3. Wat is identiteit?
▶ Ben je je eigenschappen?
§ Leeftijd, lengte, geslacht, …
▶ Ben je je relatie(s)?
§ Student, werknemer, inwoner, bezoeker, …
▶ Volgens wie eigenlijk?
§ Jezelf? De universiteit? De overheid?
▶ Wat willen we eigenlijk wat men van ons weet?
§ Alles? Niets? Sommige dingen? Is dit eigenlijk wel altijd hetzelfde?
▶ En hoe drukken we delen van onze identiteit uit?
3
§ Geboorte datum, leeftijd of …?
7. Wat is Identity & Access Management?
▶ Het verhogen van de personalisatie, efficiency en beveiliging
van de ICT-dienstverlening door compleet ‘life cycle’-beheer van
identiteiten;
▶ Het bepalen wie wanneer, waar en hoe toegang mag krijgen tot
bepaalde informatie(systemen) en diensten, op een veilige,
betrouwbare, transparante en gebruikersvriendelijke manier.
7
8. Identity & Access Management verder ontleed
▶ Identity Management – beheren van de identity life cycle van je
gebruikers (wie ken ik en wat weet ik van ze)?
§ Wie zijn mijn klanten? Wie zijn mijn medewerkers?
▶ Autorisatie Management – beheren van je autorisatie schema
(wat mag iemand?)
§ Welke rollen en rechten? Is er toestemming gegeven? Zijn er
conflicterende rechten? Tot wanneer mag hij dat doen?
▶ Access Management – de toegangslaag (wie klopt er op de
deur en mag hij binnen?)
§ Nu? Hier? Vanaf welk device of locatie? Hoe zeker weet ik dat hij
het is?
8
9. Wat is Identity & Access Management
▶ Monitoring en rapportage – loggen en reageren:
§ Is alles wat het zou moeten zijn? Wat gebeurt er met de toegang tot
mijn informatie?
9
11. Waarom Identity & Access Management?
▶ Efficientie en kostenbesparing:
§ IAM zorgt er voor dat iemand op de eerste werkdag kan werken;
§ IAM zorgt er voor dat iemand maar één keer hoeft in te loggen of
maar één wachtwoord hoeft te onthouden;
§ IAM zorgt er voor dat een beheerder maar 3 minuten bezig om
toegang te regelen in plaats van 3 uur;
§ IAM zorgt er voor dat mensen zelf hun accounts kunnen beheren in
plaats van dure helpdeskcalls te maken;
§ IAM zorgt er voor dat geldt bespaart kan worden op externe
auditors;
§ …
11
12. Waarom Identity & Access Management?
▶ Business enablement:
§ IAM zorgt er voor dat de implementatie van een informatiesysteem
sneller kan;
§ IAM zorgt er voor dat een bedrijf sneller een ander bedrijf kan
opkopen en integreren (of juist afstoten);
§ IAM zorgt er voor dat mensen sneller nieuwe taken kunnen
uitvoeren;
§ IAM zorgt er voor dat medewerkers, klanten het gebruik van je
informatiesystemen en diensten prettiger vinden;
§ IAM zorgt dat je concurrentievoordeel behaalt;
§ …
12
13. Waarom Identity & Access Management?
▶ Security, Compliance en Risk Management:
§ IAM zorgt dat de beslissing over toegang tot informatie door de
juiste mensen gemaakt wordt;
§ IAM zorgt er voor dat elke handeling naar een natuurlijk persoon
herleid kan worden;
§ IAM zorgt er voor dat je zeker weet dat alleen bevoegde personen
bij informatie kunnen komen;
§ IAM zorgt er voor dat je kan rapporteren over autorisaties;
§ IAM zorgt er voor dat beveiliging passend wordt gemaakt op de
gevoeligheidsgraad van informatie;
§ …
13
17. Opdracht: Rabobank
▶ Profiel: Rabobank is een internationale financiële dienstverlener
actief op het gebied van retailbanking, wholesalebanking,
vermogensbeheer, leasing, vastgoed en verzekeren. Haar
klantengroep varieert van particulier tot zakelijk, van studenten
tot Quote 500. Ze werkt actief samen met andere bedrijven
(dochters of derden) voor het aanbod van financiele diensten.
▶ Vragen:
§ Bedenk 5 redenen/situaties waarom de Rabobank iets met identiteit
zou willen (kansen) en hoe zij IAM in kunnen zetten;
§ Bedenk 5 redenen/situaties waarom/wanneer de Rabobank iets
met identiteit zou moeten (bedreigingen) en hoe zij IAM in kunnen
zetten.
17
18. Opdracht: Société Générale (1/2)
▶ Profiel: Société Générale is de derde zakenbank van Europa. Er
werken in totaal ongeveer 120.000 mensen, waarvan 75.000 in
Europa. De bank is actief in 80 landen.
▶ Situatie/Probleem: In 2009 verloor Société Générale in totaal
€4.9 miljard op de beurs doordat een trader in zijn loopbaan
(van controle-afdeling tot trading floor) zoveel kennis van het
systeem en rechten had opgebouwd dat hij gemakkelijk kon
frauderen / transacties kon verbergen.
18
19. Opdracht: Société Générale (2/2)
▶ Vragen:
§ Met welke IAM voorzieningen had SG de root-cause van dit
probleem kunnen voorkomen?
§ Waar zou de inrichting van deze voorzieningen met name aan
moeten voldoen? Noem minimaal 5 aspecten.
§ Wat heeft SG nodig om continu in controle te zijn?
19