Enterprise Identity & Access Management Hoe kan Enterprise Identity & Access Management effectief, efficiënt en conform nalevingsverplichtingen worden ingericht bij grote organisaties met verschillende IAM-omgevingen? Auteur: Emanuël van der Hulst (KPMG) Bedrijfscoach: John Hermans (KPMG) Begeleidend docent: Bart Bokhorst Scriptiecoördinator: Jan Steen
Inleiding Vandaag de dag is het ondenkbaar dat grote organisaties opereren zonder gebruik te maken van ICTvoorzieningen. In tegenstelling tot het begintijdperk van ICT, wordt ICT tegenwoordig niet alleen meer toegepast ten behoeve van administratiedoeleinden. ICT is sterk verweven met alle aspecten van de organisatie en wordt in steeds hogere mate aangewend voor het ondersteunen van allerlei typen bedrijfsprocessen. Voorgaande betekent dat alle betrokken medewerkers van de organisatie toegang dienen te hebben tot een facet van informatiesystemen teneinde hun werkzaamheden binnen de bedrijfsvoering adequaat te kunnen uitvoeren. Deze gebruikers dienen dan te beschikken over een set van autorisaties (rechten in een informatiesysteem benodigd voor het uitvoeren van bepaalde handelingen) welke in overeenstemming zijn met het van toepassing zijnde functieprofiel, het algemene beleid en de van toepassing zijnde wet- en regelgeving. In veel organisaties blijft het ICT-landschap alleen maar groeien. Een groot ICT-landschap resulteert doorgaans in een warboel en “spaghetti” van gebruikeridentificaties en autorisaties. De ontstane situatie is onvoldoende transparant en betekent een relatief zware belasting voor de beheerorganisatie. Aan een onvoldoende transparante omgeving kleeft het risico dat de ICT niet in harmonie functioneert met het van toepassing zijnde beleid en de van toepassing zijnde wet- en regelgeving. Dit kan bijvoorbeeld betekenen dat de vertrouwelijkheid van gevoelige informatie en de door de organisatie van toepassing verklaarde functiescheiding in de ICT-omgeving niet of onvoldoende zijn gewaarborgd. Daar het doorvoeren van autorisaties voor gebruikers in informatiesystemen doorgaans een handmatige operatie van verschillende systeembeheerders betreft, wordt de organisatie eveneens geconfronteerd met een relatief zware belasting voor de beheerorganisatie. Een relatief zware belasting voor de beheerorganisatie gaat gepaard met veel inspanning van de beheerders en lange doorlooptijden van de processen in het kader van autorisatiebeheer. Hierbij bestaat het risico dat de kosten voor het beheer onnodig stijgen en de (primaire) bedrijfsprocessen geen doorgang kunnen vinden omdat de medewerker niet tijdig over de benodigde autorisaties beschikt. Met name de grotere organisaties met veel verschillende organisatie-eenheden hebben geregeld te kampen met de hiervoor beschreven problematiek. Het is moeilijk en complex om voor het gehele ICT-landschap van de organisatie het gebruikers- en autorisatiebeheer effectief, efficiënt en conform het beleid, dat is geënt op het naleven van de van toepassing zijnde wet- en regelgeving, in te richten en te besturen. Het ICT-landschap van deze grote organisaties bestaat immers uit een veelheid aan informatiesystemen en een diversiteit aan platformen, waarbij de ICT-verantwoordelijkheden inzake het gebruikers- en autorisatiebeheer dikwijls decentraal zijn belegd. Daarnaast worden organisaties verplicht om zowel organisatiebrede compliance-eisen alsook locale wet- en regelgeving na te leven. De locale wet- en regelgeving kan per regio verschillen en dwingt de organisatie tot verschillende benaderingen voor het oplossen van de problematiek rondom het gebruikers- en autorisatiebeheer. Met het bovenstaande in ogenschouw, kan worden gesteld dat grote organisaties met verschillende ICT-omgevingen en een decentraal ingericht gebruikers- en autorisatiebeheer behoefte hebben aan een toepasbaar model welke de organisatie in staat stelt om het gebruikers- en autorisatiebeheer voor haar gedifferentieerde ICT-landschap op een effectieve en efficiënte wijze en conform wet- en regelgeving in te richten. Binnen dit model is het relevant om inzichtelijk te krijgen welke rol de centrale afdeling en de decentrale afdelingen kunnen vervullen.
1 / 18
In dit artikel wordt ingegaan op wat wordt verstaan onder Identity & Access Management (IAM), een modieuze benaming voor gebruikers- en autorisatiebeheer. In de context van IAM kunnen gebruikers zowel interne medewerkers, externe partijen, toepassingen als services betreffen. Echter, dit artikel richt zich slechts op de gebruikersdoelgroep interne medewerkers van de organisatie. Tevens gaat dit artikel op hoofdlijnen in op de verplichting waarmee een organisatie wordt geconfronteerd en welke weerslag dit heeft op IAM. Afsluitend zet dit artikel een model uiteen welke een grote organisatie met verschillende organisatie-eenheden die hun eigen ICT-landschap beheren in staat stelt om een organisatiebreed IAM in te richten dat voldoet aan het beleid en de van toepassing zijnde wet- en regelgeving.
Identity & Access Management Alvorens dieper kan worden ingegaan op mogelijke oplossingen voor de problematiek rondom IAM voor (grote) organisaties met heterogene ICT-omgevingen, is het essentieel om het gehele speelveld ten aanzien van het IAM inzichtelijk te hebben.
Definitie Identity & Access Management IAM betreft een verzamelnaam voor al hetgeen dat komt kijken bij het beheer van gebruikers van en autorisaties binnen informatiesystemen. Binnen het vakgebied zijn diverse definities voor IAM in omloop. Echter, naar de mening van de schrijver van dit artikel kan IAM het best worden omschreven op basis van navolgende definitie:
Re
ik w
ijd t
e
Organisatie IA M
Processen Techniek Objecten Gegevens
Applicaties overige
“Identity and Access Management betreft een stelsel van organisatie, processen en techniek gericht op het conform het beleid van de organisatie beheren van enerzijds digitale identiteiten en anderzijds de toegang van deze digitale identiteiten tot objecten op basis van autorisaties.”
Platformen
Functies
Met een digitale identiteit wordt de in de daartoe bestemde bronregistratie digitaal opgeslagen gebruikersidentificatie bedoeld (bijvoorbeeld een medewerkernummer). Deze digitaal opgeslagen identiteit dient herleidbaar te zijn naar een (unieke) fysieke identiteit. Afhankelijk van de situatie kunnen naast de digitaal opgeslagen identiteit van een gebruiker, ook additionele attributen over deze gebruiker in de bronregistratie zijn opgeslagen welke van invloed zijn op de autorisaties van de gebruiker in een bepaald object. De laatst bedoelde autorisaties worden ook wel contextafhankelijke autorisaties genoemd. Een voorbeeld van contextafhankelijke autorisaties betreffen de autorisaties in objecten welke zijn gerelateerd aan de afdeling waarvoor de gebruiker werkzaam is. Doordat de gebruiker werkzaam is voor een bepaalde afdeling, dient de gebruiker dan te beschikken over de bij de afdeling behorende autorisaties teneinde zijn werkzaamheden binnen de bedrijfsprocessen te kunnen uitvoeren. Autorisaties betreffen in dit verband de bevoegdheden welke een gebruiker in een object moet bezitten om bepaalde handelingen in het object te kunnen uitvoeren. Een object kan in dit kader een diversiteit aan componenten binnen de technische infrastructuur van de organisatie zijn. Voorbeelden van objecten zijn platformen, applicaties, functies binnen een applicatie en fysieke toegangscontrolesystemen.
Componenten binnen Identity & Access Management Binnen het domein van IAM kan voor de drie disciplines binnen IAM, te weten organisatie, processen en techniek, een aantal componenten worden onderkend welke in navolgend figuur schematisch zijn weergegeven (zie figuur 1). Deze componenten tezamen dragen er zorg voor dat digitale identiteiten conform het van toepassing zijnde beleid toegang verkrijgen tot objecten. 2 / 18
Organisatie
Beleid
Processen Autorisatiebeheer
Verwerken Objecten Gegevens
Verwerken
Applicaties
Extraheren
overige
(IST) Functies
Verwerken
Platformen
Controle
Gebruikersbeheer
Techniek
Authenticatiebeheer
Figuur 1 - Componenten binnen Identity & Access Management
Organisatie Beleid Zoals dat voor alle elementen binnen een organisatie van toepassing is, is het voor IAM eveneens essentieel dat de organisatie rondom IAM is vormgegeven. Een onderdeel van de organisatie vormt het beleid. Het beleid stelt de kaders waarbinnen het IAM van de organisatie functioneert en maakt de verantwoordelijkheden, welke een besturing conform dit beleid waarborgen, inzichtelijk. Processen Op basis van praktijkervaringen kan binnen IAM een aantal verschillen processen worden onderscheiden welke hieronder nader worden toegelicht. Gebruikersbeheer & Verwerken (provisioning) Het proces gebruikersbeheer is opgesplitst in een tweetal subprocessen (zie figuur 2).
a. Beheren gebruikergegevens
b. Bepalen toe te kennen / te ontnemen autorisaties voor gebruikers
Verwerken (provisioning)
Het subproces beheren gebruikergegevens (a) richt zich op het initieel vastleggen van gebruikers en, indien van toepassing, additionele attributen die van invloed kunnen zijn op de autorisaties in een daartoe bestemde bronregistratie. Tevens wordt de gehele levenscyclus van deze digitaal opgeslagen gebruikergegevens onderhouden. Zo wordt de in-, door- en uitstroom van medewerkers in de bronregistratie beheerd.
Gebruikersbeheer
Objecten
Het tweede subproces van gebruikersbeheer (b) richt Figuur 2 – Subprocessen binnen gebruikersbeheer zich op het bepalen van de autorisaties die aan een gebruiker moeten worden toegekend dan wel van de gebruiker moeten worden ontnomen. Immers, gebruikers moeten over autorisaties binnen objecten beschikken om de objecten te kunnen gebruiken. Doorgaans zal de verantwoordelijke manager van de gebruiker binnen zijn verantwoordelijkheidsgebied bepalen welke autorisaties de gebruiker dient te bezitten om de 3 / 18
werkzaamheden binnen de bedrijfsprocessen te kunnen uitvoeren. De verantwoordelijke manager zal een opdracht aan de beheerorganisatie uitvaardigen om het verzoek tot autorisatiewijzigingen voor de betreffende gebruiker uit te voeren. Het geven van een opdracht om autorisaties aan te maken dan wel in te trekken kan op basis van een formulier (minder geavanceerde IAM-omgeving) of geautomatiseerd met behulp van een technisch hulpmiddel (meer geavanceerde IAM-omgeving) geschieden. De beheerorganisatie zal ervoor zorgdragen dat het verzoek van de verantwoordelijke manager in de betrokken objecten wordt verwerkt. Deze laatste activiteit wordt in de vakliteratuur vaak aangeduid als het provisioning-proces. Resumerend staat provisioning voor het aanmaken dan wel verwijderen van gebruikeraccounts en -autorisaties in de betrokken objecten naar aanleiding van de activiteiten die in het gebruikersbeheer worden uitgevoerd. Authenticatiebeheer & Verwerken Ook het proces authenticatiebeheer is opgedeeld in een tweetal subprocessen (zie figuur 3).
a. Beheren authenticatiemiddelen
b. Beheren authenticatiepolicies
Verwerken
Alvorens gebruikers toegang wordt verschaft tot een object, wordt de gebruiker geauthenticeerd om vast te stellen of de gebruiker is wie hij zegt dat hij is. Hiertoe wordt de gebruiker voorzien van een authenticatiemiddel (bijvoorbeeld gebruikersnaam/wachtwoord-combinatie of smartcard met certificaten). Het subproces beheren authenticatiemiddelen (a) richt zich op het beschikbaar stellen, beheren en innemen/intrekken van de authenticatiemiddelen van gebruikers.
Authenticatiebeheer
Objecten
Figuur 3 - Subprocessen binnen authenticatiebeheer Teneinde binnen de objecten het gebruik van een bepaald type authenticatiemiddel (bijvoorbeeld gebruikersnaam/wachtwoord-combinatie of smartcard met certificaten) of de wijze van het gebruik van het authenticatiemiddel (bijvoorbeeld syntax, lengte en geldigheidsduur van een wachtwoord) af te dwingen, richt het subproces beheren authenticatiepolicies (b) zich op het bepalen van de van toepassing zijnde authenticatiepolicies en het vastleggen van deze policies in objecten.
Autorisatiebeheer Het proces autorisatiebeheer is eveneens opgesplitst in een tweetal subprocessen (zie figuur 4).
a. Functioneel autorisatiebeheer
b. Technisch autorisatiebeheer
Verwerken
Het bepalen en toekennen van autorisaties aan gebruikers in objecten, als onderdeel van de processen Gebruikersbeheer & Verwerken (provisioning), betreft een tijdrovende en kostbare aangelegenheid. Immers, voor elke wijziging, zoals bij de in-, door- en uitstroom van medewerkers, dienen de bijbehorende autorisatiewijzigingen voor deze gebruiker in elk object te worden bijgewerkt. Teneinde dit proces te vereenvoudigen, wordt doorgaans gebruikgemaakt van een autorisatiemodel.
Autorisatiebeheer
Objecten
Figuur 4 – Subprocessen binnen autorisatiebeheer
Binnen het autorisatiebeheer is het functioneel autorisatiebeheer (a) verantwoordelijk voor het opstellen en onderhouden van het autorisatiemodel op basis van het organisatiebeleid en -behoefte. Dit houdt in dat met het beleid en de daaruit voortvloeiende functieprofielen als uitgangspunt een functioneel model wordt opgesteld waarin inzichtelijk wordt gemaakt welke handelingen (bijvoorbeeld fiatteren inkooporder) in welke objecten 4 / 18
zijn benodigd voor het uitvoeren van de aan het functieprofiel gekoppelde taken binnen het van toepassing zijnde bedrijfsproces. Voorbeelden van autorisatiemodellen zijn autorisatiematrices of, in een meer geavanceerde IAM-omgeving, rollenmodellen gebaseerd op het Role-Based-Access-Control (RBAC)-principe. Het technisch autorisatiebeheer (b) vertaalt en verwerkt de in het autorisatiemodel uiteengezette (functionele) handelingen vervolgens naar daadwerkelijke autorisaties in objecten. Dit geschiedt doorgaans door autorisatiegroepen of -profielen in objecten aan te maken welke een groep autorisaties vertegenwoordigen op één of meerdere objecten binnen een doelsysteem, benodigd voor het uitvoeren van een (deel)taak binnen het betreffende doelsysteem (bijvoorbeeld Windows Active Directorygroepen en rollen in een applicatie). Echter, in praktijk wordt bij een IAM-project een omgekeerde werkwijze toegepast. Controle & Extraheren Het laatste proces richt zich op het controleren van de IAMomgeving opdat, indien van toepassing, tijdig kan worden bijgestuurd. Het controleproces bepaalt met behulp van het extraheren van informatie uit de objecten de gevolgde procesgang en de huidige status in de objecten (bijvoorbeeld welke autorisaties zijn uitgereikt aan welke gebruikers). De huidige status (IST) wordt binnen het controleproces vervolgens vergeleken met de gewenste situatie (SOLL) welke inherent is aan het organisatiebeleid.
Objecten
(IST)
Extraheren
Controle
Het controleproces kan bestaan uit het actief monitoren en/of op basis van het produceren van rapportages. Het actief Figuur 5 - Proces controle monitoren betekent dat constant de gewenste situatie (SOLL) en de daadwerkelijke situatie (IST) worden vergeleken. Indien zich een discrepantie voordoet, zal dit leiden tot een signaal aan de verantwoordelijke functionaris die vervolgens de nodige correctieve handelingen verricht. Daarnaast kan het controleproces worden uitgevoerd op basis van het periodiek produceren van rapportages. De rapportages geven een presentatie van de huidige situatie (IST) welke vervolgens door de verantwoordelijke actor worden vergeleken met de gewenste situatie.
che hulpmid de hnis c e T
n
5 / 18
Techniek
le
Techniek Onder de discipline techniek worden alle technische hulpmiddelen geschaard welke, waar mogelijk, de hiervoor beschreven IAM-processen ondersteunen. Afhankelijk van de geavanceerdheid van de IAM-omgeving van een organisatie, kunnen tools zijn ingezet voor verschillende doeleinden.
Objecten
Verplichtingen en behoefte Zoals reeds in het inleidende hoofdstuk aangehaald, worden organisaties geconfronteerd met tal van externe verplichtingen. Echter, naast de externe verplichtingen onderkent een organisatie doorgaans ook zelf een aantal behoeften aan de bedrijfsvoering. Zowel de externe verplichtingen als eigen organisatiebehoeften zijn van invloed op de inrichting van het IAM van de betrokken heterogene ICTomgevingen.
Externe verplichtingen Met de opkomst van wettelijke regelingen en compliance worden organisaties geconfronteerd met een aantal verplichtingen waaraan moet worden voldaan. Zo dient een organisatie welke is genoteerd aan de Amerikaanse beurs rekening te houden met de Sarbanes-Oxley Act (Verenigde Staten, 2002). Daarnaast zijn instellingen binnen de financiële sector verplicht om aan de richtlijnen uit het Basel Capital Accord (Basel II, 2006) en Code Tabaksblat (van toepassing binnen Nederland) te voldoen. Voornoemde wettelijke regelingen hebben betrekking op het beheersen van de operationele risico’s (governance) en het transparant en accuraat inrichten van de financiële processen. Tevens dient de organisatie in staat te zijn om verantwoording over de genoemde elementen af te leggen. Daar de ICT zwaar is verweven met de bedrijfprocessen binnen een organisatie, is het beschikken over een beheersbare ICT-omgeving waarover verantwoording kan worden afgelegd een belangrijk aandachtspunt. Andere wettelijke verplichtingen waar organisaties binnen Nederland bijvoorbeeld mee te maken hebben zijn Wet Bescherming Persoongegevens (van toepassing op organisaties die binnen persoonsgegevens verwerken) en Reglement Organisatie en Beheersing (van toepassing op financiële instellingen). Mocht een organisatie in bijvoorbeeld Japan zijn gevestigd, dan is deze organisatie in bepaalde situaties verplicht om tegen ISO 27001 (Informatie Security Management System) te zijn gecertificeerd. Deze locale wettelijke verplichtingen kunnen veelal worden vertaald in concrete eisen waaraan een ICT-omgeving, en zo ook een IAM-omgeving, moet voldoen. Door de implementatie van een aantal specifieke maatregelen kan een IAM-omgeving worden gerealiseerd welke bijdraagt aan een beheersbare ICT-omgeving en tegemoet komt aan de overige concrete eisen. Resumerend kan worden gesteld dat deze specifieke maatregelen dienen te waarborgen dat: • de vastgelegde gebruikersgegevens betrouwbaar en herleidbaar zijn naar een unieke fysieke identiteit; • de aan de gebruikers toegewezen autorisaties in objecten rechtmatig zijn (bijv. autorisatietoekenning op basis van een rol binnen de organisatie en naleving voorgeschreven functiescheiding); • de vertrouwelijkheid van gevoelige gegevens is gewaarborgd; • de gebruiker- en autorisatiegegevens transparant zijn opgeslagen; • “global reporting” wordt ondersteund, de organisatie moet ten aanzien van alle betrokken objecten in staat zijn om geconsolideerde rapportages te produceren van de huidige situatie (IST). Zo dient een organisatie in staat te zijn om een accuraat overzicht te genereren van alle gebruikers en de aan de gebruikers gekoppelde autorisaties over alle betrokken objecten heen; • een effectieve controle wordt uitgevoerd op het naleven van de voorschriften in het kader van IAM.
Interne behoefte Naast de externe verplichtingen, heeft de organisatie vaak zelf ook behoeften die een weerslag hebben op de IAM-omgeving. Immers, het bewerkstelligen van een efficiënte beheeromgeving staat altijd hoog op de agenda van het management van een organisatie. Door het IAM efficiënt in te richten beoogt de organisatie te waarborgen dat: • inspanning en kosten voor het beheren van gebruiker- en autorisatiegegevens worden geminimaliseerd; 6 / 18
•
de (primaire) bedrijfsprocessen ongestoord doorgang kunnen vinden en de productiviteit van gebruikers derhalve wordt verhoogd.
In de praktijk wordt naast een efficiëntieverbetering, ook een algemene verhoging van de informatiebeveiliging, bijvoorbeeld ten behoeve van het tegengaan van imagoschade, als behoefte onderkend (bijvoorbeeld op basis van ISO 27001). Wet- en regelgeving voor gehele organisatie
Organisatiebehoefte
• Sarbanes-Oxley
• ISO 27001
• Basel II
• Efficiëntieverbetering Organisatie
Locale wet- en regelgeving (Nederland) • WBP • ROB • Code Tabaksblat
Onderdeel A
Onderdeel B
Onderdeel C
Afdeling
IAM-omgeving A
IAM-omgeving B
IAM-omgeving C
Figuur 6 - Schematisch overzicht van verplichtingen en behoefte van een organisatie
Voorwaarden aan een beheersbare IAM-omgeving Op basis van zowel de externe verplichtingen alsook interne behoefte kan worden geconcludeerd dat een organisatie wil beschikken over een beheersbare IAM-omgeving. Een beheersbare IAM-omgeving dient in deze context te worden opgevat als een IAM-omgeving welke betrouwbaar, effectief en efficiënt is ingericht. Teneinde een beheersbare IAM-omgeving te bewerkstelligen, dienen de binnen een IAM-omgeving te onderkennen componenten aan een aantal voorwaarden te voldoen. Hierbij dient te worden opgemerkt dat in deze paragraaf de meest optimale situatie uiteen is gezet. Afhankelijk van de wensen van de organisatie, dient te worden bepaald aan welke voorwaarden daadwerkelijk invulling moet worden gegeven.
Organisatie Beleid In het kader van een IAM-omgeving welke conform de van toepassing zijnde wet- en regelgeving en organisatiebehoefte functioneert, is het van belang dat een helder en werkbaar beleid is geformuleerd en specifiek van toepassing is op IAM. In het IAM-beleid dient minimaal invulling te zijn gegeven aan navolgende aspecten: • Doel – Het doel van en de bijbehorende uitgangspunten voor het IAM dienen inzichtelijk en beschreven te zijn. Zo dient het beleid onder andere te adresseren dat de IAM-omgeving ervoor moet zorgdragen dat de externe verplichtingen worden nageleefd en dat invulling wordt gegeven aan de overige organisatiebehoeften. • Eigenaarschap – Het eigenaarschap van het proces IAM moet zijn belegd. De eigenaar is verantwoordelijk voor het realiseren van de doelstellingen van het IAM. Daar IAM zowel raakvlakken heeft met de organisatie (business) alsook ICT, is het vaak moeilijk om deze rol eenduidig binnen de organisatie te beleggen. Gezien het overkoepelende karakter van IAM, wordt deze rol in praktijk bijvoorkeur belegd bij een neutrale positie binnen de organisatie, zoals de controller. • Verantwoordelijkheden – De verantwoordelijkheden ten aanzien van de processen betrokken bij de IAM-omgeving dienen te zijn vastgesteld en belegd. Hierbij dient te zijn gewaarborgd dat een controletechnische functiescheiding is doorgevoerd tussen het gebruikersbeheer, functioneel
7 / 18
•
autorisatiebeheer, technisch autorisatiebeheer en de controleerde functie (=actor in het proces controle). Controlefunctie – De uitvoering van de interne controle op de inrichting en werking van de IAMomgeving dient een integraal onderdeel te vormen van het besturingsmodel van de organisatie. Teneinde de uitvoering van de interne controle gestalte te geven dient binnen het besturingsmodel van de IAM-omgeving de administratieve organisatie/interne controle (AO/IC) met betrekking tot de controleprocessen te zijn beschreven en ingericht welke structureel door de verantwoordelijke functionarissen dienen te worden uitgevoerd. De controleprocessen dienen erop te zijn gericht om de externe verplichtingen en interne behoeften te waarborgen.
Processen Teneinde een beheersbare IAM-omgeving te realiseren, dienen de IAM-processen gebruikersbeheer, authenticatiebeheer, autorisatiebeheer en controle eveneens aan een aantal voorwaarden te voldoen. Gebruikersbeheer & Verwerken (provisioning) HR-systeem als uitgangspunt voor gebruikersbeheer De gebruikergegevens (gebruikersidentificatie en additionele gegevens) in het HR-systeem dienen het uitgangspunt te vormen van de processen inzake het aanmaken/verwijderen van gebruikers, het toekennen/afnemen van autorisaties en het uitgeven/intrekken van authenticatiemiddelen. Zo dienen alleen gebruikers in objecten te worden aangemaakt welke zijn te herleiden naar een medewerker in het HR-systeem. Wijzigingen in het HR-systeem welke autorisatiewijzigingen tot gevolg hebben, dienen direct te leiden tot het opstarten van het gebruikerbeheer opdat de nodige handelingen kunnen worden verricht. Dit laatste is met name belangrijk op het moment dat een medewerker als “uitdienst” in het HR-systeem wordt geregistreerd en de autorisaties moeten worden ingetrokken. In voornoemde situatie dient ook het authenticatiemiddel van de betreffende gebruiker direct te worden ingetrokken. Door het HR-systeem als vertrekpunt te hanteren waarborgt de organisatie dat de binnen de objecten aanwezige gebruikers altijd te herleiden zijn naar een fysieke identiteit binnen de organisatie en dat de beleidsuitgangspunten van de organisatie ten grondslag liggen aan de autorisaties die aan deze gebruikers zijn toegekend. Immers, op basis van de gebruikergegevens, zoals functieprofiel, kan de organisatie bepalen of de gebruiker slechts over die autorisaties beschikt die de gebruiker nodig heeft voor het uitvoeren van de aan de gebruiker toegewezen werkzaamheden binnen de bedrijfsprocessen. Ook is gewaarborgd dat, in het geval van een incident, de verantwoordelijke gebruiker kan worden herleid en aansprakelijk kan worden gesteld. Direct verwerken (provisioning) van autorisatiewijzigingen Voorkomen moet worden dat een ongewenste vertraging ontstaat tussen het moment dat autorisaties worden toegekend/ontnomen en het moment dat het verzoek tot autorisatiewijziging daadwerkelijk in de objecten is verwerkt. Het verwerkingsproces (provisioning) dient derhalve een hoge mate van beschikbaarheid te ondersteunen en direct te starten op het moment dat in het gebruikersbeheer handelingen zijn verricht die van invloed zijn op de autorisaties van gebruikers in objecten. Door autorisatiewijzigingen direct in objecten te verwerken wordt gegarandeerd dat: • gebruikers tijdig over de vereiste autorisaties beschikken en de (primaire) bedrijfsprocessen zoveel mogelijk ongestoord doorgang kunnen vinden; en • autorisaties tijdig van gebruikers worden ontnomen en de rechtmatigheid van autorisaties en vertrouwelijkheid van gegevens is gewaarborgd. Integriteit van gegevens in HR-systeem waarborgen Teneinde de vorige voorwaarden effectief te implementeren, is het essentieel dat de integriteit (juistheid, volledigheid en tijdigheid) van de levenscyclus van de gebruikergegevens in het HRsysteem zijn gewaarborgd. Mocht een gebruiker bijvoorbeeld wisselen van functie, dan dient dit juist, volledig en tijdig in de bronregistratie te worden bijgewerkt opdat de autorisaties waarop de gebruiker geen recht meer heeft direct worden ingetrokken en de juiste nieuwe autorisaties worden toegekend. 8 / 18
Op het moment dat de gebruikergegevens in het HR-systeem integer zijn, zijn de gebruikergegevens in de objecten eveneens integer. Hierbij dient te worden opgemerkt dat het administratief verwerken van tijdelijke medewerkers en inhuurkrachten, waarbij in- en uitstroom veelvuldig voorkomt, als lastig probleem wordt ervaren. Dit is het resultaat van een discrepantie tussen de gewenste snelheid van het opvoeren van autorisaties in objecten en de minder snelle verwerking van gegevens in HR-systemen (als gevolg van bijbehorende procedures). Alleen autorisaties kunnen toekennen binnen verantwoordelijkheidsgebied Binnen de IAM-omgeving dient een functionaris slechts die autorisaties te kunnen toekennen waartoe deze functionaris is bevoegd. Een afdelingshoofd van bijvoorbeeld de verkoopafdeling mag nooit in staat zijn om autorisaties gerelateerd aan de inkoopafdeling toe te kennen. In een handmatige IAMomgeving houdt dit in dat systeembeheerders controles moeten uitvoeren om met zekerheid vast te kunnen stellen dat de autorisaties door een bevoegde functionaris zijn aangevraagd. In een geautomatiseerde IAM-omgeving houdt dit in dat het al dan niet mogen toekennen van autorisaties, als onderdeel van het van toepassing zijnde autorisatiemodel, op basis van het workflow-mechanisme van het gebruikersbeheer wordt beheerst. Authenticatiebeheer & Verwerken Authenticatiepolicies bepalen op basis van risicoprofiel Het bepalen van de authenticatiepolicies dient altijd te geschieden op basis van het risicoprofiel van de voorgenomen actie of object. Zo dienen acties en objecten te worden geclassificeerd waarbij rekening wordt gehouden met het beleid en de van toepassing zijnde wet- en regelgeving (bijvoorbeeld Wet Bescherming Persoonsgegevens). De bepaalde authenticatiepolicies dienen vervolgens als zodanig in de objecten te worden vastgelegd. Betrouwbare authenticatiemiddelen gebruiken Een gebruiker voorschrijven om conform de vastgelegde authenticatiepolicies op een object aan te loggen betreft slechts een onderdeel van de volledige betrouwbaarheid van een authenticatie. Immers, het authenticatiemiddel zelf dient ook betrouwbaar te zijn. De betrouwbaarheid van een authenticatiemiddel wordt door een aantal factoren bepaald, te weten: • Type – Een authenticatiemiddel kan zijn gebaseerd op iets dat houder weet (bijvoorbeeld wachtwoord), iets dat de houder bezit (bijvoorbeeld token) en/of iets wat de houder is (bijvoorbeeld biometrie). • Aanvraag- en uitgifteproces – De wijze hoe een authenticatiemiddel wordt aangevraagd en uitgereikt (bijvoorbeeld per post of op basis van fysieke overhandiging met controle op de identiteit). • Productieproces – De wijze hoe het authenticatiemiddel wordt geproduceerd (bijvoorbeeld in een al dan niet zwaar beveiligde en gecertificeerde omgeving). Ook hier geldt dat de mate van de betrouwbaarheid van het authenticatiemiddel moet worden bepaald op basis van het risicoprofiel van de voorgenomen actie of het object. Autorisatiebeheer & Verwerken Betrouwbaar autorisatiemodel Het toekennen van autorisaties aan gebruikers, als onderdeel van het gebruikersbeheer, dient altijd te geschieden conform een betrouwbaar autorisatiemodel. Het autorisatiemodel dient op basis van de beleidsuitgangspunten te zijn opgesteld en onderhouden. Bij het opstellen van het autorisatiemodel dienen derhalve de navolgende actoren te worden betrokken: • Lijnmanagement – Het lijnmanagement heeft doorgaans de behoefte om bepaalde autorisaties in objecten te kunnen toekennen aan zijn medewerkers. Bij het opstellen of wijzigen van het autorisatiemodel zal het lijnmanagement ervoor waken dat het autorisatiemodel alle benodigde autorisaties bezit opdat de medewerkers in staat zijn om hun taken en functies binnen de bedrijfsprocessen uit te voeren. 9 / 18
•
•
Objecteigenaar (gegevenseigenaar) – De objecteigenaar betreft de functionele eigenaar van de informatie waartoe op basis van het nieuwe dan wel gewijzigde autorisatiemodel toegang moet worden verschaft. De objecteigenaar zal er derhalve voor waken dat slechts die autorisaties in objecten worden aangemaakt en door het van toepassing zijnde lijnmanagement mogen worden toegekend waarvoor dat (vanuit het organisatiebeleid) noodzakelijk is. Security Officer / Intern Controller – De security officer heeft met betrekking tot het autorisatiebeheer een adviserende en toezichthoudende rol. De security officer waakt ervoor dat gebruikers slechts die autorisaties krijgen toebedeeld waartoe zij zijn gerechtigd en dat de door de organisatie voorgeschreven functiescheiding in de objecten wordt nageleefd. Derhalve zal de security officer er toezicht op houden dat het autorisatiemodel wordt opgesteld conform het organisatiebeleid en de van toepassing zijnde functiescheiding. Echter, uit praktijk komt naar voren dat de security officer niet altijd de aangewezen functionaris is om het beleid te vertalen naar de praktische situatie met betrekking tot bijvoorbeeld functiescheiding. Derhalve kan het noodzakelijk zijn om de interne controller bij het proces te betrekken.
Door een betrouwbaar autorisatiemodel te hanteren, waarborgt de organisatie dat de voorgeschreven functiescheiding en de rechtmatigheid van de autorisaties van de gebruikers in haar objecten conform beleid en wet- en regelgeving is. Controle & Extraheren In het kader van wet- en regelgeving is het voor een IAM-omgeving essentieel dat deze controleerbaar is. Binnen een optimaal beheersbare IAM-omgeving bestaat het controleproces zowel uit actieve en constante monitoring alsook controle op basis van periodieke rapportages. Teneinde de van toepassing zijnde verantwoordelijkheden in het kader van de AO/IC te kunnen nemen, dienen de navolgende controles te worden uitgevoerd: • Overeenstemming tussen medewerkergegevens in HR-systeem en gebruikers in objecten – Controleren dat de gebruikers in objecten te herleiden zijn naar een medewerker in het HRsysteem. Deze controle dient te worden uitgevoerd door de IT-afdeling. • Relatie tussen gebruikers en autorisaties – Controleren dat gebruikers de juiste autorisaties bezitten. Deze controle dient te worden uitgevoerd door de voor de betreffende medewerker verantwoordelijke lijnmanager. • Relatie tussen autorisatiemodel en autorisatiegroepen in objecten – Controleren dat in het autorisatiemodel onderkende (functionele) handelingen correct zijn vertaald naar autorisaties (autorisatiegroepen) in objecten. Deze controle dient te worden uitgevoerd door de security officer. • Bevoegdheid functionarissen met betrekking tot toekennen autorisaties – Controleren dat functionarissen slechts die autorisaties aan gebruikers kunnen toekennen waartoe de betreffende functionarissen zijn bevoegd. Deze controle dient te worden uitgevoerd door de autorisatiemodelbeheerder. • Handelingen welke door een gedelegeerde actor zijn uitgevoerd – Indien bevoegdheden in het kader van IAM worden gedelegeerd, dan controleren dat de gedelegeerde functionaris de gedelegeerde taken conform de richtlijnen heeft uitgevoerd. Deze controle dient te worden uitgevoerd door de eindverantwoordelijke lijnmanager welke taken heeft gedelegeerd. • Doorbroken functiescheidingen – Controleren dat functiescheidingen niet, of slechts na expliciete toestemming, zijn doorbroken. Deze controle dient te worden uitgevoerd door de security officer. • Voorgeschreven authenticatievoorschriften – Controleren dat de authenticatievoorschriften zoals vastgelegd in objecten in overeenstemming zijn met de bepaalde (en dus voorgeschreven) authenticatievoorschriften. Deze controle dient te worden uitgevoerd door de security officer.
Techniek Zoals in het inleidende hoofdstuk reeds is aangehaald, kunnen geautomatiseerde hulpmiddelen worden ingezet voor de ondersteuning van de IAM-processen. Met name ten behoeve van het realiseren van de aan de IAM-processen gestelde voorwaarden, kan een geautomatiseerde IAM-omgeving een substantiële bijdrage leveren. Met het oog op een efficiënte en optimale IAM-omgeving kunnen navolgende onderdelen worden geautomatiseerd. 10 / 18
Procesgang gebruikersbeheer (inclusief koppeling met HR-systeem) Op basis van workflow-mechanisme kan de procesgang van het vastleggen van gebruikergegevens, het toekennen/afnemen van autorisaties en verwerken van de autorisatiewijzigingen in objecten volledig zijn geautomatiseerd (zie figuur 7). Gebruikersbeheer & Verwerken (provisioning)
• Indiensttreding • Wijziging functie • Uitdiensttreding
1. Bijwerken HR-systeem (handmatig)
2. Trigger met gegevens naar workflow (automatisch)
3. Bepalen van autorisaties binnen verantwoordelijkheidsgebied (automatisch)
4. Toekennen/ontnemen autorisaties (handmatig)
5. Verwerken in objecten (automatisch)
Autorisaties voor gebruiker verwerkt in betrokken objecten
Figuur 7 - Geautomatiseerde procesgang gebruikersbeheer
Het startpunt van het gebruikersbeheerproces betreft een wijziging in het HR-systeem (1). Nadat een wijziging in het HR-systeem is doorgevoerd, stuurt het HR-systeem direct een geautomatiseerd signaal, vaak aangeduid als “trigger”, naar het workflow-mechanisme (2). Nadat de functionaris die verantwoordelijk is voor het toekennen/ontnemen van autorisaties door het workflow-mechanisme is geïnformeerd, bepaalt het workflow-mechanisme de autorisaties die binnen het verantwoordelijkheidsgebied van de betreffende functionaris liggen (3). Welke autorisaties door welke functionaris mogen worden toegekend, wordt vastgelegd in het workflow-mechanisme als onderdeel van het autorisatiebeheer. Nadat het workflow-mechanisme de autorisatie binnen het verantwoordelijkheidsgebied van de functionaris heeft bepaald, kan deze functionaris (afhankelijk van de wijziging in het HR-systeem) autorisaties aan gebruikers toekennen dan wel ontnemen (4). De laatste stap binnen het workflow-mechanisme betreft het geautomatiseerd verwerken van de autorisaties in de objecten (5). Door het toepassen van een geautomatiseerd workflow-mechanisme kunnen navolgende voordelen worden behaald: • Verhoging efficiëntie –Geautomatiseerde verwerking (provisioning) vergt minimale manuele handelingen van systeembeheerders. Dit drukt de kosten en daarnaast worden de doorlooptijden van het toekennen/ontnemen van autorisaties verkort. • Verhoging effectiviteit – Door de kortere doorlooptijd, beschikken gebruikers sneller over de autorisaties waardoor deze gebruikers zo spoedig als mogelijk kunnen beginnen met hun werkzaamheden. • Verhoging beheersbaarheid – Het autorisatiemodel wordt bij het toekennen van autorisaties automatisch afgedwongen waardoor wordt gegarandeerd dat autorisaties slechts conform het beleid en de van toepassing zijnde AO/IC worden toegekend/ontnomen. Extraheren en consolideren controle-informatie Op basis van een technisch hulpmiddel kan het proces ten aanzien van het extraheren van informatie uit objecten en het consolideren van deze informatie worden geautomatiseerd opdat alle in het controleproces benodigde informatie centraal kan worden opgevraagd. Voorkomen wordt dat de binnen het controleproces verantwoordelijke functionaris alle objecten afzonderlijk moet benaderen om de vereiste informatie te verzamelen. Daarnaast kan op basis van het geautomatiseerd extraheren van controle-informatie constante monitoring worden uitgevoerd. Het monitoring-proces vergelijkt dan de autorisaties die tijdens het geautomatiseerde gebruikersbeheer aan gebruikers zijn toegekend (SOLL) met de daadwerkelijk toegekende autorisaties in de objecten (IST).
11 / 18
Door het extraheren en consolideren van controle-informatie te automatiseren wordt een goed controleerbare IAM-omgeving gerealiseerd waarbij de controleprocessen effectief en efficiënt worden uitgevoerd.
Typologieën van een Enterprise Identity & Access Management Met betrekking tot een organisatiebrede IAM, het zogenaamde Enterprise Identity & Access Management (EIAM), kan een aantal verschillende typologieën worden onderkend. Deze paragraaf zet de te onderkennen typologieën uiteen.
Onderkende typologieën De wijze van inrichting van het EIAM wordt onder andere beïnvloed door het feit of ICT-objecten al dan niet tussen de verschillende organisatie-eenheden, met ieder hun eigen IAM-omgeving, worden gedeeld. Met andere woorden: worden ICT-objecten al dan niet benaderd door medewerkers van andere organisatie-eenheden. Alvorens de inrichting ten aanzien van het EIAM kan worden vormgegeven, dient de organisatie te bepalen welke typologie voor EIAM wordt gekozen. Indien ICT-objecten slechts worden gebruikt door medewerkers van de organisatie-eenheid welke zelf verantwoordelijk is voor de betreffende IAM-omgeving, dan volstaat een EIAM waarbinnen diverse autonome IAM-omgevingen worden onderkend. De medewerkers worden per organisatie-eenheid in de eigen IAMomgeving geregistreerd.
Objecten
Objecten
Objecten
Objecten
Objecten
Objecten
Figuur 8 - Objecten niet gedeeld
In een situatie waarbij ICT-objecten tussen verschillende organisatie-eenheden moeten worden gedeeld, heeft een organisatie op hoofdlijnen een viertal typologieën voorhanden om dit te realiseren, te weten: • Medewerker in elke IAM-omgeving afzonderlijk registreren. • Medewerker in elke IAM-omgeving afzonderlijk registreren, gebruikmakend van “global” identificatie. • Federated Identity Management. • Centrale overkoepelde IAM-omgeving inrichten. Medewerker in elke IAM-omgeving afzonderlijk registreren In principe betreft dit dezelfde typologie als de typologie waarbij geen objecten tussen organisatieeenheden worden gedeeld. Echter, nu worden de medewerkers welke toegang nodig hebben tot objecten van een andere organisatie-eenheid, binnen de IAMomgeving van de betreffende organisatie-eenheid opnieuw geregistreerd. Een groot voordeel van de voornoemde typologie is dat deze typologie relatief eenvoudig is te implementeren. Immers, de organisatie behoeft geen nieuwe middelen aan te schaffen en geen wijzigingen door te voeren in de bestaande implementatie. Deze typologie is direct te implementeren waardoor medewerkers direct toegang kunnen worden verschaft tot objecten van andere organisatieFiguur 9 - ICT-objecten gedeeld eenheden. Echter, aan deze typologie kleeft ook een aantal essentiële nadelen, te weten: • Inefficiënt – Het dubbel moeten registreren van medewerkers binnen de verschillende IAMomgevingen is arbeidsintensief en brengt de nodige kosten voor het gebruikers- en authenticatiebeheer met zich mee. Immers, voor elke IAM-omgeving waartoe een medewerker toegang nodig heeft, dient de medewerker te worden geregistreerd en te worden voorzien van een authenticatiemiddel. • Gebruikersonvriendelijk en kans op toename beveiligingsincidenten – De medewerker wordt per IAM-omgeving voorzien van een apart authenticatiemiddel. Hierdoor groeit de digitale sleutelbos Objecten
Objecten
Objecten
Objecten
12 / 18
Objecten
Objecten
•
•
van de medewerker. Indien deze authenticatiemiddelen een gebruikersnaam/wachtwoordcombinatie betreffen, bestaat het risico dat de medewerker zwakke wachtwoorden kiest, deze opschrijft of hergebruikt. Dit houdt in dat de kans op misbruik van het wachtwoord toeneemt. Relatie met HR-systeem onvoldoende gewaarborgd – Een medewerker wordt binnen een IAMomgeving van een andere organisatie-eenheid geregistreerd, terwijl de levenscyclus van deze medewerker alleen in het HR-systeem van de organisatie-eenheid wordt beheerd waar de medewerker oorspronkelijk werkzaam is. Indien de medewerker uit dienst treedt en de bijbehorende autorisaties moeten worden ingetrokken, is dit niet direct zichtbaar voor de organisatie-eenheid waar de medewerker niet werkzaam voor is. Derhalve dient hiertoe een separaat proces te worden ingericht dat erop is gericht om wijzigingen in het HR-systeem kenbaar te maken aan de andere organisatie-eenheden. Hierbij bestaat het risico dat de uitdiensttreding van een medewerker niet, of niet tijdig, bekend is bij de andere organisatie-eenheid. Integrale controle complex – Daar de IAM-omgevingen autonoom functioneren, niet technisch aan elkaar zijn verbonden en medewerkers dubbel en met verschillende gebruikersidentificaties (een medewerker bezit binnen de verschillende IAM-omgevingen over verschillende gebruikeridentificaties) zijn geregistreerd, is het moeilijk om een effectieve integrale controle te bewerkstelligen. Daar er verschillende gebruikersidentificaties worden gehanteerd, is het bijna onmogelijk om effectieve “global reporting” te ondersteunen. Teneinde aan deze verplichting tegemoet te komen dient de organisatie additionele organisatorische en procesmatige maatregelen te treffen.
Medewerker in elke IAM-omgeving afzonderlijk registreren, gebruikmakend van “global” identificatie Deze typologie betreft dezelfde als de vorige typologie, met dien verstande dat gebruik wordt gemaakt van een organisatieoverkoepelende unieke gebruikersidentificatie (“global” identificatie). Door binnen de diverse organisatie-eenheden door de gehele organisatie heen een unieke gebruikersidentificatie voor medewekers te hanteren, is het makkelijker om “global” reporting te ondersteunen. Immers, gebruikers kunnen binnen de gehele organisatie uniek worden geïndentificeerd. Federated Identity Management Een andere mogelijke typologie betreft een oplossing gebaseerd op het Federated Identity Management (FIM)-principe. Bij een FIM-oplossing blijven de diverse IAM-omgevingen in principe autonoom functioneren. Echter, een authenticatie-oplossing, zoals geïmplementeerd door een bepaalde organisatie-eenheid, kan door een andere organisatie-eenheid worden hergebruikt (zie figuur 10). Resumerend betekent dit dat de organisatie-eenheid waarvoor de betreffende medewerker werkzaam is, de medewerker authenticeert (1), waarna de identificatiegegevens en eventueel additionele attributen (bijvoorbeeld de afdeling waar de medewerker werkzaam is) van deze geauthenticeerde medewerker worden doorgespeeld aan een andere organisatie-eenheid (2). De ontvangende organisatie-eenheid kan steunen op de reeds door de andere organisatie-eenheid uitgevoerde authenticatie. De ontvangende organisatie-eenheid behoeft slechts op basis van de ontvangen gegevens te bepalen of deze medewerker al dan niet toegang mag worden verschaft tot bepaalde objecten (3/4).
13 / 18
Objecten
4. Toegang verschaffen
Objecten
1. Authenticeren
Objecten
2. Gebruikersidentificatie+ additionele gegevens 3. Bepalen autorisaties
Figuur 10 – Federated Identity Management
In de meest eenvoudige vorm kan de ontvangende organisatie-eenheid op basis van de ontvangen additionele gegevens bepalen of de medewerker toegang mag worden verschaft. Indien een medewerker bijvoorbeeld werkzaam is voor een bepaalde afdeling van een organisatie-eenheid, dan kan dit automatisch leiden tot de toegang tot objecten die bij de afdeling behoren van de andere organisatie-eenheid. In een meer complexere FIM-omgeving kunnen de autorisaties van de medewerkers van andere organisatie-eenheden op basis van de bestaande IAM-processen expliciet worden toegekend dan wel worden ontnomen. Een FIM-architectuur levert een organisatie de navolgende voordelen op: • Verlaging operationele kosten – In relatie tot de vorige oplossing, behoeft een medewerker bij een FIM-oplossing niet binnen elke IAM-omgeving opnieuw te worden geregistreerd en te worden voorzien van een apart authenticatiemiddel. • Gebruikersvriendelijk en betere risicobeheersing – De medewerker bezit slechts één authenticatiemiddel (of een minimaal aantal authenticatiemiddelen) voor de toegang tot objecten binnen de verschillende IAM-omgevingen. Daar de medewerker niet is voorzien van een diversiteit aan authenticatiemiddelen en de medewerker zich bewust is van het feit dat het authenticatiemiddel kan worden toegepast binnen diverse IAM-omgevingen, zal de medewerker geneigd zijn het authenticatiemiddel met de nodigde voorzichtigheid te behandelen. Hierdoor wordt misbruik zoveel mogelijk voorkomen. • Bij uitdiensttreding toegangontzegging gewaarborgd – De organisatie-eenheid waarvoor de medewerker oorspronkelijk werkzaam is, is verantwoordelijk voor het authenticeren en het beheer van het authenticatiemiddel van de medewerker. Indien de medewerker uit dienst treedt, dan zal dit als zodanig in het HR-systeem van de betreffende organisatie-eenheid worden geregistreerd. Dit zal automatisch leiden tot het proces dat verantwoordelijk is voor het intrekken van het authenticatiemiddel. Doordat de medewerker niet meer kan worden geauthenticeerd, heeft de medewerker binnen een FIM-omgeving ook geen toegang meer tot objecten. Naast de genoemde voordelen, kent een FIM-oplossing ook een aantal nadelen, te weten: • Inrichten afsprakenstelsel – Ten behoeve van een effectieve FIM-oplossing dient een afsprakenstelsel te worden ingericht. Hierbij betreft de aansprakelijkheid een essentieel aandachtspunt. Immers, welke organisatie-eenheid is verantwoordelijk voor schade die voortvloeit uit het onterecht toegang verschaffen tot bepaalde objecten? Alle afspraken en service levels dienen te worden vastgelegd in respectievelijk contracten en service level agreements (SLA’s). • Integrale controle complex – Daar er binnen een FIM-omgeving ook autonome IAM-omgevingen worden onderkend, geldt ook voor deze typologie dat de integrale controle complex is. Teneinde aan de verplichting hieromtrent te kunnen voldoen, dienen additionele organisatorische en procesmatige maatregelen te worden getroffen. Echter, door gebruikersidentificaties te hergebruiken, is het wel mogelijk om “global reporting” te ondersteunen.
14 / 18
•
Locaal beheer van autorisaties – Ofschoon een medewerker bij uitdiensttreding geen toegang meer heeft tot objecten van andere organisatie-eenheden, zijn de gebruikersidentiteit en de autorisaties nog wel in de objecten van deze organisatie-eenheden aanwezig. Teneinde vervuiling tegen te gaan en te waarborgen dat slechts rechtmatige autorisaties aan gebruikers in objecten zijn toegekend, dient een separaat proces te worden ingericht opdat de gebruikersidentiteiten en de autorisaties bij een wijziging in het HR-systeem daadwerkelijk in de objecten van de andere organisatie-eenheden worden verwerkt. Organisatie
Centrale IAM-omgeving Als laatste is een typologie voorhanden welke uitgaat van een centrale IAM-omgeving, waarbij de uitvoering van de IAMprocessen decentraal is belegd. Hierbij voorziet de centrale organisatie in een technische IAM-infrastructuur die een workflow-mechanisme ondersteunt voor het gebruikersbeheer en het extraheren en consolideren van controle-informatie.
Onderdeel A
Onderdeel B
Onderdeel C
Objecten
Objecten
Objecten
Objecten
Objecten
Objecten
IAM-uitvoering
IAM-uitvoering
IAM-uitvoering
Centrale IAM-omgeving
De verschillende organisatie-eenheden kunnen van deze gemeenschappelijke IAM-infrastructuur gebruikmaken ten behoeve van het uitvoeren van de onderkende IAM-processen.
Figuur 11 - Centrale IAM-omgeving
Een centrale IAM-omgeving heeft de navolgende voordelen: • Uniform proces voor toekennen/ontnemen autorisaties afdwingen – Daar gebruik wordt gemaakt van een centrale IAM-infrastructuur, kan op centraal niveau de workflow voor het gebruikersbeheer worden gedefinieerd en op basis van het technische hulpmiddel worden afgedwongen. • Integrale controle mogelijk – Daar gebruik wordt gemaakt van een centraal technisch hulpmiddel voor het extraheren van controle-informatie is het mogelijk om op centraal niveau, over alle organisatie-eenheden heen, “global reporting” te ondersteunen en een effectieve en efficiënte controle uit te voeren. Zo is het ook mogelijk om eenvoudig te controleren of binnen de diverse organisatie-eenheden door de gehele organisatie heen de voorgeschreven functiescheiding is gewaarborgd. • Op basis van standaard gebruikersbeheerproces medewerkers van andere organisatie-eenheden toegang verschaffen – Op het moment dat een medewerker toegangsrechten nodig heeft tot een object van een andere organisatie-eenheid, dan kan de verantwoordelijke functionaris de autorisaties eenvoudig op basis van standaard gebruikersbeheerprocessen aan de betreffende medewerker toekennen. Immers, de medewerker is binnen de centrale IAM-infrastructuur bekend bij alle organisatie-eenheden. • Relatie HR-systeem goed gewaarborgd – De centrale IAM-infrastructuur kan ervoor zorgdragen dat op het moment dat er wijzigingen worden doorgevoerd in een HR-systeem de gebruikersidentiteiten en autorisaties van alle aangesloten objecten (van de verschillende organisatie-eenheden) worden bijgewerkt. Naast de voordelen, kunnen in het kader van een centrale IAM-omgeving de navolgende nadelen worden onderkend: • Lange doorlooptijd alvorens oplossing beschikbaar is – Het inrichten van een organisatiebrede IAM-omgeving vergt een lange doorlooptijd. Dit kan verstorend werken op het moment dat op korte termijn behoefte is om medewerkers van andere organisatie-eenheden toegang te vershaffen tot objecten. • Hoge investering centrale IAM-infrastructuur en (mogelijke) desinvestering bestaande IAMomgevingen – Het voor de gehele organisatie inrichten van een IAM-omgeving brengt de nodige inspanning en kosten met zich mee. Daarnaast hebben de diverse organisatie-eenheden doorgaans reeds een vorm van IAM ingericht waarbij gebruik wordt gemaakt van technische hulpmiddelen. Op het moment dat een nieuwe centrale infrastructuur wordt geïmplementeerd, dienen de bestaande oplossingen te worden uitgefaseerd wat een desinvestering kan betekenen. 15 / 18
•
Single-Point-of-Failure (SPOF) – Bij een centrale IAM-omgeving is de organisatie volledig afhankelijk van de beschikbaarheid van de gemeenschappelijke IAM-infrastructuur. Mocht de IAM-infrastructuur niet beschikbaar zijn, dan betekent dit bijvoorbeeld dat autorisaties die direct van een medewerker moeten worden ontnomen niet tijdig in objecten worden ingetrokken. Derhalve dient de organisatie altijd te zorgen voor alternatieve (nood)procedures opdat de IAMprocessen doorgang kunnen vinden.
Kiezen typologie In de meest optimale situatie beschikt een organisatie over één centrale IAM-omgeving, welke ondersteuning biedt aan alle locale IAM-processen. Maar - zoals reeds naar voren kwam - is het niet realistisch om een dergelijke oplossing een-twee-drie te implementeren. Daarnaast kan het zijn dat de kosten gekoppeld aan de implementatie van een organisatiebrede IAM-infrastructuur niet opwegen tegen de baten. Derhalve dient de organisatie eerste te bepalen welke typologie wenselijk is, en hoe tot deze typologie moet worden gekomen. In praktijk beschikken de organisatie-eenheden reeds over enige vorm van IAM. Afhankelijk van het feit of medewerkers al dan niet toegang moeten hebben tot objecten van andere organisatie-eenheden, is de vraag voor welke typologie wordt gekozen. Indien objecten niet worden gedeeld, kan worden volstaan met een typologie die bestaat uit verschillende autonome IAM-omgevingen waarbij op basis van organisatorische en procesmatige maatregelen verantwoordelijkheid wordt afgelegd aan de centrale afdeling van de organisatie. Indien objecten wel worden gedeeld, dan dient de organisatie te kiezen voor een typologie waarbij dit mogelijk is. In eerste instantie kan, indien de behoefte groot is om medewerkers op korte termijn toegang te verschaffen tot objecten van andere organisatieeenheden, voor de typologie worden gekozen waarbij medewerkers per organisatie-eenheid worden geregistreerd. Vervolgens kan dan worden doorgegroeid naar een FIM-oplossing en/of een centrale IAM-omgeving. Indien binnen de organisatie grote behoefte is aan een effectieve en efficiënte integrale controle en “global reporting”, dan ontkomt een organisatie er bijna niet aan om door te groeien naar een centrale IAM-omgeving. Een oplossing gebaseerd op FIM is met name wenselijk in die situaties waarbij de organisatie wordt geconfronteerd met hoge kosten voor het beheren van authenticatiemiddelen.
Inrichting van een Enterprise Identity & Access Management Nu inzichtelijk is met welke verplichtingen en behoeften een organisatie wordt geconfronteerd, welke weerslag dit heeft op IAM en welke typologieën voor EIAM mogelijk zijn, rijst de vraag op hoe een organisatie met heterogene ICT-omgevingen haar EIAM moet inrichten. Binnen het model EIAM, wordt de rol van de centrale afdeling en de rol van de locale organisatie-eenheden beschreven. Waar van toepassing wordt een onderscheid gemaakt tussen de verschillende typologieën. Organisatie Ten eerste dient de organisatie een overkoepelend EIAM-beleid te formuleren waarin de strategie met betrekking tot EIAM uiteen is gezet. Een essentieel onderdeel vormt de typologie welke wordt gekozen en de wijze hoe tot deze typologie moet worden gekomen. Het beleid dient kaderstellend te zijn voor het locale beleid en de uitvoering van de operationele IAM-processen teneinde de conformiteit ten aanzien van de verplichtingen en behoefte te garanderen. Een belangrijk onderdeel betreft het bepalen en beleggen van de centrale en locale verantwoordelijkheden. Voor alle typologieën geldt dat de centrale afdeling verantwoordelijk is voor het in kaart brengen van de verplichtingen en bijbehorende maatregelen die voor de gehele organisatie van toepassing zijn. Daarnaast is het de verantwoordelijkheid van de betreffende organisatie-eenheid (of een aangewezen organisatie-eenheid per regio) om de verplichtingen met betrekking tot locale wet- en regelgeving in kaart te brengen en de bijbehorende maatregelen te implementeren. Indien binnen de typologie autonome IAM-omgevingen worden onderkend, dan dient per organisatieeenheid een verantwoordelijke functionaris te zijn aangewezen, welke eigenaar is van de gehele locale 16 / 18
IAM-omgeving (techniek en processen). Op basis van organisatorische en procesmatige maatregelen wordt deze locale functionaris verplicht om omtrent de locale IAM-bedrijfsvoering verantwoording af te leggen aan de centrale afdeling. Voorgaande wordt bewerkstelligd door de uit de IAMcontroleprocessen voortvloeiende rapportages aan de centrale afdeling ter beschikking te stellen. Indien er zich afwijkingen voordoen, kan de centrale afdeling direct en effectief bijsturen. Ofschoon bij een centrale IAM-omgeving een aantal controles centraal kunnen worden opgepakt (bijvoorbeeld controle op naleving van functiescheiding en rechtmatigheid van autorisaties binnen IAM-omgeving), ontkomt een organisatie-eenheid er niet aan om ook zelf een aantal controles uit te voeren. Immers, de centrale afdeling heeft onvoldoende inzicht in locale verplichtingen. Processen De rol van de centrale afdeling van de organisatie dient dieper te gaan dan slechts het opstellen van een beleid. De centrale afdeling dient de locale afdelingen eveneens richtlijnen met betrekking tot de bij de locale IAM-omgeving betrokken processen voor te schrijven. Hiertoe zal de centrale afdeling richtlijnen in het kader van de AO/IC opstellen ten behoeve van het gebruikersbeheer, autorisatiebeheer, authenticatiebeheer en de controleprocessen. In deze richtlijnen dienen de voorwaarden waaraan een beheersbare IAM-omgeving dient te voldoen, zoals eerder in dit artikel uiteengezet, te zijn geïncorporeerd. Bij een typologie die uitgaat van een centrale IAM-omgeving, kan een aantal van deze richtlijnen op basis van de centrale IAM-infrastructuur worden afgedwongen, zoals de procesgang van de IAM-processen. Daarnaast dienen richtlijnen beschikbaar te zijn inzake de rapportages welke in het kader van EIAM moeten worden geproduceerd. Voor de typologieën waarbinnen autonome IAM-omgevingen worden onderkend dient speciaal aandacht te worden besteed aan de rapportages die de locale afdelingen aan de centrale afdeling beschikbaar moeten kunnen stellen in het kader van algemene verplichtingen, zoals SOx. Het bepalen van rapportages welke in het kader van de locale wet- en regelgeving moeten worden geproduceerd, valt onder de verantwoordelijkheid van de functionaris welke verantwoordelijk is voor de locale IAM-omgeving. Techniek Bij de typologie die uitgaat van een centrale IAM-omgeving, zal binnen de organisatie gebruik worden gemaakt van dezelfde techniek en protocollen. De centrale afdeling zal voorzien in een centrale IAM-infrastructuur waar de organisatie-eenheden op moeten aansluiten. Hierbij zal de centrale afdeling architectuurprincipes voorschrijven die met name zijn gericht op de wijze hoe de locale HR-systemen en objecten van de verschillende organisatie-eenheden op de centrale infrastructuur moeten worden aangesloten. Tevens zal de centrale afdeling de procesgang van de IAM-processen op basis van de centrale IAM-infrastructuur afdwingen. Bij typologieën met autonome IAM-omgevingen, bestaat de rol van de centrale afdeling met name uit het voorschrijven van architectuurprincipes die moeten waarborgen dat de locale IAM-omgevingen de verplichtingen en behoefte van de organisatie nakomen. Teneinde te waarborgen dat de technische omgeving in overeenstemming functioneert met het gestelde beleid, dienen de architectuurprincipes een aantal aspecten te adresseren, te weten: • Definitie van gebruikersidentiteiten – Binnen een EIAM is het cruciaal dat gebruikers uniek kunnen worden herleid naar een fysieke identiteit. Derhalve moet worden voorkomen dat binnen de diverse locale IAM-omgevingen door de gehele organisatie heen dezelfde gebruikersidentiteiten worden uitgegeven. De centrale afdeling moet voorzien in een gebruikersidentificatiemodel ten behoeve van het waarborgen van de uniciteit van de organisatiebreed uit te geven gebruikersidentiteiten. Een mogelijke oplossing kan zijn dat locale IAM-omgevingen worden verplicht om een voorgeschreven syntax te hanteren en om standaard een unieke code voor de gebruikersidentiteit te plaatsen (bijvoorbeeld landcode). • Beveiliging – Zoals dat voor alle objecten binnen een organisatie van toepassing is, dient ook de beveiliging van de geautomatiseerde hulpmiddelen binnen de IAM-omgeving te voldoen aan de gestelde beveiligingseisen van de organisatie. Ten eerste is het essentieel dat er architectuurprincipes worden opgesteld met betrekking tot de autorisaties binnen de 17 / 18
•
•
geautomatiseerde hulpmiddelen, het autorisatiemodel van de geautomatiseerde IAM-omgeving zelf. Hierbij dienen algemene uitgangspunten te worden nageleefd (bijvoorbeeld functiescheiding tussen auditors, gebruikers en beheerders). Ten tweede dienen architectuurprincipes te worden opgesteld ten behoeve van het beveiligen van de koppelingen (bijvoorbeeld in geval van geautomatiseerde provisioning) binnen de IAM-omgeving. Zo dient voor de koppelingen te worden gewaarborgd dat de authenticiteit, integriteit, beschikbaarheid en vertrouwelijkheid in overeenstemming zijn met de behoefte van de organisatie. Technische standaarden – De technische hulpmiddelen dienen flexibel te zijn opdat nieuwe toepassingen, die noodzakelijk zijn voor de bedrijfsvoering, eenvoudig op de locale IAMomgeving kunnen worden aangesloten en derhalve direct worden meegenomen in de beheersbare IAM-omgeving. Hiertoe dienen technische standaarden worden voorgeschreven waaraan de locale IAM-omgevingen moeten kunnen voldoen. Uitwisselbaarheid van gebruiker- en authenticatiegegevens (FIM-oplossing) – Teneinde de interoperabiliteit van gebruiker- en authenticatiegegevens binnen een FIM-implementatie te garanderen, dienen in de architectuurprincipes standaarden te worden voorgeschreven welke minimaal moeten worden ondersteund door de locale IAM-omgeving op het gebied van het uitwisselen van gebruiker- en authenticatiegegevens (bijvoorbeeld SAML).
Conclusie Het ICT-landschap van grote organisaties blijft groeien en wordt steeds complexer. Tegelijkertijd wordt de organisatie geconfronteerd met tal van wetten en regels welke van invloed zijn op het IAM en blijft het drukken van de kosten in het kader van het beheer, door efficiënt te opereren, een prominente organisatiebehoefte. Voorgaande roept om een model teneinde een betrouwbare, effectieve, efficiënte organisatiebrede IAM-omgeving te realiseren. In dit artikel is uiteengezet welke componenten binnen een IAM-omgeving kunnen worden onderkend en aan welke voorwaarden deze componenten moeten voldoen teneinde een beheersbare IAMomgeving te kunnen bewerkstelligen. De conclusie van de schrijver van dit artikel is dat ten behoeve van het bereiken van een beheersbare IAM-omgeving een centrale IAM-omgeving voor de gehele organisatie de meeste wenselijke en optimale oplossing is. Echter, omdat het implementeren van een centrale IAM-oplossing de nodige investeringen en mogelijke desinvesteringen van reeds bestaande locale IAM-omgevingen met zich meebrengt, realiseert de schrijver zich dat het meest optimale model voor veel organisaties op korte termijn een utopie betreft. Derhalve heeft dit artikel ook een model uiteengezet, dat weliswaar minder efficiënt is ingericht, waarbij de organisatie op basis van een beleid, richtlijnen en architectuurprincipes een beheersbare IAM-omgeving kan realiseren. Als onderdeel van dit beleid is het essentieel dat de locale organisatie-eenheden op basis van hun IAM-controleprocessen en bijbehorende rapportages verantwoording afleggen over hun locale IAM-omgeving opdat de centrale afdeling, indien noodzakelijk, direct en effectief kan bijsturen. Literatuur [1] M. Verbree en P.E. van der Hulst, Federated Identity Management: het einde van de digitale sleutelbos?, Compact (2005/3), TIEM (november 2006), GVIB Informatiebeveiliging (april 2007). [2] Platform Informatiebeveiliging, Studie Role Based Access Management (2005). [3] J.A.M. Hermans, D.B. van Ham en J. ter Hart, Globalisering en de complexiteit van logische toegang (Compact 2006/3).
18 / 18
