www.everett.nl www.everett.nl

Identity & Access Governance

ervaringen uit de praktijk

Thomas van Vooren, thomas @ everett.nl

Roundtable 11 december 2012

2

Inhoud

▶ Opkomst van Identity & Access Governance

▶ Praktische werking Identity & Access Governance

▶ Aanpak van de realisatie

▶ Best practices en aandachtspunten

▶ Conclusies

3

Opkomst van Identity & Access Governance

4

Opkomst van Identity & Access Governance

▶ Compliance en risico management in toenemende mate van invloed op

bestedingen:

Toegenomen druk vanuit:

Toezichthouders (wet- en regelgeving).

Key stakeholders zoals aandeelhouders (zorgen over fraude en kwetsbaarheid

imago), klanten en publieke opinie (zorgen over privacy).

Intrinsieke motivatie voor risico beheersing:

Voorkomen fraude en beschermen van intellectueel eigendom.

▶ De business case voor Identity & Access Management verandert:

Meer focus op security en compliance.

Business enablement en kosteneffectiviteit niet langer de primaire drijfveer.

5

Opkomst van Identity & Access Governance

▶ De essentie:

Het continu aantoonbaar beheersen van de toegang tot

informatiesystemen: “in control” zijn.

Maar nog steeds op een kosteneffectieve manier en in balans met kansen en

behoeftes van de organisatie.

▶ In control door:

Autorisatieprofielen te bepalen in lijn met beleid en deze vast te leggen.

De toegestane autorisaties af te dwingen in de informatiesystemen.

Te controleren en te rapporteren over praktijk versus beleid.

De toegangsrechten of profielen bij te stellen waar nodig.

6

Opkomst van Identity & Access Governance

▶ Aanpak tot op heden preventief met “traditioneel” Identity & Access

Management, veelal met kostenefficientie en business enablement als

driver.

Actief aanvragen en intrekken van toegang, veelal door leidinggevenden;

Geautomatiseerde verwerking in doelsystemen.

▶ Karakteristieken:

Beperkt bereik van informatiesystemen: lang niet alle kritieke systemen

aangesloten.

Hechte koppeling met systemen: integratie in plaats van business projecten;

Fire & forget inregelen van toegang: beperkt tot geen controle en

bijstelling.

Geen rapportage of audit trail: niet “aantoonbaar” in control.

Gericht op (geautomatiseerd) uitvoeren van IT processen en niet het

besturen.

7

Opkomst van Identity & Access Governance

▶ Hanteren van een detectieve aanpak gericht op controle van

toegangsrechten “achteraf”, opvolging van correcties en rapportage

daarover is nodig.

▶ Deze controle wordt ook wel certificeren genoemd

(certification/attestation).

Het certificeringsproces wordt vorm gegeven door:

Te bepalen wie welke toegangsrechten heeft.

De toegangsrechten weer te geven in begrijpelijke termen.

Helder inzicht te geven in overtredingen van business rules en risico’s.

Het voorleggen van toegangsrechten ter beoordeling aan de relevante

verantwoordelijken.

Het initiëren van wijzigingen op toegangsrechten zodat deze in

overeenstemming komen met het toegangsbeleid.

8

Opkomst van Identity & Access Governance tooling

▶ Bedrijven hebben soms al processen en tools hier voor ingericht, echter:

De processen zijn handmatig, kosten daardoor veel tijd en zijn erg vatbaar

voor fouten.

Toegangsrechten zijn niet begrijpelijk voor de business verantwoordelijken

die ze moeten beoordelen. Dit leidt tot fouten in de beoordeling en “rubber

stamping”.

Bewaking opvolging van correcties en intrekkingen is nagenoeg onmogelijk.

Rapportages zijn sterk gefragmenteerd qua vorm en inhoud over

informatiesystemen en organisatiedelen heen.

▶ IAG tooling addresseert deze en andere IAM uitdagingen.

9

Praktische werking

10

(C)ISO Risk Officer Compliance Officer Business Owners System Owners

Managers Business Owners System Owners

Functioneel beheer ICT/Accountbeheer

Helpdesk

Internal Audit Accountant

Toezichthouder

Praktische werking IAG tooling

11

Praktische werking IAG tooling - Administreren

▶ Autorisatieprofielen: rolgebaseerde verzamelingen toegangsrechten.

Gelaagdheid rollen (business en IT rollen) en “role-mining” functionaliteit.

▶ Business glossary: betekenisvolle beschrijving van toegangsrechten.

Handmatig invoeren of geautomatiseerd inlezen.

▶ Busines rules: beperkingen die van toepassing zijn in het beschikken over

toegangsrechten (bijvoorbeeld functiescheiding).

▶ Risicomodel: de mate waarin het beschikken over toegangsrechten of het

overtreden van business rules bijdraagt aan een risico score.

Gewicht voor toegangsrechten (rollen en losse systeemautorisaties) en business

rules, wegingsfactoren op basis van beheersing in praktijk.

12

Praktische werking IAG tooling - Controleren

▶ De IAG tooling leest periodiek alle gegevens over accounts en

toegangsrechten uit de kritieke informatiesystemen.

Lichtgewicht integratie, correlatie gegevens naar identiteit.

▶ Business rules worden geëvalueerd: ad-hoc afhandeling van

overtredingen.

▶ Zowel de toekenning als samenstelling van toegangsrechten kunnen

periodiek voorgelegd worden ter beoordeling. Bijvoorbeeld:

Toekenning: managers (persoonsgebonden toegang), system owners (niet

persoonsgebonden toegang).

Samenstelling: business owners (autorisatieprofielen/rollen) en system

owners (systeemautorisaties).

13

Praktische werking IAG tooling - Corrigeren

▶ Handmatige opvolging intrekkingen:

Via integratie met IT Service Management systeem (“ticketing”) en helpdesk.

Via functionele e-mail postbussen van functioneel beheer of ICT/account

beheer.

▶ Geautomatiseerde verwerking intrekking:

Direct (“real-time”) verwerking in het informatiesysteem.

Op basis van business case (hoge mutatiefrequentie, grote aantallen

medewerkers, risicoclassificatie).

Eventueel met behulp van bestaande in-house Identity Management

oplossing (provisioning), afhankelijk van IAG tool ook met IAG tool mogelijk.

14

Praktische werking IAG (tooling) - Rapporteren

▶ Monitoren:

Voortgang van de certificering (via rapportage of dashboards).

Opvolging eerdere intrekkingen (in nieuwe certificeringen of rapportage).

Beide vaak ondersteund door herinnering- en escalatie e-mail notificaties.

Met name voor hoger management, (C)ISO en security operation teams.

▶ Rapporteren:

SOLL-IST rapportage.

Audit trail van certificeringen (afleggen verantwoordelijkheid).

Met name voor internal audit, accountant of toezichthouder.

15

Fasering realisatie

16

Fasering realisatie van een IAG oplossing

▶ Opbouwen:

Inlezen toegangsrechten IST-situatie en die betekenisvol maken.

Belangrijkste business rules opnemen voor toetsing (met name voor ad-hoc

afhandeling).

Beperkt aantal informatiesystemen en business rules: eerst ervaring opdoen.

Basis certificeringen (managers en system owners).

▶ Uitbouwen:

Meer informatiesystemen en business rules.

Risico gebaseerde aanpak (bijvoorbeeld in certificeringen, periodiek en ad-

hoc)

17

Fasering realisatie van een IAG oplossing

▶ Optimaliseren:

Vastleggen beoogde autorisatieprofielen op basis van rollen:

In plaats van / in aanvulling op betekenisvolle toegangsrechten.

Als vastlegging van de SOLL situatie.

Ad-hoc certificeringen op basis van door- en uitstroomproces;

SOLL-IST vergelijking (in certificering en rapportages).

▶ Optioneel: integratie IAM en IAG:

Aansluiten op, of realisatie van, Identity Management voor het beheersen

van de identity lifecycle (preventief verwerken van in-, door-, en uitstroom).

Introductie actief aanvragen en intrekken van toegang (preventief).

Geautomatiseerde verwerking toekenning en intrekking in

informatiesystemen (op basis van business case).

18

Best practices en aandachtspunten

19

Best practices

▶ Stel aansluitcriteria op: wat doe je procedureel (handmatig) en wat doe je

met IAG tooling.

▶ Sluit zo lichtgewicht mogelijk elk informatiesysteem aan: geen hechte

(“live”) integratie maar koppeling op basis van inlezen tekstbestanden.

▶ Stel een data-extractieformaat op voor de tekstbestanden: standaardiseer!

▶ Hergebruik in-house IAM provisioning oplossing.

▶ Gebruik een “proces volgt tool” aanpak: bij bestaande processen: deze

aanpassen waar nodig en mogelijk.

▶ Bestaande use cases in live demos afstemmen.

20

Best practices

▶ Gebruik beschrijvingen om toegangsrechten betekenisvol te maken,

gebruik pas later rollen.

▶ Simuleer effect van business rules in een aparte business IAG omgeving

vooraf aan de in gebruik name.

▶ Alloceer functioneel beheerders: eerste aanspreekpunt verkrijgen

extracten en uitwerken autorisatieprofielen en business rules.

▶ Let bij keuze voor een IAG oplossing ook op de

gebruikersvriendelijkheid: certificeren blijft een “moetje”.

21

Aandachtspunten

▶ Ook IAG heeft een kwalitatief goede bron voor identiteiten nodig!

▶ Zorg voor representatieve gegevens ten behoeve van simulatie business

rules en (acceptatie)testen.

▶ Wie certificeert hoger management? En laat je ze zelf hun medewerkers

certificeren?

▶ Infrastructuur laag van informatiesystemen bevatten ook toegangsrechten,

met vaak hoger risicoprofiel dan informatiesysteem zelf.

▶ Schaling IAG oplossing: het draait om de data… en daar is er veel van!

22

Tot slot

▶ IAG (tooling) is een effectieve manier om in control te komen.

▶ Maar het gaat bij IAG over meer dan alleen het vinkje voor de

toezichthouder, het gaat over het beheersen van risico’s!

▶ IAG is geen vervanger van IAM : IAM blijft nodig voor de uitvoering, IAG

introduceert de nodige (be)sturing.

▶ IAG gaat niet alleen over implementatie van IAG tools in plaats van IAM

tools; het gaat ook over implementatie van IAG processen.

23

Vragen