Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)

Click here to load reader

  • date post

    22-May-2015
  • Category

    Technology

  • view

    408
  • download

    0

Embed Size (px)

description

Presentatie over ervaringen uit de praktijk van Identity & Access Governance implementaties (Roundtable van Everett en Verdonck, Klooster & Associates op 11 december 2012 voor klanten)

Transcript of Identity & Access Governance - Ervaringen uit de praktijk (Roundtable Event 20121211)

  • 1. Identity & Access Governanceervaringen uit de praktijkThomas van Vooren, thomas @ everett.nlRoundtable 11 december 2012 www.everett.nl www.everett.nl

2. Inhoud Opkomst van Identity & Access Governance Praktische werking Identity & Access Governance Aanpak van de realisatie Best practices en aandachtspunten Conclusies2 3. Opkomst van Identity & Access Governance 3 4. Opkomst van Identity & Access Governance Compliance en risico management in toenemende mate van invloed opbestedingen: Toegenomen druk vanuit: Toezichthouders (wet- en regelgeving). Key stakeholders zoals aandeelhouders (zorgen over fraude en kwetsbaarheid imago), klanten en publieke opinie (zorgen over privacy). Intrinsieke motivatie voor risico beheersing: Voorkomen fraude en beschermen van intellectueel eigendom. De business case voor Identity & Access Management verandert: Meer focus op security en compliance. Business enablement en kosteneffectiviteit niet langer de primaire drijfveer.4 5. Opkomst van Identity & Access Governance De essentie: Het continu aantoonbaar beheersen van de toegang totinformatiesystemen: in control zijn. Maar nog steeds op een kosteneffectieve manier en in balans met kansen enbehoeftes van de organisatie. In control door: Autorisatieprofielen te bepalen in lijn met beleid en deze vast te leggen. De toegestane autorisaties af te dwingen in de informatiesystemen. Te controleren en te rapporteren over praktijk versus beleid. De toegangsrechten of profielen bij te stellen waar nodig. 5 6. Opkomst van Identity & Access Governance Aanpak tot op heden preventief met traditioneel Identity & AccessManagement, veelal met kostenefficientie en business enablement alsdriver. Actief aanvragen en intrekken van toegang, veelal door leidinggevenden; Geautomatiseerde verwerking in doelsystemen. Karakteristieken: Beperkt bereik van informatiesystemen: lang niet alle kritieke systemenaangesloten. Hechte koppeling met systemen: integratie in plaats van business projecten; Fire & forget inregelen van toegang: beperkt tot geen controle enbijstelling. Geen rapportage of audit trail: niet aantoonbaar in control. Gericht op (geautomatiseerd) uitvoeren van IT processen en niet hetbesturen. 6 7. Opkomst van Identity & Access Governance Hanteren van een detectieve aanpak gericht op controle vantoegangsrechten achteraf, opvolging van correcties en rapportagedaarover is nodig. Deze controle wordt ook wel certificeren genoemd(certification/attestation).Het certificeringsproces wordt vorm gegeven door: Te bepalen wie welke toegangsrechten heeft. De toegangsrechten weer te geven in begrijpelijke termen. Helder inzicht te geven in overtredingen van business rules en risicos. Het voorleggen van toegangsrechten ter beoordeling aan de relevanteverantwoordelijken. Het initiren van wijzigingen op toegangsrechten zodat deze inovereenstemming komen met het toegangsbeleid. 7 8. Opkomst van Identity & Access Governance tooling Bedrijven hebben soms al processen en tools hier voor ingericht, echter: De processen zijn handmatig, kosten daardoor veel tijd en zijn erg vatbaarvoor fouten. Toegangsrechten zijn niet begrijpelijk voor de business verantwoordelijkendie ze moeten beoordelen. Dit leidt tot fouten in de beoordeling en rubberstamping. Bewaking opvolging van correcties en intrekkingen is nagenoeg onmogelijk. Rapportages zijn sterk gefragmenteerd qua vorm en inhoud overinformatiesystemen en organisatiedelen heen. IAG tooling addresseert deze en andere IAM uitdagingen.8 9. Praktische werking 9 10. Praktische werking IAG tooling (C)ISOInternal Audit Risk Officer AccountantCompliance OfficerToezichthouder Business Owners System OwnersFunctioneel beheer Managers ICT/Accountbeheer Business Owners HelpdeskSystem Owners10 11. Praktische werking IAG tooling - Administreren Autorisatieprofielen: rolgebaseerde verzamelingen toegangsrechten. Gelaagdheid rollen (business en IT rollen) en role-mining functionaliteit. Business glossary: betekenisvolle beschrijving van toegangsrechten. Handmatig invoeren of geautomatiseerd inlezen. Busines rules: beperkingen die van toepassing zijn in het beschikken overtoegangsrechten (bijvoorbeeld functiescheiding). Risicomodel: de mate waarin het beschikken over toegangsrechten of hetovertreden van business rules bijdraagt aan een risico score. Gewicht voor toegangsrechten (rollen en losse systeemautorisaties) en businessrules, wegingsfactoren op basis van beheersing in praktijk. 11 12. Praktische werking IAG tooling - Controleren De IAG tooling leest periodiek alle gegevens over accounts entoegangsrechten uit de kritieke informatiesystemen. Lichtgewicht integratie, correlatie gegevens naar identiteit. Business rules worden gevalueerd: ad-hoc afhandeling vanovertredingen. Zowel de toekenning als samenstelling van toegangsrechten kunnenperiodiek voorgelegd worden ter beoordeling. Bijvoorbeeld: Toekenning: managers (persoonsgebonden toegang), system owners (nietpersoonsgebonden toegang). Samenstelling: business owners (autorisatieprofielen/rollen) en systemowners (systeemautorisaties). 12 13. Praktische werking IAG tooling - Corrigeren Handmatige opvolging intrekkingen: Via integratie met IT Service Management systeem (ticketing) en helpdesk. Via functionele e-mail postbussen van functioneel beheer of ICT/accountbeheer. Geautomatiseerde verwerking intrekking: Direct (real-time) verwerking in het informatiesysteem. Op basis van business case (hoge mutatiefrequentie, grote aantallenmedewerkers, risicoclassificatie). Eventueel met behulp van bestaande in-house Identity Managementoplossing (provisioning), afhankelijk van IAG tool ook met IAG tool mogelijk.13 14. Praktische werking IAG (tooling) - Rapporteren Monitoren: Voortgang van de certificering (via rapportage of dashboards). Opvolging eerdere intrekkingen (in nieuwe certificeringen of rapportage). Beide vaak ondersteund door herinnering- en escalatie e-mail notificaties. Met name voor hoger management, (C)ISO en security operation teams. Rapporteren: SOLL-IST rapportage. Audit trail van certificeringen (afleggen verantwoordelijkheid). Met name voor internal audit, accountant of toezichthouder. 14 15. Fasering realisatie15 16. Fasering realisatie van een IAG oplossing Opbouwen: Inlezen toegangsrechten IST-situatie en die betekenisvol maken. Belangrijkste business rules opnemen voor toetsing (met name voor ad-hoc afhandeling). Beperkt aantal informatiesystemen en business rules: eerst ervaring opdoen. Basis certificeringen (managers en system owners). Uitbouwen: Meer informatiesystemen en business rules. Risico gebaseerde aanpak (bijvoorbeeld in certificeringen, periodiek en ad- hoc) 16 17. Fasering realisatie van een IAG oplossing Optimaliseren: Vastleggen beoogde autorisatieprofielen op basis van rollen: In plaats van / in aanvulling op betekenisvolle toegangsrechten. Als vastlegging van de SOLL situatie. Ad-hoc certificeringen op basis van door- en uitstroomproces; SOLL-IST vergelijking (in certificering en rapportages). Optioneel: integratie IAM en IAG: Aansluiten op, of realisatie van, Identity Management voor het beheersenvan de identity lifecycle (preventief verwerken van in-, door-, en uitstroom). Introductie actief aanvragen en intrekken van toegang (preventief). Geautomatiseerde verwerking toekenning en intrekking ininformatiesystemen (op basis van business case). 17 18. Best practices en aandachtspunten18 19. Best practices Stel aansluitcriteria op: wat doe je procedureel (handmatig) en wat doe jemet IAG tooling. Sluit zo lichtgewicht mogelijk elk informatiesysteem aan: geen hechte(live) integratie maar koppeling op basis van inlezen tekstbestanden. Stel een data-extractieformaat op voor de tekstbestanden: standaardiseer! Hergebruik in-house IAM provisioning oplossing. Gebruik een proces volgt tool aanpak: bij bestaande processen: dezeaanpassen waar nodig en mogelijk. Bestaande use cases in live demos afstemmen.19 20. Best practices Gebruik beschrijvingen om toegangsrechten betekenisvol te maken,gebruik pas later rollen. Simuleer effect van business rules in een aparte business IAG omgevingvooraf aan de in gebruik name. Alloceer functioneel beheerders: eerste aanspreekpunt verkrijgenextracten en uitwerken autorisatieprofielen en business rules. Let bij keuze voor een IAG oplossing ook op degebruikersvriendelijkheid: certificeren blijft een moetje. 20 21. Aandachtspunten Ook IAG heeft een kwalitatief goede bron voor identiteiten nodig! Zorg voor representatieve gegevens ten behoeve van simulatie businessrules en (acceptatie)testen. Wie certificeert hoger management? En laat je ze zelf hun medewerkerscertificeren? Infrastructuur laag van informatiesystemen bevatten ook toegangsrechten,met vaak hoger risicoprofiel dan informatiesysteem zelf. Schaling IAG oplossing: het draait om de data en daar is er veel van! 21 22. Tot slot IAG (tooling) is een effectieve manier om in control te komen. Maar het gaat bij IAG over meer dan alleen het vinkje voor detoezichthouder, het gaat over het beheersen van risicos! IAG is geen vervanger van IAM : IAM blijft nodig voor de uitvoering, IAGintroduceert de nodige (be)sturing. IAG gaat niet alleen over implementatie van IAG tools in plaats van IAMtools; het gaat ook over implementatie van IAG processen. 22 23. Vragen 23