Authentication is the key

6-12-2010

inhoud

Authentication is the key

Authenticatie en Access Control Authenticatie en IAM Authenticatie- oplossing Een klantvoorbeeld www.thauco.com Versie 5

6-12-2010

© The Authentication Company

1

Authenticatie Soorten: Identificatie: Wie ben jij? Verificatie: ben je wie je zegt dat je bent?

Sterkte Factoren: Kennis: Wachtwoorden, PIN, Bezit: sleutels, tokens (USB, OTP, calculators), kaarten (contactloos smartcards), Lichaam: vinger, iris, retina, hand, gezicht, vingerader, palmader, stem, schrijven, Betrouwbaarheid: Uitgifte Overdraagbaarheid Kopieerbaarheid

Lichaam + Bezit + Kennis Lichaam+ Bezit Lichaam + Kennis Sterke Bezit + Kennis Authenticatie Lichaam Bezit Kennis Standaard Authenticatie

6-12-2010 © The Authentication Company

2

1

6-12-2010

Het authenticatie probleem Veel organisaties vertrouwen nog steeds op wachtwoorden. Veel gebruikersfouten, -verwarring en irritatie Spanning tussen wachtwoordbeleid en gebruikersvriendelijkheid. Wachtwoordmanagement wordt een serieuze kostenpost (o.a. password resets). Veel verschillende authenticatie middelen naast elkaar (veel verschillende wachtwoorden, tokens, sleutels, kaarten, ) Vaak functionele i.p.v. persoonlijke authenticatie (groepen, vervanging, delegatie) Problemen met bewijzen compliance Gescheiden middelen voor fysieke en logische toegang (c) Authasas-confidential, 2010

3

Visie Goede authenticatie en access control wordt een steeds belangrijkere succesfactor in onze fysieke en virtuele wereldwijde samenleving/maatschappij ! Waarom is adequate access control belangrijk ? 1. Be sch e r m in g t e ge n die fst a l van: Goederen, geld, informatie, enz. (alles van waarde) In de fysieke wereld, eigen (logische) netwerken, internet en off-line Externe en interne dreiging

2. 3. 4. 5. 6. 7.

Be sch e r m in g t e ge n fr a u de e n va n da lism e (o.a. hackers, terrorisme ) Voldoe n a a n w e t t e lij k e e ise n (o.a. privacy, compliance) Laagdrempelig genoeg voor gebruikers (discipline) Eenvoudig te beheren Controleerbaarheid handelen (compliance) Posit ie ve bu sin e ss ca se voor organisatie

6-12-2010


4

2

6-12-2010

De 4 A s

Authenticatie

Autorisatie

Audit(trail)

Access 6-12-2010


5

D e 4 A s, Aut he nt ica t ie

Authenticatie Authenticatie Ben je wie je zegt dat je bent 3 factoren: Bezit (pas, token, RFID-, smartcard) Kennis (PIN, wachtwoord) Biometrie (vinger, iris, hand, stem, ader)

Audit(trail)Sterke authenticatie

Autorisatie

PIN+pas Biometrie+pas Username/password+telefoon (SMS)

Access 6-12-2010


6

3

6-12-2010

D e 4 A s, Aut or isa t ie

Authenticatie Autorisatie Wat mag je ? (rechten) Classificatie informatie (en andere assets) Single sign-on (SSO), Reduced sign-on (RSO) Autorisatie Wie bepaalt dat dan? (lijnmanagement)

Audit(trail)

Life cycle management Veelal veel vervuiling in ID-registers Compliance (controllers, AO/IC) Access 6-12-2010


7

D e 4 A s, Acce ss

Authenticatie

Access 4 domeinen: Audit(trail)

fysiek (gebouwen, terreinen, ruimtes)

Autorisatie

Logisch (bedrijfsnetwerken) Internet (remote, the world) Off line (laptops, memory sticks)

wildgroei van oplossingen verdeelde verantwoordelijkheid Accessen logisch Trend integratie fysiek 6-12-2010


8

4

6-12-2010

D e 4 A s, Audit t r a il

Authenticatie

Audittrail Logging Reporting Audit(trail)(management, compliance) Accounting (verrekening)

Autorisatie

Access violations (patronen, steekproeven) Alarmen en escalaties

Access 6-12-2010


9

IAM- leercurve

Authenticatie

Autorisatie

Audit(trail)

Access 6-12-2010


10

5

6-12-2010

leercurve voor IAM

Authenticatie

Governance fase

Access fase

Audit(trail)

Autorisatie

Authenticatie fase

Organische fase

Access 6-12-2010


11

leercurve voor IAM Verbeteren authenticatie -Nadruk op gemak -Invoeren SSO en strong authentication -User life cycle management -Knelpunten access control oplossen -Positieve business case

Authenticatie

Iam

Governance fase

Access fase

Audit(trail)

Authenticatie fase

Autorisatie

Organische fase

Access 6-12-2010


12

6

6-12-2010

leercurve voor IAM Verbeteren autorisatie en access -Nadruk op toegang en classificatie assets -Invoeren IAM -Access life cycle management -Gefaseerde invoering IAM-systeem (groei) -> Neutrale business case -Voordeel voor beheerders

Authenticatie

IAm

Governance fase

Access fase

Audit(trail)

Autorisatie

Authenticatie fase

Organische fase

Access 6-12-2010


13

leercurve voor IAM Verbeteren governance - Nadruk op bewaken beheren en managen -Access control life cycle management -Gefaseerde invoering RBAC -> Neutrale business case -Voordeel voor management en compliance IAM

Authenticatie

Governance fase

Access fase

Audit(trail)

Authenticatie fase

Autorisatie

Organische fase

Access 6-12-2010


14

7

6-12-2010

impact Mensen Gebruikers: gemak Authenticatie Beheerders: eenvoud Management: ROI Controllers/CISO: compliance rest of the world: ???? Organisatie Audit(trail) Beheerprocessen (4 A s)

ICT

Autorisatie

Heldere verantwoordelijkheden Voorlichting (WIIFM) Discipline Access 6-12-2010


15

Access control architectuur Fysieke toegang,

Audit & Security management systeem

Authenticatie methoden (Authenticators)

Logische Toegang (MS, SAP, Oracle, ..),

Authenticatie management systeem

Single Sign- on

Autorisatie Mgnt. systemen

User Directories AD, LDAP,

Gebruikers Anywhere Anytime Anyplace

6-12-2010

Provisioning & logistiek © The Authentication Company

internet Toegang applicaties

Identity Access Mgnt.

Off line Toegang

16

8

6-12-2010

Een voorbeeld aanpak

Authenticatie

Autorisatie

Audit(trail)

Centrale rol voor draaiboek (learning loop) Gebaseerd op best practises Access Gebaseerd op Prince-2 6-12-2010


17

Swiss army knife

6-12-2010


18

9

6-12-2010

En ve r de r

..

Ombudsman: Heel tevreden klant Goeie referentie Wederzijds goeie deal

Vragen??

6-12-2010


19

Voorbeeld implementatie

10

Authentication is the key

Recommend Documents