Presentatie over ervaringen uit de praktijk van Identity & Access Governance implementaties (Roundtable van Everett en Verdonck, Klooster & Associates op 11 december 2012 voor klanten)

1. Identity & Access Governance
ervaringen uit de praktijk
Thomas van Vooren, thomas @ everett.nl
Roundtable 11 december 2012
www.everett.nl www.everett.nl

2. Inhoud
▶ Opkomst van Identity & Access Governance
▶ Praktische werking Identity & Access Governance
▶ Aanpak van de realisatie
▶ Best practices en aandachtspunten
▶ Conclusies
2

3. Opkomst van Identity & Access Governance
3

4. Opkomst van Identity & Access Governance
▶ Compliance en risico management in toenemende mate van invloed op
bestedingen:
 Toegenomen druk vanuit:
 Toezichthouders (wet- en regelgeving).
 Key stakeholders zoals aandeelhouders (zorgen over fraude en kwetsbaarheid
imago), klanten en publieke opinie (zorgen over privacy).
 Intrinsieke motivatie voor risico beheersing:
 Voorkomen fraude en beschermen van intellectueel eigendom.
▶ De business case voor Identity & Access Management verandert:
 Meer focus op security en compliance.
 Business enablement en kosteneffectiviteit niet langer de primaire drijfveer.
4

5. Opkomst van Identity & Access Governance
▶ De essentie:
 Het continu aantoonbaar beheersen van de toegang tot
informatiesystemen: “in control” zijn.
 Maar nog steeds op een kosteneffectieve manier en in balans met kansen en
behoeftes van de organisatie.
▶ In control door:
 Autorisatieprofielen te bepalen in lijn met beleid en deze vast te leggen.
 De toegestane autorisaties af te dwingen in de informatiesystemen.
 Te controleren en te rapporteren over praktijk versus beleid.
 De toegangsrechten of profielen bij te stellen waar nodig.
5

6. Opkomst van Identity & Access Governance
▶ Aanpak tot op heden preventief met “traditioneel” Identity & Access
Management, veelal met kostenefficientie en business enablement als
driver.
 Actief aanvragen en intrekken van toegang, veelal door leidinggevenden;
 Geautomatiseerde verwerking in doelsystemen.
▶ Karakteristieken:
 Beperkt bereik van informatiesystemen: lang niet alle kritieke systemen
aangesloten.
 Hechte koppeling met systemen: integratie in plaats van business projecten;
 Fire & forget inregelen van toegang: beperkt tot geen controle en
bijstelling.
 Geen rapportage of audit trail: niet “aantoonbaar” in control.
 Gericht op (geautomatiseerd) uitvoeren van IT processen en niet het
besturen. 6

7. Opkomst van Identity & Access Governance
▶ Hanteren van een detectieve aanpak gericht op controle van
toegangsrechten “achteraf”, opvolging van correcties en rapportage
daarover is nodig.
▶ Deze controle wordt ook wel certificeren genoemd
(certification/attestation).
Het certificeringsproces wordt vorm gegeven door:
 Te bepalen wie welke toegangsrechten heeft.
 De toegangsrechten weer te geven in begrijpelijke termen.
 Helder inzicht te geven in overtredingen van business rules en risico’s.
 Het voorleggen van toegangsrechten ter beoordeling aan de relevante
verantwoordelijken.
 Het initiëren van wijzigingen op toegangsrechten zodat deze in
overeenstemming komen met het toegangsbeleid.
7

8. Opkomst van Identity & Access Governance tooling
▶ Bedrijven hebben soms al processen en tools hier voor ingericht, echter:
 De processen zijn handmatig, kosten daardoor veel tijd en zijn erg vatbaar
voor fouten.
 Toegangsrechten zijn niet begrijpelijk voor de business verantwoordelijken
die ze moeten beoordelen. Dit leidt tot fouten in de beoordeling en “rubber
stamping”.
 Bewaking opvolging van correcties en intrekkingen is nagenoeg onmogelijk.
 Rapportages zijn sterk gefragmenteerd qua vorm en inhoud over
informatiesystemen en organisatiedelen heen.
▶ IAG tooling addresseert deze en andere IAM uitdagingen.
8

9. Praktische werking
9

10. Praktische werking IAG tooling
(C)ISO
Internal Audit Risk Officer
Accountant Compliance Officer
Toezichthouder Business Owners
System Owners
Functioneel beheer Managers
ICT/Accountbeheer Business Owners
Helpdesk System Owners
10

11. Praktische werking IAG tooling - Administreren
▶ Autorisatieprofielen: rolgebaseerde verzamelingen toegangsrechten.
 Gelaagdheid rollen (business en IT rollen) en “role-mining” functionaliteit.
▶ Business glossary: betekenisvolle beschrijving van toegangsrechten.
 Handmatig invoeren of geautomatiseerd inlezen.
▶ Busines rules: beperkingen die van toepassing zijn in het beschikken over
toegangsrechten (bijvoorbeeld functiescheiding).
▶ Risicomodel: de mate waarin het beschikken over toegangsrechten of het
overtreden van business rules bijdraagt aan een risico score.
 Gewicht voor toegangsrechten (rollen en losse systeemautorisaties) en business
rules, wegingsfactoren op basis van beheersing in praktijk.
11

12. Praktische werking IAG tooling - Controleren
▶ De IAG tooling leest periodiek alle gegevens over accounts en
toegangsrechten uit de kritieke informatiesystemen.
 Lichtgewicht integratie, correlatie gegevens naar identiteit.
▶ Business rules worden geëvalueerd: ad-hoc afhandeling van
overtredingen.
▶ Zowel de toekenning als samenstelling van toegangsrechten kunnen
periodiek voorgelegd worden ter beoordeling. Bijvoorbeeld:
 Toekenning: managers (persoonsgebonden toegang), system owners (niet
persoonsgebonden toegang).
 Samenstelling: business owners (autorisatieprofielen/rollen) en system
owners (systeemautorisaties).
12

13. Praktische werking IAG tooling - Corrigeren
▶ Handmatige opvolging intrekkingen:
 Via integratie met IT Service Management systeem (“ticketing”) en helpdesk.
 Via functionele e-mail postbussen van functioneel beheer of ICT/account
beheer.
▶ Geautomatiseerde verwerking intrekking:
 Direct (“real-time”) verwerking in het informatiesysteem.
 Op basis van business case (hoge mutatiefrequentie, grote aantallen
medewerkers, risicoclassificatie).
 Eventueel met behulp van bestaande in-house Identity Management
oplossing (provisioning), afhankelijk van IAG tool ook met IAG tool mogelijk.
13

14. Praktische werking IAG (tooling) - Rapporteren
▶ Monitoren:
 Voortgang van de certificering (via rapportage of dashboards).
 Opvolging eerdere intrekkingen (in nieuwe certificeringen of rapportage).
Beide vaak ondersteund door herinnering- en escalatie e-mail notificaties.
Met name voor hoger management, (C)ISO en security operation teams.
▶ Rapporteren:
 SOLL-IST rapportage.
 Audit trail van certificeringen (afleggen verantwoordelijkheid).
Met name voor internal audit, accountant of toezichthouder.
14

15. Fasering realisatie
15

16. Fasering realisatie van een IAG oplossing
▶ Opbouwen:
 Inlezen toegangsrechten IST-situatie en die betekenisvol maken.
 Belangrijkste business rules opnemen voor toetsing (met name voor ad-hoc
afhandeling).
 Beperkt aantal informatiesystemen en business rules: eerst ervaring opdoen.
 Basis certificeringen (managers en system owners).
▶ Uitbouwen:
 Meer informatiesystemen en business rules.
 Risico gebaseerde aanpak (bijvoorbeeld in certificeringen, periodiek en ad-
hoc)
16

17. Fasering realisatie van een IAG oplossing
▶ Optimaliseren:
 Vastleggen beoogde autorisatieprofielen op basis van rollen:
 In plaats van / in aanvulling op betekenisvolle toegangsrechten.
 Als vastlegging van de SOLL situatie.
 Ad-hoc certificeringen op basis van door- en uitstroomproces;
 SOLL-IST vergelijking (in certificering en rapportages).
▶ Optioneel: integratie IAM en IAG:
 Aansluiten op, of realisatie van, Identity Management voor het beheersen
van de identity lifecycle (preventief verwerken van in-, door-, en uitstroom).
 Introductie actief aanvragen en intrekken van toegang (preventief).
 Geautomatiseerde verwerking toekenning en intrekking in
informatiesystemen (op basis van business case).
17

18. Best practices en aandachtspunten
18

19. Best practices
▶ Stel aansluitcriteria op: wat doe je procedureel (handmatig) en wat doe je
met IAG tooling.
▶ Sluit zo lichtgewicht mogelijk elk informatiesysteem aan: geen hechte
(“live”) integratie maar koppeling op basis van inlezen tekstbestanden.
▶ Stel een data-extractieformaat op voor de tekstbestanden: standaardiseer!
▶ Hergebruik in-house IAM provisioning oplossing.
▶ Gebruik een “proces volgt tool” aanpak: bij bestaande processen: deze
aanpassen waar nodig en mogelijk.
▶ Bestaande use cases in live demos afstemmen.
19

20. Best practices
▶ Gebruik beschrijvingen om toegangsrechten betekenisvol te maken,
gebruik pas later rollen.
▶ Simuleer effect van business rules in een aparte business IAG omgeving
vooraf aan de in gebruik name.
▶ Alloceer functioneel beheerders: eerste aanspreekpunt verkrijgen
extracten en uitwerken autorisatieprofielen en business rules.
▶ Let bij keuze voor een IAG oplossing ook op de
gebruikersvriendelijkheid: certificeren blijft een “moetje”.
20

21. Aandachtspunten
▶ Ook IAG heeft een kwalitatief goede bron voor identiteiten nodig!
▶ Zorg voor representatieve gegevens ten behoeve van simulatie business
rules en (acceptatie)testen.
▶ Wie certificeert hoger management? En laat je ze zelf hun medewerkers
certificeren?
▶ Infrastructuur laag van informatiesystemen bevatten ook toegangsrechten,
met vaak hoger risicoprofiel dan informatiesysteem zelf.
▶ Schaling IAG oplossing: het draait om de data… en daar is er veel van!
21

22. Tot slot
▶ IAG (tooling) is een effectieve manier om in control te komen.
▶ Maar het gaat bij IAG over meer dan alleen het vinkje voor de
toezichthouder, het gaat over het beheersen van risico’s!
▶ IAG is geen vervanger van IAM : IAM blijft nodig voor de uitvoering, IAG
introduceert de nodige (be)sturing.
▶ IAG gaat niet alleen over implementatie van IAG tools in plaats van IAM
tools; het gaat ook over implementatie van IAG processen.
22

23. Vragen
23