het gehele artikel ( 179 KB )

Commentaren

Transcriptie

het gehele artikel ( 179 KB )
&
FINANCE
CONTROL
B e s ch e r m uw b e dr ij f s - e n k l antg e g e v e n s
Informatiemanagement
PE
Permanente
Educatie
IDENTITY EN ACCESS MANAGEMENT:
IN CONTROL?
Binnen een voortdurend veranderende zakelijke omgeving is het een verre van simpele opgave om ervoor
te zorgen dat (alleen) de juiste mensen toegang tot de juiste gegevens hebben. Wat ooit een gesloten lokaal netwerk was met apart toegankelijke (of niet-toegankelijke) systemen, is inmiddels uitgegroeid tot
een wereldwijd web van mensen, toepassingen en gegevensverzamelingen, die grenzeloos interacteren.
Het wordt steeds moeilijker om overzicht te krijgen en houden van alle verschillende gebruikersidentiteiten (binnen en buiten de organisatie) en hun onderscheiden toegangsrechten, laat staan om deze effectief
en efficiënt te beheren. Daardoor ontstaan er steeds grotere risico’s met steeds grotere gevolgen, denk aan
de recente Diginotar-affaire.
DOOR MARCUS LASANCE
D
e Diginotar-affaire ging (o.a.) over toegang(srechten) tot
gegevens en applicaties, over vertrouwelijkheid, veiligheid,
over identiteitsfraude. Met andere woorden: over allerlei
risico’s rond moderne digitale oplossingen voor gegevensverzamelingen, processen, taken, rechten, plichten en verantwoordelijkheden daaromheen, inclusief de bijbehorende
autorisatiemechanismen. Diginotar ging dus helemaal over
identity management.
Vraag aan tien verkopers van identity-managementsoftware
wat identity management eigenlijk is, en je krijgt tien verschillende definities voorgeschoteld. Meestal dekt die definitie
Bij dit artikel hoort de online cursus ‘Identity management’
Met deze cursus kunt u punten behalen in het kader van uw permanente educatie (PE ). Ter kennismaking kunt u de cursus ‘Best in
finance’ gratis volgen en uw eerste studiepunten behalen.
Kijk voor meer informatie en een overzicht van alle cursussen op <www.financecontrol.nl>.
PE
Permanente
Educatie
26
|
juist die elementen en aspecten, waarin hun ‘oplossing’ al dan
niet toevallig voorziet en laat andere aspecten onbenoemd.
Legt men dezelfde vraag voor aan honderd Chief Technology
Officers (CTO’s), Chief Information Officers (CIO’s) of Chief
Security Officers (CSO’s), dan lopen de antwoorden die zij geven nog verder uit elkaar. Allen bekijken zij de vraag vanuit
hun eigen perspectief en problematiek. De CTO, verantwoordelijk voor IT-support, maakt zich druk over het grote aantal
vragen aan de helpdesk over vergeten wachtwoorden en andere problemen die gebruikers ondervinden bij het inloggen in
belangrijke bedrijfsapplicaties. De CIO wil zeker stellen dat
alle gebruikers tijdig bij de juiste informatie kunnen die ze
nodig hebben voor hun job. De CSO maakt zich zorgen dat
ex-medewerkers (misschien nu werkend voor de concurrentie) nog steeds op afstand in belangrijke bedrijfssystemen
kunnen inloggen en misschien belangrijke klantengegevens of
technische specificaties door zouden kunnen sluizen naar en
misbruiken in hun nieuwe baan. De HR-manager vindt het
belangrijk dat nieuwe medewerkers snel na indiensttreding
productief kunnen zijn en op tijd het juiste salaris ontvangen,
inclusief hun onkostenvergoedingen. Tegenwoordig betekent
DECEMBER 2011
PE
Permanente
Educatie
Business
Modelling
Company
Asset
Modelling
Identity and Access Modelling
approver
assign
SOU
Business
Role
Permission
1: n
Dept.
Group
IT
Role
Rule
Cost
center
Provisioning Engine
Section
Account
Target
System
Request
Policy
User
Reports
Figuur 1
Schematische weergave van RBAC gebaseerd IAM
dat vaak dat ze een laptop moeten krijgen, een internettelefoon en een smartcard of secure-ID token, dat hun toegang
verschaft tot de juiste gebouwen en systemen, die thuiswerken
en permanente educatie met behulp van bedrijfsopleidingen
mogelijk maken.
Vraag aan tien verkopers van
identity-managementsoftware wat
identity management eigenlijk is,
en je krijgt tien verschillende
definities voorgeschoteld
De CSO op zijn beurt, moet zorgen dat van dezelfde medewerkers (na uitdiensttreding) en/of uitzendkrachten en externe contractors de verstrekte hulpmiddelen, smartcards en one
time password generators meteen ingenomen worden door het
bedrijf of in geval van nood ten minste op afstand op non-acDECEMBER 2011
tief gesteld kunnen worden. Zo is er zelfs bij niet-teruggave of
verlies geen misbruik meer mogelijk.
De enige definitie waarin waarschijnlijk alle stakeholders
zich min of meer zullen kunnen vinden luidt als volgt: identity management staat voor het ontwikkelen, beheren, evalueren en up-to-date houden van informatiesystemen en (digitale) bedrijfsprocessen rond het beheren van (digitale)
identiteiten van medewerkers, inclusief de aan hen toegekende toegangsrechten tot die systemen en gegevens; gedurende de gehele levenscyclus, van de eerste creatie van identiteit plus rechten tot de uiteindelijke vernietiging of op
non-actiefstelling en archivering.
Risico’s identity management
Volgens recent onderzoek van Verizon (2010) was 48 procent van alle gegevenslekken te wijten aan interne medewerkers. Van alle incidenten werd 11 procent veroorzaakt door
externe zakelijke partners. Misbruik van toegangsrechten
blijkt de belangrijkste oorzaak van dergelijke incidenten. Dit
hoeft geen verbazing te wekken, gezien de complexiteit die
gepaard gaat met het beheren van toegangsrechten van een
voortdurend veranderend gebruikersbestand tot een voortdurend veranderende verzameling hulpbronnen. De nood|
27
W W W. F I N A N C E - C O N T R O L . N L
&
FINANCE
zaak om toegang te bieden aan mobiele apparaten, telewerkers, ingehuurde externen, partners en leveranciers vergroot
die complexiteit nog aanzienlijk en gaat gepaard met hogere
kosten en grotere risico’s.
In de kern van de zaak mitigeert een degelijk identity-managementsysteem alleen het risico dat belangrijke of privacygevoelige informatie in verkeerde handen geraakt en misbruikt wordt. Het moge duidelijk zijn dat alleen al het
reputatieverlies, volgend op een lek in de informatiebeveiliging, een schadepost van miljoenen voor een bedrijf kan betekenen. In een aantal gevallen kan het zelfs leiden tot faillissement en bedrijfssluiting. Het snelle bankroet van DigiNotar is
een goed voorbeeld van hoe snel het met een bedrijf afgelopen kan zijn, wanneer identity-managementprocessen falen,
hoewel sommigen erop zullen wijzen dat het hier ook om regelrechte cyberoorlogsvoering ging, waartegen bedrijven en
overheden zich slechts met moeite kunnen verdedigen.
Het misbruik en de resulterende miljardenschade van medewerker en rogue trader Jérôme Kerviel bij het Franse bedrijf
Société Générale is misschien nog wel een beter voorbeeld
van wat er kan misgaan wanneer medewerkers tijdens hun
carrière in het bedrijf te veel toegangsrechten en autorisaties
kunnen verwerven.
‘Wij wisten het niet’, is in zo’n geval geen geldig excuus meer.
Wetgeving als Sarbanes Oxley (SOx) in de USA en Basel II
in Europa hebben hiervoor inmiddels dwingende regels
voorgeschreven. Goed identity management is voortaan een
sine qua non.
Hier volgen enkele voorbeelden van identity-managementrisico’s:
~ Een nieuwe medewerker kan enkele weken na indiensttreding nog steeds niet aan de slag, omdat toegang krijgen tot
belangrijke informatiesystemen zo lang duurt en hij nog
steeds geen smartcard met private key uit de PKI factory
ontvangen heeft.
~ Een medewerker van het accounting department krijgt een
De controller is q.q. verantwoordelijk voor ICT-governance. Hij dient
vast te stellen of de organisatie aan alle relevante aspecten op de
juiste wijze en in de juiste onderlinge verhoudingen de vereiste
aandacht geeft. Daarbij mag van een controller geen specifieke
technische ICT-kennis verwacht worden. Daar zijn andere functionarissen voor. Maar de controller moet wel voldoende zicht hebben op
en inzicht in de processen die in het kader van ICT-governance een
cruciale rol spelen, en ook in de wijze waarop deze processen gestalte krijgen.
Dat geldt in versterkte mate voor identiteitsmanagement, al was het
maar omdat daar functiescheiding en AO belangrijke aspecten zijn.
28
|
CONTROL
~
~
~
~
~
~
nieuwe baan bij de inkoopafdeling en kan facturen van zijn
leverancier nog steeds als ‘betaald’ aanmerken, zelfs voordat
de goederen ontvangen zijn. Hij speelt een bevriende leverancier zo goedkoop krediet toe.
Een externe IT-contractor werkt tegenwoordig voor uw
grootste concurrent. De system logs duiden erop dat zijn
medewerkers na hun vertrek nog steeds toegang tot belangrijke klantengegevens hadden en deze waarschijnlijk voor
hun nieuwe opdrachtgever gekopieerd hebben.
Een ingenieursbureau dat een raffinaderij ontwierp voor
een klant in het Midden-Oosten vermoedt dat een volledige
kopie van de plant in China is nagebouwd, zonder dat het
bureau er een cent voor betaald kreeg.
Een multinational krijgt een grote geldboete in Amerika,
omdat bewezen is dat een van de filialen van het bedrijf
zonder uitvoervergunning materialen verzonden heeft die
voor oorlogsdoeleinden gebruikt zouden kunnen worden
en hier geen vergunning voor aangevraagd was.
Een medewerker van personeelszaken verliest een memory
stick met daarop de niet-versleutelde salarisgegevens van
het gehele personeel. Een krant pikt het verhaal op en
maakt grote ophef over de belachelijke salarissen die dit semioverheidsbedrijf betaalt.
Het externe accountantskantoor weigert de financiële jaarstukken af te tekenen voor gebruik in Amerika, omdat niet
aangetoond kan worden dat het bedrijf voldoet aan alle vereisten van Sarbanes Oxley section 302 and 404.
Een zogenaamde hacker maakt ongeautoriseerde wijzigingen op de homepage van het bedrijf op het internet. Hij laat
onschuldige graffiti achter, maar verwacht een forse betaling van het bedrijf voordat hij vertelt via welke achterdeur
hij het systeem kon binnendringen.
Identity management in control
Alleen al door het gebruikersbeheer vanaf een beheersbare
centrale locatie te regelen, kunnen ondernemingen een stapje dichter komen bij de realisatie van een efficiënter beheer
van identiteiten, bijvoorbeeld via het systeem van single (of
simple) sign-on, dat iedere gerechtigde met één eigen username-passwordcombinatie toegang geeft tot een eigen verzameling toegangsrechten met elk eigen (en vaak ingewikkelde) toegangscodes.
Maar identity and access management (IAM) is de verzamelnaam voor een bredere beveiligingsdiscipline, die belooft om
het beheer van de gebruikerstoegang efficiënter, veiliger en
beheersbaar te maken. IAM kan bedrijven helpen het toegangsbeheer te integreren voor de gehele extended enterprise,
oftewel de onderneming met al haar vertakkingen, met inbegrip van externe en tijdelijke partners en leveranciers, inclusief de toegang tot backofficebronnen als bestandsservers en
toepassingen op externe locaties.
DECEMBER 2011
PE
Permanente
Educatie
Intussen maken dan ook heel wat ondernemingen gebruik
van dit soort software. De meeste toepassingen bieden op beleidsregels (rules) gebaseerd gebruikersbeheer, single sign-on
voor internettoepassingen, op standaarden gebaseerde integratie van identiteiten en rapportage voor compliancedoeleinden. Een groeiend aantal organisaties kiest voor role-based access control (RBAC), waarbij eerst een grondige inventarisatie
gemaakt wordt van de verschillende businessrollen die in de
organisatie nodig zijn. Hierbij bepalen de roles en niet de rules welke toegangsrechten een specifieke user krijgt. Daarbij
moet het bedrijf vanzelfsprekend meteen aangeven welke rollen vanwege functiescheiding (Engels: segregation of duties
conflict), niet bij een en dezelfde persoon mogen liggen.
Cloud computing
Cloud computing diensten staan momenteel volop in de be-
Identity management grijpt diep in
op alle lagen van de organisatie
langstelling, en daar is een goede reden voor. Door over te
stappen naar een cloud computing model met een op een vast
abonnementstarief gebaseerde kostenstructuur, kunnen bedrijven meer grip krijgen op de kapitaaluitgaven en operationele kosten en hun operationele en beheersoverhead reduceren. Bovendien krijgt de organisatie hierdoor de vrijheid om
zich op haar sterkste punt te concentreren. Het
feit dat bedrijven meerwaarde in cloud
computing zien, blijkt wel uit een
enquête die onderzoeksbureau IDG in 2009 onder grote ondernemingen uitvoerde.
Circa 30 procent van
de respondenten bleek
reeds bedrijfstoepassingen aan de cloud te
hebben toevertrouwd. Nog
eens 16 procent gaf aan plannen te
hebben om het volgende jaar naar de
cloud over te stappen.
Wanneer CIO’s, CTO’s en CSO’s gevraagd wordt
naar hun bedenkingen over het fenomeen cloud computing, dan zijn veiligheidsoverwegingen steevast het grote
struikelblok.
Als het al een grote uitdaging is om er in een traditionele ICTomgeving voor te zorgen dat alleen de daartoe gerechtigde medewerkers en partners toegang krijgen tot vertrouwelijke gegeDECEMBER 2011
vens, hoeveel moeilijker wordt dit verhaal dan als we fysiek niet
eens meer 100 procent zeker kunnen weten waar onze gegevens
zich bevinden, op welk continent zelfs? En op een platform dat
we moeten delen met wie weet hoeveel andere organisaties?
Door een beroep te doen op een leverancier die zowel expert
is op het gebied van cloud computing als op het gebied van
identity management en beveiliging, kunnen ondernemingen
profiteren van uiterst geavanceerde beveiliging en een einde
maken aan de noodzaak om additionele hardware en software
aan te schaffen. En zoals bij de meeste cloud computing diensten is het dan juist mogelijk om een oplossing sneller te implementeren, wat goed van pas komt wanneer de bedrijfsvoering om een snelle reactie vraagt.
Zo ondervond een grote fabrikant van farmaceutische producten steeds meer problemen bij het eigen identiteits- en
toegangsbeheer. Zijn overnametempo lag op gemiddeld drie
tot vier nieuwe bedrijven per kwartaal. De integratie- en
ICT-teams realiseerden zich dat ze wel erg veel tijd en geld
kwijt waren aan hun pogingen om de overgeërfde gebruikersdirectories en toepassingen in het totaalsysteem te integreren. Door juist gebruik te maken van IAM in een cloud
computing dienst, kon deze onderneming voor de integratie
van het toegangsbeheer en het voortdurende onderhoud een
beroep doen op experts op het gebied van gedistribueerd
identiteits- en toegangsbeheer. Daardoor kreeg het bedrijf
de vrijheid om zich volledig op de zakelijke aspecten van
zijn overnames te richten.
Implementatie identity management
Identity management grijpt diep in op alle lagen
van de organisatie. Het aloude adagium
eerst organiseren, daarna automatiseren, is nog steeds volop
van kracht.
Het simpelweg kopen van een identity-managementoplossing van een
vertrouwde leverancier als IBM,
SAP of Oracle vormt
natuurlijk slechts een
klein onderdeel of zelfs het
sluitstuk van de benodigde identitymanagementoplossing. De vuistregel geldt
ook hier, dat de software- en hardwarekosten
maar 20 procent van het totale kostenplaatje uitmaken.
Het is verstandig om een identity-managementproject te beginnen met een inventarisatie van de hoeveelheden identitymanagementtechnologie die in de loop der jaren al, soms ongemerkt voor de verantwoordelijke niet-specialisten, in huis
|
29
W W W. F I N A N C E - C O N T R O L . N L
&
FINANCE
gebracht is onder de vleugels van eerdere grote automatiseringsprojecten. Menig groter bedrijf zal prettig verrast vaststellen dat het de nodige identity-managementsoftwarelicenties allang en niet of onderbenut in huis heeft via een
enterprise software licence agreement gesloten met een bekende en vertrouwde leverancier.
De bescherming van bedrijfs- en
klantgegevens vormt dezer dagen
een van de grootste prioriteiten
voor bedrijven
Het heeft in dat geval nauwelijks zin dat de ICT-afdeling alsnog een aanbestedings- en evaluatieproces begint. De uitzondering bevestigt ook hier de regel, maar via recente en minder
recente overnames van specialistische bedrijven kunnen alle
grote wereldnamen op softwaregebied (IBM, Microsoft, Oracle, CA en SAP) inmiddels een complete identity-managementsuite bieden aan hun klanten. Een relatief rimpelloze integratie met andere bedrijfskritische informatiesystemen van
dezelfde leverancier is dan in principe verzekerd.
Kenden bedrijven voorheen toegangsrechten per applicatie toe,
meestal op basis van een rule (if…then…-toestemming), tegenwoordig prefereren ze RBAC, Role Based Access Control.
Het kenmerk van RBAC is dat individuen uitsluitend rechten
krijgen op basis van een vorm van groepslidmaatschap, op basis van de rol die ze hebben binnen een organisatie of bedrijfsproces. Ook de permissies op objecten/functies in informatiesystemen kunnen worden gegroepeerd in rollen.
Door het koppelen van de rol van de gebruiker in de organisatie aan een rol in een informatiesysteem, is het eenvoudig
om de effectieve rechten van een gebruiker te bepalen. Het
daadwerkelijk toekennen van rechten en permissies aan een
gebruiker en het verstrekken van gerelateerde objecten (tokens en dergelijke) noemt men provisioning.
CONTROL
lossing kan bedrijven helpen met het beheer van gebruikersen toegangsrechten en tegelijk kosten en risico’s terugdringen.
Daarnaast maakt IAM het mogelijk om nieuwe collega’s, als
individu of als groep, sneller productief te maken, waardoor ze
sneller een bijdrage aan de onderneming kunnen leveren.
Voor controllers betekent dit dat ze zich ook in (de procesmatige kant van) IAM zullen moeten gaan verdiepen. Juist bij het
inrichten van een voor de organisatie geschikt rollenmodel en
bijbehorende functiescheidingen (segregation of duties) moeten zij een belangrijke eigen rol spelen.
Doen ze dat niet, dan bestaat er een reële kans dat ze er veel te
laat achterkomen dat hun marketingafdeling gevoelige klanteninformatie louter met gebruikersnaam en wachtwoord
heeft beveiligd, zelfs al is de inhoud ondergebracht in ‘de
cloud’. Helaas is dit nog altijd de meest voorkomende en gemakkelijkst te hacken authenticatiemethode.
Literatuur
~ Verizon (2010), ‘2010 Data Breach Investigations Report’, <www.verizonbusiness.
com/resources/reports/rp_2010-DBIR-combined-reports_en_xg.pdf>.
Drs. Marcus Lasance is freelance consultant op het gebied van
Identity and Access Management. Van 2002 to 2007 was hij lid
van de directieraad van MaXware in Noorwegen. In 2007 werd
MaXware overgenomen door SAP AG. De Identity Management software suite, mede ontworpen onder leiding van Marcus, vormt nu onderdeel van de SAP Netweaver IdM product
set. Hij studeerde op Nyenrode University en is tevens een MBA
graduate van RSM Rotterdam School of Management. Hij is
een bekend spreker en deelnemer in de verschillende Identity
Management conferenties die plaatsvinden in Nederland en ver
daarbuiten. Marcus Blog kan gelezen worden op http://identityspace.wordpress.com.
Ter afsluiting
De bescherming van bedrijfs- en klantgegevens vormt dezer
dagen een van de grootste prioriteiten voor bedrijven. Naarmate organisaties hun systemen voor meer en meer diverse
‘gebruikers’ openstellen, wordt het belangrijker om adequate
aandacht te besteden aan identiteits- en toegangsbeheer. Als
gevolg van de financiële druk, ontstaan door de crisis, kan het
verleidelijk zijn om IAM lager op de prioriteitenlijst te zetten.
Het beschermen van gevoelige bedrijfs- en klantgegevens dient
echter een hoge prioriteit te behouden. Een degelijke IAM-op-
30
|
DECEMBER 2011

Vergelijkbare documenten

het gehele artikel ( 159 KB )

het gehele artikel ( 159 KB ) zich bevinden, op welk continent zelfs? En op een platform dat we moeten delen met wie weet hoeveel andere organisaties? Door een beroep te doen op een leverancier die zowel expert is op het gebied...

Nadere informatie