Upload
thomas-van-vooren
View
409
Download
0
Embed Size (px)
DESCRIPTION
Presentatie over ervaringen uit de praktijk van Identity & Access Governance implementaties (Roundtable van Everett en Verdonck, Klooster & Associates op 11 december 2012 voor klanten)
Citation preview
www.everett.nl www.everett.nl
Identity & Access Governance
ervaringen uit de praktijk
Thomas van Vooren, thomas @ everett.nl
Roundtable 11 december 2012
2
Inhoud
▶ Opkomst van Identity & Access Governance
▶ Praktische werking Identity & Access Governance
▶ Aanpak van de realisatie
▶ Best practices en aandachtspunten
▶ Conclusies
3
Opkomst van Identity & Access Governance
4
Opkomst van Identity & Access Governance
▶ Compliance en risico management in toenemende mate van invloed op
bestedingen:
Toegenomen druk vanuit:
Toezichthouders (wet- en regelgeving).
Key stakeholders zoals aandeelhouders (zorgen over fraude en kwetsbaarheid
imago), klanten en publieke opinie (zorgen over privacy).
Intrinsieke motivatie voor risico beheersing:
Voorkomen fraude en beschermen van intellectueel eigendom.
▶ De business case voor Identity & Access Management verandert:
Meer focus op security en compliance.
Business enablement en kosteneffectiviteit niet langer de primaire drijfveer.
5
Opkomst van Identity & Access Governance
▶ De essentie:
Het continu aantoonbaar beheersen van de toegang tot
informatiesystemen: “in control” zijn.
Maar nog steeds op een kosteneffectieve manier en in balans met kansen en
behoeftes van de organisatie.
▶ In control door:
Autorisatieprofielen te bepalen in lijn met beleid en deze vast te leggen.
De toegestane autorisaties af te dwingen in de informatiesystemen.
Te controleren en te rapporteren over praktijk versus beleid.
De toegangsrechten of profielen bij te stellen waar nodig.
6
Opkomst van Identity & Access Governance
▶ Aanpak tot op heden preventief met “traditioneel” Identity & Access
Management, veelal met kostenefficientie en business enablement als
driver.
Actief aanvragen en intrekken van toegang, veelal door leidinggevenden;
Geautomatiseerde verwerking in doelsystemen.
▶ Karakteristieken:
Beperkt bereik van informatiesystemen: lang niet alle kritieke systemen
aangesloten.
Hechte koppeling met systemen: integratie in plaats van business projecten;
Fire & forget inregelen van toegang: beperkt tot geen controle en
bijstelling.
Geen rapportage of audit trail: niet “aantoonbaar” in control.
Gericht op (geautomatiseerd) uitvoeren van IT processen en niet het
besturen.
7
Opkomst van Identity & Access Governance
▶ Hanteren van een detectieve aanpak gericht op controle van
toegangsrechten “achteraf”, opvolging van correcties en rapportage
daarover is nodig.
▶ Deze controle wordt ook wel certificeren genoemd
(certification/attestation).
Het certificeringsproces wordt vorm gegeven door:
Te bepalen wie welke toegangsrechten heeft.
De toegangsrechten weer te geven in begrijpelijke termen.
Helder inzicht te geven in overtredingen van business rules en risico’s.
Het voorleggen van toegangsrechten ter beoordeling aan de relevante
verantwoordelijken.
Het initiëren van wijzigingen op toegangsrechten zodat deze in
overeenstemming komen met het toegangsbeleid.
8
Opkomst van Identity & Access Governance tooling
▶ Bedrijven hebben soms al processen en tools hier voor ingericht, echter:
De processen zijn handmatig, kosten daardoor veel tijd en zijn erg vatbaar
voor fouten.
Toegangsrechten zijn niet begrijpelijk voor de business verantwoordelijken
die ze moeten beoordelen. Dit leidt tot fouten in de beoordeling en “rubber
stamping”.
Bewaking opvolging van correcties en intrekkingen is nagenoeg onmogelijk.
Rapportages zijn sterk gefragmenteerd qua vorm en inhoud over
informatiesystemen en organisatiedelen heen.
▶ IAG tooling addresseert deze en andere IAM uitdagingen.
9
Praktische werking
10
(C)ISO Risk Officer Compliance Officer Business Owners System Owners
Managers Business Owners System Owners
Functioneel beheer ICT/Accountbeheer
Helpdesk
Internal Audit Accountant
Toezichthouder
Praktische werking IAG tooling
11
Praktische werking IAG tooling - Administreren
▶ Autorisatieprofielen: rolgebaseerde verzamelingen toegangsrechten.
Gelaagdheid rollen (business en IT rollen) en “role-mining” functionaliteit.
▶ Business glossary: betekenisvolle beschrijving van toegangsrechten.
Handmatig invoeren of geautomatiseerd inlezen.
▶ Busines rules: beperkingen die van toepassing zijn in het beschikken over
toegangsrechten (bijvoorbeeld functiescheiding).
▶ Risicomodel: de mate waarin het beschikken over toegangsrechten of het
overtreden van business rules bijdraagt aan een risico score.
Gewicht voor toegangsrechten (rollen en losse systeemautorisaties) en business
rules, wegingsfactoren op basis van beheersing in praktijk.
12
Praktische werking IAG tooling - Controleren
▶ De IAG tooling leest periodiek alle gegevens over accounts en
toegangsrechten uit de kritieke informatiesystemen.
Lichtgewicht integratie, correlatie gegevens naar identiteit.
▶ Business rules worden geëvalueerd: ad-hoc afhandeling van
overtredingen.
▶ Zowel de toekenning als samenstelling van toegangsrechten kunnen
periodiek voorgelegd worden ter beoordeling. Bijvoorbeeld:
Toekenning: managers (persoonsgebonden toegang), system owners (niet
persoonsgebonden toegang).
Samenstelling: business owners (autorisatieprofielen/rollen) en system
owners (systeemautorisaties).
13
Praktische werking IAG tooling - Corrigeren
▶ Handmatige opvolging intrekkingen:
Via integratie met IT Service Management systeem (“ticketing”) en helpdesk.
Via functionele e-mail postbussen van functioneel beheer of ICT/account
beheer.
▶ Geautomatiseerde verwerking intrekking:
Direct (“real-time”) verwerking in het informatiesysteem.
Op basis van business case (hoge mutatiefrequentie, grote aantallen
medewerkers, risicoclassificatie).
Eventueel met behulp van bestaande in-house Identity Management
oplossing (provisioning), afhankelijk van IAG tool ook met IAG tool mogelijk.
14
Praktische werking IAG (tooling) - Rapporteren
▶ Monitoren:
Voortgang van de certificering (via rapportage of dashboards).
Opvolging eerdere intrekkingen (in nieuwe certificeringen of rapportage).
Beide vaak ondersteund door herinnering- en escalatie e-mail notificaties.
Met name voor hoger management, (C)ISO en security operation teams.
▶ Rapporteren:
SOLL-IST rapportage.
Audit trail van certificeringen (afleggen verantwoordelijkheid).
Met name voor internal audit, accountant of toezichthouder.
15
Fasering realisatie
16
Fasering realisatie van een IAG oplossing
▶ Opbouwen:
Inlezen toegangsrechten IST-situatie en die betekenisvol maken.
Belangrijkste business rules opnemen voor toetsing (met name voor ad-hoc
afhandeling).
Beperkt aantal informatiesystemen en business rules: eerst ervaring opdoen.
Basis certificeringen (managers en system owners).
▶ Uitbouwen:
Meer informatiesystemen en business rules.
Risico gebaseerde aanpak (bijvoorbeeld in certificeringen, periodiek en ad-
hoc)
17
Fasering realisatie van een IAG oplossing
▶ Optimaliseren:
Vastleggen beoogde autorisatieprofielen op basis van rollen:
In plaats van / in aanvulling op betekenisvolle toegangsrechten.
Als vastlegging van de SOLL situatie.
Ad-hoc certificeringen op basis van door- en uitstroomproces;
SOLL-IST vergelijking (in certificering en rapportages).
▶ Optioneel: integratie IAM en IAG:
Aansluiten op, of realisatie van, Identity Management voor het beheersen
van de identity lifecycle (preventief verwerken van in-, door-, en uitstroom).
Introductie actief aanvragen en intrekken van toegang (preventief).
Geautomatiseerde verwerking toekenning en intrekking in
informatiesystemen (op basis van business case).
18
Best practices en aandachtspunten
19
Best practices
▶ Stel aansluitcriteria op: wat doe je procedureel (handmatig) en wat doe je
met IAG tooling.
▶ Sluit zo lichtgewicht mogelijk elk informatiesysteem aan: geen hechte
(“live”) integratie maar koppeling op basis van inlezen tekstbestanden.
▶ Stel een data-extractieformaat op voor de tekstbestanden: standaardiseer!
▶ Hergebruik in-house IAM provisioning oplossing.
▶ Gebruik een “proces volgt tool” aanpak: bij bestaande processen: deze
aanpassen waar nodig en mogelijk.
▶ Bestaande use cases in live demos afstemmen.
20
Best practices
▶ Gebruik beschrijvingen om toegangsrechten betekenisvol te maken,
gebruik pas later rollen.
▶ Simuleer effect van business rules in een aparte business IAG omgeving
vooraf aan de in gebruik name.
▶ Alloceer functioneel beheerders: eerste aanspreekpunt verkrijgen
extracten en uitwerken autorisatieprofielen en business rules.
▶ Let bij keuze voor een IAG oplossing ook op de
gebruikersvriendelijkheid: certificeren blijft een “moetje”.
21
Aandachtspunten
▶ Ook IAG heeft een kwalitatief goede bron voor identiteiten nodig!
▶ Zorg voor representatieve gegevens ten behoeve van simulatie business
rules en (acceptatie)testen.
▶ Wie certificeert hoger management? En laat je ze zelf hun medewerkers
certificeren?
▶ Infrastructuur laag van informatiesystemen bevatten ook toegangsrechten,
met vaak hoger risicoprofiel dan informatiesysteem zelf.
▶ Schaling IAG oplossing: het draait om de data… en daar is er veel van!
22
Tot slot
▶ IAG (tooling) is een effectieve manier om in control te komen.
▶ Maar het gaat bij IAG over meer dan alleen het vinkje voor de
toezichthouder, het gaat over het beheersen van risico’s!
▶ IAG is geen vervanger van IAM : IAM blijft nodig voor de uitvoering, IAG
introduceert de nodige (be)sturing.
▶ IAG gaat niet alleen over implementatie van IAG tools in plaats van IAM
tools; het gaat ook over implementatie van IAG processen.
23
Vragen