www.everett.nl www.everett.nl

Identiteit – en toegangsbeheer als hulpmiddel voor IT-compliance en control

Thomas van Vooren thomas at everett dot nl

2

Over Everett

▶  Consulting & system integrator, advies en implementatie van middleware oplossingen op het gebied van: §  Identiteit en toegangsbeheer (Identity & Access Management, IAM);

§  Portalen en gepersonaliseerde dienstverlening;

§  Omgevingen voor samenwerking (Collaboration);

§  Systeem integratie (SOA).

3

Over mijzelf

4

Interne bedreigingen en de relatie met IAM

▶  Categoriëen bedreigingen toegang tot informatie: §  Onbewust: laptop in de trein vergeten, usb-stick verloren, computers bij het

huisvuil, …;

§  Bewust: sabotage en verstoring van de bedrijfsvoering, fraude en financiële- en imagoschade, ongeoorloofde transacties en financiële schade, inbraak leidt tot privacy issues, ….

▶  Noodzaak voor beveiliging van de toegang tot de informatie(systemen) op basis van adequaat identiteit en toegangsbeheer;

▶  Rol en toepassing van identiteit en toegangsbeheer onder invloed van: §  Meer aandacht voor logische toegangsbeveiliging en het terugdringen van

risico’s;

§  Toenemende vraag voor transparantie hoe toegang tot stand komt en gebruikt wordt;

§  Toenemende wet- en regelgeving en intern (beveilgings)beleid.

5

Uitdagingen bij identiteit en toegangsbeheer

▶  Identiteit en toegangsbeheer: §  Ken de gebruiker: herleidbaar tot een kwalitatieve (bron)registratie;

§  Herken de gebruiker: identificatie en verificatie;

§  Weet wat de gebruiker mag;

§  Weet wat de gebruiker doet;

§  Controleer en evalueer praktijk met beleid en stel bij.

▶  Uitdagingen op het gebied van identiteit- en toegangsbeheer: hoe kan ik…? §  … autorisaties bepalen in lijn met (toegangs)beleid en deze administreren?

§  … de toegestane autorisaties afdwingen in de toegang tot mijn informatie (systemen)?

§  … controleren en rapporteren over praktijk versus beleid?

§  … toegangsbepalingen bijstellen waar nodig?

6

Welke IAM middelen adresseren deze uitdagingen?

Identity

Vaststellen en beheer(s)en: •  Identiteitenbeheer •  Gedelegeerd beheer •  Self Service •  Autorisatiebeheer

Uitvoeren en afdwingen: •  Provisioning •  Logische toegangscontrole (access management)

Controleren en detecteren: §  Compliance dashboards §  Security Incident & Event Monitoring §  Soll-Ist vergelijking §  Periodieke toegangverificatie (attestatie/ certificering)

7

Aanpak bij de uitrol van Identiteit en toegangsbeheer

▶  Identificeer the belangrijkste issues en kies de juiste IAM middelen: §  “The right horse for your next course”.

▶  Middelen zijn een combinatie van proces, organisatie en technologie;

▶  Bepaal de stip op de horizon en werk via een programmatische aanpak (roadmap) welke bedrijfswaarde in elke stap bevat; §  … lever ‘just-in-time’ oplossingen gedurende de roadmap en lever waarde tijdig en

iteratief.