv<br />Suksessrike strategiske IAM prosjekter er svært vanskelige å gjennomføre<br /> Vanskelig å forsvare kostnader forbundet med sikkerhet fordi det i de tilfellene mangler målbare suksesskriterier*<br />IT sikkerhetssjefer er ikke synlige og ofte uten myndighet og ledelsen forstår ikke problemstillingene og konsekvensene *<br />Tidligere initiativ har feilet, delvis fordi leverandører lover noe de ikke kan levere* <br />Ledelsen tror informasjonssikkerhet er et IT problem<br />15.09.2009<br />Konfidensiell - Navn på presentasjon.ppt<br />20<br />* = referanse Forrester 2008<br />
  89. IAM do and don’t<br />15.09.2009<br />Konfidensiell - Navn på presentasjon.ppt<br />21<br />!<br />!<br />Do’s<br />Don’ts<br />Få på plass en business case<br />Opprett en sentralisert autorativ kilde for alle brukere<br />Konsolider så mange autentiserings- eller identitetskataloger som mulig for å redusere antall ID’er som må administreres<br />Lag små applikasjoner for å forenkle administrasjonen av finkornet autorisasjonsbemyndigelser og roller<br />Inkluder kostnaden for revisjoner i kostnadsbildet<br />Sørg for at utviklingen av nye applikasjoner bruker brukerforsyningen i hele virksomheten<br />Tenk tjenester IKKE produkt<br />Forankring i ledelsen<br /><ul><li>Start med å velge teknologi
  90. Løs et taktisk problem når man kan løse et strategisk problem (eks. brukerforsyning)
  91. Start alltid med et brukerforsyningsprodukt. Verktøy for IAM styring kan gjøre en bedre jobb med roller, arbeidsflyt for godkjenninger og rapportering
  92. Vær kompis med leverandøren, uavhengig av forhold_ krev kundereferanser, PoC og rabatter
  93. Prøv å integrere alle applikasjoner samtidig – ha en roadmap med prioriterte integrasjoner
  94. Sikt på 100% bruker/rolle tildeling – 80% er godt nok
  95. Kvitt deg med dine plattformspesifikke administrasjonsverktøy</li></li></ul><li>Beste praksis for IAM<br />Beste praksis starter med en kunnskap om at dette er et forretningsinitiativ, og ikke et IT-prosjekt<br />For å oppnå en suksessrik, sikker og effektiv IAM innføring i hele virksomheten må ikke prosjektet styres fra IT avdelingen<br />Hele virksomheten må inkluderes, og må styres fra et punkt som er høyt i organisasjonen slik at mandatet er krystallklart. Dette prosjektinitiativet skal gjennomføres!<br />Bryt prosjektet ned i mindre leveranser for å synliggjøre suksesser slik at ledelsen fortsatt gir sin støtte som er en forutsetning for suksessen<br />Grundig planlegging og behovsanalyse<br />Følg en velprøvd metodikk, og implementer i mindre sprinter!<br />Tenk på å bygge IAM løsningen på lik linje som å bygge et stort hus eller et kjøretøy. Løsningen består av mange uavhengige deler som sammen skal fungere som en sømløs enhet.<br />På lik linje som at man ikke starter med taket på et hus, eller vindusviskere på en bil, så er det viktig å designe og lage løsningen grundig.<br />Gjør erfaringer av andres feil og suksesshistorier<br />15.09.2009<br />Konfidensiell - Navn på presentasjon.ppt<br />22<br />
  96. 15.09.2009<br />Konfidensiell - Navn på presentasjon.ppt<br />23<br />Spørsmål?<br />

×