Your SlideShare is downloading. ×
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)

403

Published on

Presentatie over ervaringen uit de praktijk van Identity & Access Governance implementaties (Roundtable van Everett en Verdonck, Klooster & Associates op 11 december 2012 voor klanten)

Presentatie over ervaringen uit de praktijk van Identity & Access Governance implementaties (Roundtable van Everett en Verdonck, Klooster & Associates op 11 december 2012 voor klanten)

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
403
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
18
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Identity & Access Governanceervaringen uit de praktijkThomas van Vooren, thomas @ everett.nlRoundtable 11 december 2012 www.everett.nl www.everett.nl
  • 2. Inhoud▶ Opkomst van Identity & Access Governance▶ Praktische werking Identity & Access Governance▶ Aanpak van de realisatie▶ Best practices en aandachtspunten▶ Conclusies 2
  • 3. Opkomst van Identity & Access Governance 3
  • 4. Opkomst van Identity & Access Governance▶ Compliance en risico management in toenemende mate van invloed op bestedingen:  Toegenomen druk vanuit:  Toezichthouders (wet- en regelgeving).  Key stakeholders zoals aandeelhouders (zorgen over fraude en kwetsbaarheid imago), klanten en publieke opinie (zorgen over privacy).  Intrinsieke motivatie voor risico beheersing:  Voorkomen fraude en beschermen van intellectueel eigendom.▶ De business case voor Identity & Access Management verandert:  Meer focus op security en compliance.  Business enablement en kosteneffectiviteit niet langer de primaire drijfveer. 4
  • 5. Opkomst van Identity & Access Governance▶ De essentie:  Het continu aantoonbaar beheersen van de toegang tot informatiesystemen: “in control” zijn.  Maar nog steeds op een kosteneffectieve manier en in balans met kansen en behoeftes van de organisatie.▶ In control door:  Autorisatieprofielen te bepalen in lijn met beleid en deze vast te leggen.  De toegestane autorisaties af te dwingen in de informatiesystemen.  Te controleren en te rapporteren over praktijk versus beleid.  De toegangsrechten of profielen bij te stellen waar nodig. 5
  • 6. Opkomst van Identity & Access Governance▶ Aanpak tot op heden preventief met “traditioneel” Identity & Access Management, veelal met kostenefficientie en business enablement als driver.  Actief aanvragen en intrekken van toegang, veelal door leidinggevenden;  Geautomatiseerde verwerking in doelsystemen.▶ Karakteristieken:  Beperkt bereik van informatiesystemen: lang niet alle kritieke systemen aangesloten.  Hechte koppeling met systemen: integratie in plaats van business projecten;  Fire & forget inregelen van toegang: beperkt tot geen controle en bijstelling.  Geen rapportage of audit trail: niet “aantoonbaar” in control.  Gericht op (geautomatiseerd) uitvoeren van IT processen en niet het besturen. 6
  • 7. Opkomst van Identity & Access Governance▶ Hanteren van een detectieve aanpak gericht op controle van toegangsrechten “achteraf”, opvolging van correcties en rapportage daarover is nodig.▶ Deze controle wordt ook wel certificeren genoemd (certification/attestation). Het certificeringsproces wordt vorm gegeven door:  Te bepalen wie welke toegangsrechten heeft.  De toegangsrechten weer te geven in begrijpelijke termen.  Helder inzicht te geven in overtredingen van business rules en risico’s.  Het voorleggen van toegangsrechten ter beoordeling aan de relevante verantwoordelijken.  Het initiëren van wijzigingen op toegangsrechten zodat deze in overeenstemming komen met het toegangsbeleid. 7
  • 8. Opkomst van Identity & Access Governance tooling▶ Bedrijven hebben soms al processen en tools hier voor ingericht, echter:  De processen zijn handmatig, kosten daardoor veel tijd en zijn erg vatbaar voor fouten.  Toegangsrechten zijn niet begrijpelijk voor de business verantwoordelijken die ze moeten beoordelen. Dit leidt tot fouten in de beoordeling en “rubber stamping”.  Bewaking opvolging van correcties en intrekkingen is nagenoeg onmogelijk.  Rapportages zijn sterk gefragmenteerd qua vorm en inhoud over informatiesystemen en organisatiedelen heen.▶ IAG tooling addresseert deze en andere IAM uitdagingen. 8
  • 9. Praktische werking 9
  • 10. Praktische werking IAG tooling (C)ISO Internal Audit Risk Officer Accountant Compliance Officer Toezichthouder Business Owners System Owners Functioneel beheer Managers ICT/Accountbeheer Business Owners Helpdesk System Owners 10
  • 11. Praktische werking IAG tooling - Administreren▶ Autorisatieprofielen: rolgebaseerde verzamelingen toegangsrechten.  Gelaagdheid rollen (business en IT rollen) en “role-mining” functionaliteit.▶ Business glossary: betekenisvolle beschrijving van toegangsrechten.  Handmatig invoeren of geautomatiseerd inlezen.▶ Busines rules: beperkingen die van toepassing zijn in het beschikken over toegangsrechten (bijvoorbeeld functiescheiding).▶ Risicomodel: de mate waarin het beschikken over toegangsrechten of het overtreden van business rules bijdraagt aan een risico score.  Gewicht voor toegangsrechten (rollen en losse systeemautorisaties) en business rules, wegingsfactoren op basis van beheersing in praktijk. 11
  • 12. Praktische werking IAG tooling - Controleren▶ De IAG tooling leest periodiek alle gegevens over accounts en toegangsrechten uit de kritieke informatiesystemen.  Lichtgewicht integratie, correlatie gegevens naar identiteit.▶ Business rules worden geëvalueerd: ad-hoc afhandeling van overtredingen.▶ Zowel de toekenning als samenstelling van toegangsrechten kunnen periodiek voorgelegd worden ter beoordeling. Bijvoorbeeld:  Toekenning: managers (persoonsgebonden toegang), system owners (niet persoonsgebonden toegang).  Samenstelling: business owners (autorisatieprofielen/rollen) en system owners (systeemautorisaties). 12
  • 13. Praktische werking IAG tooling - Corrigeren▶ Handmatige opvolging intrekkingen:  Via integratie met IT Service Management systeem (“ticketing”) en helpdesk.  Via functionele e-mail postbussen van functioneel beheer of ICT/account beheer.▶ Geautomatiseerde verwerking intrekking:  Direct (“real-time”) verwerking in het informatiesysteem.  Op basis van business case (hoge mutatiefrequentie, grote aantallen medewerkers, risicoclassificatie).  Eventueel met behulp van bestaande in-house Identity Management oplossing (provisioning), afhankelijk van IAG tool ook met IAG tool mogelijk. 13
  • 14. Praktische werking IAG (tooling) - Rapporteren▶ Monitoren:  Voortgang van de certificering (via rapportage of dashboards).  Opvolging eerdere intrekkingen (in nieuwe certificeringen of rapportage). Beide vaak ondersteund door herinnering- en escalatie e-mail notificaties. Met name voor hoger management, (C)ISO en security operation teams.▶ Rapporteren:  SOLL-IST rapportage.  Audit trail van certificeringen (afleggen verantwoordelijkheid). Met name voor internal audit, accountant of toezichthouder. 14
  • 15. Fasering realisatie 15
  • 16. Fasering realisatie van een IAG oplossing▶ Opbouwen:  Inlezen toegangsrechten IST-situatie en die betekenisvol maken.  Belangrijkste business rules opnemen voor toetsing (met name voor ad-hoc afhandeling).  Beperkt aantal informatiesystemen en business rules: eerst ervaring opdoen.  Basis certificeringen (managers en system owners).▶ Uitbouwen:  Meer informatiesystemen en business rules.  Risico gebaseerde aanpak (bijvoorbeeld in certificeringen, periodiek en ad- hoc) 16
  • 17. Fasering realisatie van een IAG oplossing▶ Optimaliseren:  Vastleggen beoogde autorisatieprofielen op basis van rollen:  In plaats van / in aanvulling op betekenisvolle toegangsrechten.  Als vastlegging van de SOLL situatie.  Ad-hoc certificeringen op basis van door- en uitstroomproces;  SOLL-IST vergelijking (in certificering en rapportages).▶ Optioneel: integratie IAM en IAG:  Aansluiten op, of realisatie van, Identity Management voor het beheersen van de identity lifecycle (preventief verwerken van in-, door-, en uitstroom).  Introductie actief aanvragen en intrekken van toegang (preventief).  Geautomatiseerde verwerking toekenning en intrekking in informatiesystemen (op basis van business case). 17
  • 18. Best practices en aandachtspunten 18
  • 19. Best practices▶ Stel aansluitcriteria op: wat doe je procedureel (handmatig) en wat doe je met IAG tooling.▶ Sluit zo lichtgewicht mogelijk elk informatiesysteem aan: geen hechte (“live”) integratie maar koppeling op basis van inlezen tekstbestanden.▶ Stel een data-extractieformaat op voor de tekstbestanden: standaardiseer!▶ Hergebruik in-house IAM provisioning oplossing.▶ Gebruik een “proces volgt tool” aanpak: bij bestaande processen: deze aanpassen waar nodig en mogelijk. ▶ Bestaande use cases in live demos afstemmen. 19
  • 20. Best practices▶ Gebruik beschrijvingen om toegangsrechten betekenisvol te maken, gebruik pas later rollen.▶ Simuleer effect van business rules in een aparte business IAG omgeving vooraf aan de in gebruik name.▶ Alloceer functioneel beheerders: eerste aanspreekpunt verkrijgen extracten en uitwerken autorisatieprofielen en business rules.▶ Let bij keuze voor een IAG oplossing ook op de gebruikersvriendelijkheid: certificeren blijft een “moetje”. 20
  • 21. Aandachtspunten▶ Ook IAG heeft een kwalitatief goede bron voor identiteiten nodig!▶ Zorg voor representatieve gegevens ten behoeve van simulatie business rules en (acceptatie)testen.▶ Wie certificeert hoger management? En laat je ze zelf hun medewerkers certificeren?▶ Infrastructuur laag van informatiesystemen bevatten ook toegangsrechten, met vaak hoger risicoprofiel dan informatiesysteem zelf.▶ Schaling IAG oplossing: het draait om de data… en daar is er veel van! 21
  • 22. Tot slot▶ IAG (tooling) is een effectieve manier om in control te komen.▶ Maar het gaat bij IAG over meer dan alleen het vinkje voor de toezichthouder, het gaat over het beheersen van risico’s!▶ IAG is geen vervanger van IAM : IAM blijft nodig voor de uitvoering, IAG introduceert de nodige (be)sturing.▶ IAG gaat niet alleen over implementatie van IAG tools in plaats van IAM tools; het gaat ook over implementatie van IAG processen. 22
  • 23. Vragen 23

×