High level introduction to strategic IAM

1. Strategisk Identity & Access Management Sikkerhet Inside Out Ronny Robinsson-Stavem, seniorrådgiver Steria AS

2. Kontroll på medarbeidere og brukertilganger 15.09.2009 Konfidensiell - Navn på presentasjon.ppt 2

3. Beskytte verdier 15.09.2009 Konfidensiell - Navn på presentasjon.ppt 3

4. Etterlevelse av lover og regler 15.09.2009 Konfidensiell - Navn på presentasjon.ppt 4

5. 15.09.2009 Konfidensiell - Navn på presentasjon.ppt 5 Agenda Identitetsadministrasjon Strategiske forretningsdrivere IAM elementer Hindringer og suksessfaktorer

6. Definisjon av Identity & Access Management 15.09.2009 Konfidensiell - Navn på presentasjon.ppt 6

7. Virksomhetens utfordringer 15.09.2009 Konfidensiell - Navn på presentasjon.ppt 7 Administrator har 34 bestillinger på opprettelser av nye brukerkonti på sin arbeidspult Ansatt sluttet for 4 måneder siden. Har fortsatt tilgang til systemer via VPN. Flyttet til annet kontor i en annen bygning. Ansatte ringer fortsatt på gammelt internnummer. Brukerstøtte tilbringer 1/3 av arbeidsdagen til å resette passord Lost productivity Security risk Increased IT cost

8. Virksomhetens kostnader 15.09.2009 Konfidensiell - Navn på presentasjon.ppt 8 Virksomheter har 68 interne and 12 eksterne konto kataloger. I snitt blir brukere opprettet i 16 systemer og fjernet kun i 10 systemer. 75% av interne brukere og 38% av eksterne brukere lagres i flere kataloger Passord resets koster $57-$147. Lost productivity Security risk Increased IT cost

11. Utstede identifikasjon

13. Glemt passord

15. Overføringer

16. Nye arbeidsoppgaver

17. Endringer av informasjon9

18. Eksplosjon av antall brukere I B M I B M I B M I B M (Internet / Extranets) Se pådette! (ASCII / 3270) (PC’s and LAN’s) Brukere Hjelp! Administrative ressurser Virksomhets- ressurser 1980 1990 10

20. 62% av brukernes tilganger blir fjernet når en bruker slutter. Orphanaccounts øker risikoen for sikkerhetsbrudd med 23 %. 1

21. 81% av sikkerhetsbrudd utføres av egne ansatte. 2 Svakheter ved insidesikkerhet koster 250K per hendelse. 3

22. Revisjon og etterlevelse

23. Kun 50% reviderer tilgangsrettigheter regelmessig.

24. Opp mot 60% av tilgangsprofiler er ikke gyldige. 80% i bransjer der det er stor turn-over4

25. Lovgivning (HIPAA, Basel II, Sarbanes-Oxley etc.) gjør revisjoner påbudt

26. Effektivitet og produktivitet

27. 15-25% av tilganger/forsyninger må gjøres på nytt grunnet feil. 5

28. 27% av selskaper bruker med enn 5 dager på å opprette/fjerne brukerkonti. 5

29. 11% av interne brukere tilkaller brukerstøtte månedlig med problemer relatert til tilganger; 7% for problemer relatert til brukerprofil 1

30. Kostnadsreduksjon

31. 40-60% av henvendelser til brukerstøtte er grunnet glemte passord.1

32. 15% årlige endringer på brukerprofiler forbruker 29% av totale IT ressurser 1

33. Selskaper med12 applikasjoner kan spare $3.5M and realisere 295% ROI over en 3 års periode. 6Sluttbrukere Applikasjon Applikasjon Applikasjon Katalogtjener eller database Katalogtjener eller database Katalogtjener eller database Brukeridentifikasjon for autentisering og autorisasjon Brukeridentifikasjon for autentisering og autorisasjon Brukeridentifikasjon for autentisering og autorisasjon Administratorer Administratorer Administratorer 1. Meta Group 2. Computer Security, Issues and Trends 3. FBI/CSI Computer Crime and Security Survey 4. IDC 5. International Security Forum Report 6. Calculated value

34. Tekniske utfordringer Ikke sentralisert administrasjons Forøkning av identifikasjon Ulike miljøer Fragmenterte sikkerhetspolicyer Revisjonsspor over alt Ulike administrasjonsgrensesnittfor hver eneste applikasjon 15.09.2009 Konfidensiell - Navn på presentasjon.ppt 12

35. IAM forretningsverdi 13 “Identity management projects are much more than technology implementations — they drive real business value by reducing direct costs, improving operational efficiency and enabling regulatory compliance.”

37. Reduksjonstiltak

38. Etterlevelse av policies

39. Revisjonsledelse

41. Internrevisjon

42. Eksterne revisjonsselskaper

44. Tilpasning for ansatte

45. Outsourcing

47. Felles smidig arkitektur

49. Forbedret brukeropplevelse

50. Økt produktivitetRef. Burton Group

51. Hvorfor må IAM være forretningsstyrt? 15.09.2009 Konfidensiell - Navn på presentasjon.ppt 15 Forretningskrav Prosesser og roller Budsjetter Policy’er Policy, Prosess, Planlegging, Politikk, Ledelse Visjon og strategi Reguleringskrav og lovverk 80% Stort behov for en IAM koordinator for Planer, Arkitektur, Integrasjon, and Ledelse 20% Teknisk Hardware/Software Kataloger Brukeradministrasjon Autorisasjon Identifikasjon Integrasjon

52. Skape verdier med IAM 16 Den virkelige gevinsten med IAM ligger i å integrere operasjoner og sørge for en sikker og tillitsfull samhandling på tvers av communities Implementeringsfordeler Integrerte operasjoner og automatiserte prosesser Økt omsetning Reduserte kostnader Integrasjon Standardisere policyer, prosesser and teknologi Økt kvalitet og effektivitet Kostnad og kompleksitet Forretningsverdi Standardisering Opprett målinger som gjenspeiler alvorligheten av potensielle trusler og sårbarheter Forbedret Sikkerhet Fokus på muligheter Grunnleggende sikkerhet og administrasjon Implementeringsfokus Fult integrerte IAM løsninger krever anvendelse og integrasjon av standarder, teknologier og prosesser, som introduserer avveininger rundt risiko og muligheter

54. Autorisasjon & RBAC

56. Selvregistering & Selvbetjening

58. Meta-katalog

60. Regler & tilgang policies

61. IntegrasjonsrammeverkSystemer & Kataloger Applikasjoner NOS/Directories OS (Unix) ERP CRM HR Mainframe

62. IAM kuben og modenhet 15.09.2009 Konfidensiell - Navn på presentasjon.ppt 18 IAM områder Kataloger Revisjon Autentisering Autorisasjon Federation Forretningsmål Administrasjon Policies Prosesser Leveringsevne Yteevne IAM dimensjonene Mennesker Modenhetsområder Teknologi

64. Automatisering av brukerstøtte

65. Kun IT personell

66. Kostnadsreduksjon

67. Antall hoder

68. Effektivitet og nyttighet

69. Fokus på avdeling

70. Selvbetjening

71. passord reset

72. Plattformspesifikk:

73. Windows gruppe administrasjon

74. Datasynkronisering

75. Sponset og forankret i ledelsen

76. Endringer av forretningsprosesser

77. HR er involvert

78. Compliance & rapportering

79. IAM styring

80. Effektivitet og nyttighet

81. Fokus på hele virksomheten

82. Bruker provisioning

83. Virksomhetsroller

84. Applikasjonsintegrasjon

85. Ikke bare IT infrastruktur

86. Delegering og selvbetjening

87. DatasynkroniseringIdentity Management krever en taktisk og pragmatisk tilnærming for et strategisk resultat

88. De virkelige hindringene for strategisk verdi Taktiske IAM prosjekter vil begrense seg selv Suksessrike strategiske IAM prosjekter er svært vanskelige å gjennomføre Vanskelig å forsvare kostnader forbundet med sikkerhet fordi det i de tilfellene mangler målbare suksesskriterier* IT sikkerhetssjefer er ikke synlige og ofte uten myndighet og ledelsen forstår ikke problemstillingene og konsekvensene * Tidligere initiativ har feilet, delvis fordi leverandører lover noe de ikke kan levere* Ledelsen tror informasjonssikkerhet er et IT problem 15.09.2009 Konfidensiell - Navn på presentasjon.ppt 20 * = referanse Forrester 2008

90. Løs et taktisk problem når man kan løse et strategisk problem (eks. brukerforsyning)

91. Start alltid med et brukerforsyningsprodukt. Verktøy for IAM styring kan gjøre en bedre jobb med roller, arbeidsflyt for godkjenninger og rapportering

92. Vær kompis med leverandøren, uavhengig av forhold_ krev kundereferanser, PoC og rabatter

93. Prøv å integrere alle applikasjoner samtidig – ha en roadmap med prioriterte integrasjoner

94. Sikt på 100% bruker/rolle tildeling – 80% er godt nok

96. 15.09.2009 Konfidensiell - Navn på presentasjon.ppt 23 Spørsmål?