Identity & Access Governance: brengt commercie en IT samen

WHITE PAPER

Identity & Access Governance: brengt commercie en IT samen Gezien de risico’s die gepaard gaan met de ernstige bedreigingen en strenge voorschriften van tegenwoordig is de behoefte aan Identity & Access Governance (IAG) hoger dan ooit. U moet precies weten wie toegang tot welke resources heeft en of deze mate van toegang gepast is. De afgelopen jaren is deze noodzaak om dingen te weten uitgegroeid van een IT-richtlijn tot een absolute zakelijke must. Naarmate de technische knowhow van het grote publiek zich ontwikkelt, wordt het risico op lekken in de beveiliging steeds groter en tegelijkertijd moet uw organisatie hier steeds sneller op reageren. Hoewel Identity Management hoofdzakelijk een vraagstuk voor de IT-afdeling is, zijn hieraan gerelateerde zaken als beveiligingscompliance, risicobeperking en toegangsbeheer van het grootste belang voor de managers van uw organisatie. De functies van Identity Management en Access Governance systemen overlappen elkaar voor een groot deel. Maar de mensen die deze systemen gebruiken (IT-professionals en bedrijfsmanagers), hebben meestal totaal verschillende doelstellingen en een andere technologische achtergrond. Hoewel het logisch is om de twee systemen samen te voegen, moeten de geïntegreerde systemen niet alleen krachtig genoeg zijn om aan de eisen van de IT-afdeling te voldoen, maar ook eenvoudig genoeg om door niet in IT gespecialiseerde bedrijfsmanagers te worden beheerd. Dit wil overigens niet zeggen dat voor beide taken één systeem kan of moet worden gebruikt. Gezien de toenemende eisen die aan beide systemen worden gesteld, is het echter wel noodzakelijk dat uw IAG oplossing naadloos in zowel IT- als bedrijfstools kan worden geïntegreerd.

WHITE PAPER

Inhoudsopgave Overzicht van de IAG sector.................................................................................................................................... 1 Marktwerking........................................................................................................................................................ 1 Aanvallen, cyberterrorisme, inbraak van binnenuit en fraude.............................................................................. 1 De opkomst van de cloud..................................................................................................................................... 1 Mobiele toegang................................................................................................................................................... 1 Budgettaire beperkingen...................................................................................................................................... 1 De druk die hieruit voortvloeit............................................................................................................................... 2 Audits, voorschriften en compliance..................................................................................................................... 2 Snelle toegang en updates................................................................................................................................... 2 De samensmelting van twee werelden..................................................................................................................... 2 Definities............................................................................................................................................................... 2 Identity Management............................................................................................................................................ 2 Access Governance............................................................................................................................................. 2 IAG en bedrijfseisen............................................................................................................................................. 3 Integratie en echte evolutie...................................................................................................................................... 3 De waarde van bestaande investeringen............................................................................................................. 3 De toekomst......................................................................................................................................................... 3 Belangrijke elementen van effectieve IAG oplossingen........................................................................................... 3 Een leverancier selecteren....................................................................................................................................... 4 Over NetIQ............................................................................................................................................................... 5



WHITE PAPER: Identity & Access Governance: brengt commercie en IT samen |

Overzicht van de IAG sector Marktwerking Talloze factoren hebben bijgedragen aan de explosieve groei van de Identity & Access Governance (IAG) markt. Hieronder worden een aantal van de voornaamste factoren uiteengezet die deze groei stimuleren.

Aanvallen, cyberterrorisme, inbraak van binnenuit en fraude Hoewel het voor de meeste bedrijven relatief eenvoudig is om een goede fysieke beveiliging voor de medewerkers op alle locaties te realiseren, vinden zij het vaak een hele kluif om de veiligheid van hun systemen, gegevens en intellectuele eigendommen te garanderen. Cyber- en computeraanvallen kunnen overal vandaan komen, niet alleen van externe bronnen, maar zelfs van de eigen medewerkers van een organisatie. Hoewel het aantal door het Federal Bureau of Investigation (FBI) onderzochte gevallen van fraude jaarlijks met gemiddeld 10% stijgt1, ligt het aantal gevallen waarbij de FBI nooit wordt betrokken significant hoger. Van ontevreden medewerkers tot gewetenloze concurrenten en cyberhackers die op zoek zijn naar gegevens om te verkopen: de risico’s zijn nog nooit zo groot geweest. Helaas kunnen de meeste cyberaanvallen en lekken in de beveiliging worden voorkomen. De kans is groot dat uw bedrijf al beschikt over alle informatie die nodig is om aanvallen af te weren. Wat vermoedelijk ontbreekt, is een manier om de gegevens op zodanige wijze te ordenen, beheren en controleren dat beveiligingsrisico’s worden opgemerkt en preventieve maatregelen kunnen worden getroffen.

De opkomst van de cloud Het Amerikaanse National Institute of Standards and Technology (NIST) definieert de cloud als ‘de levering van computerfuncties als een service, in plaats van een product, waarbij gedeelde resources, software en informatie via een netwerk (gewoonlijk het internet) als een nutsvoorziening (vergelijk gas en elektriciteit) aan computers en andere apparatuur worden verstrekt’2. Wereldwijd neemt de populariteit van in de cloud gehoste platformen en services toe. De redenen hiervoor spreken voor zich. In de cloud geleverde SaaS (Software-as-a-Service) is van huis uit schaalbaar. Bedrijven betalen alleen voor de software die ze nu nodig hebben en als er in de toekomst meer capaciteit nodig is, kunnen er eenvoudig aanvullende resources worden toegewezen. De levering van services in de cloud brengt echter de nodige uitdagingen met zich mee. Zo kan het prijzig en riskant zijn om alle gebruikers toegang tot alle applicaties te verlenen. Om de kosten binnen de perken te houden en de beveiligingsrisico’s te beperken, moet u in staat zijn om de toegang tot cloudresources op basis van de rollen en verantwoordelijkheden van gebruikers toe te wijzen. Kortom, u hebt een effectieve IAG oplossing nodig.

Mobiele toegang Om uw concurrentiepositie te verstevigen, moet u ervoor zorgen dat uw netwerkresources altijd en overal vandaan toegankelijk zijn. Hier komt veel meer bij kijken dan het installeren van traditionele VPN clients (Virtual Private Network) op bedrijfssystemen. Zo moeten externe gebruikers vanaf minder traditionele apparatuur, zoals smartphones en tablets, toegang kunnen krijgen. Om op een veilige manier aan deze eisen te voldoen, moet uw oplossing voor toegangsbeheer in staat zijn om gebruikers te verifiëren én hen vanaf verschillende apparaten toegang te verlenen tot hun cloudgebaseerde resources. Dit vereist veilig en vertrouwd Identity Management dat voor alle platformen kan worden gebruikt.

Budgettaire beperkingen In economisch zware tijden maken veel bedrijven hun IT-budgetten krapper, terwijl ze juist steeds hogere eisen aan de ITservices stellen. Zelfs in moeilijke tijden is het lonend om te investeren in volledig geïntegreerde IAG oplossingen waarmee veelvoorkomende procedures en processen worden geautomatiseerd. Dergelijke oplossingen helpen u namelijk tijd en geld te besparen en frustraties te voorkomen. IAG oplossingen werken hoofdzakelijk kostenbesparingen op twee gebieden in de hand: productiviteit en beveiliging. Als uw medewerkers geen toegang hebben tot de resources die zij nodig hebben om hun werk te doen, heeft de productiviteit hieronder te lijden en stijgen de arbeidskosten. Daar komt nog bij dat de productiviteitskosten stijgen als IT-professionals hun kostbare tijd verdoen aan eentonige routinewerkzaamheden. De grootste kostenpost van het gebruik van afzonderlijke, handmatig beheerde Identity Management en Access Governance oplossingen ontstaat echter als organisaties niet over afdoende beveiligings- en compliancecontroles beschikken. Lekken in gegevensbestanden zijn duur en komen het grote publiek al snel ter ore. Als uw organisatie het vertrouwen van de markt verliest, bestaat de kans dat uw bedrijf ten onder gaat.

______________________ 1 2

http://www.fbi.gov/stats-services/publications/financial-crimes-report-2010-2011/financial-crimes-report-2010-2011#Corporate http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf



WHITE PAPER: Identity & Access Governance: brengt commercie en IT samen | 1

De druk die hieruit voortvloeit Naarmate de eerder genoemde marktwerking sterker wordt, neemt de druk om een effectieve, geïntegreerde en geautomatiseerde IAG oplossing te implementeren toe. Organisaties zoals die van u moeten niet alleen de integriteit van hun systemen waarborgen, maar er ook voor zorgen dat ze in staat zijn om de toegang hiertoe effectief te beheren. De door de markt uitgeoefende druk is tweeledig.

Audits, voorschriften en compliance De bezorgdheid over gegevensbeveiliging (die te wijten is aan externe factoren als de expansie van het internet en de toenemende populariteit van de cloud) heeft ertoe geleid dat overheidsinstanties en de industrie zelf steeds strenger toezicht houden. Overheidsinstanties en de industrie houden vaak toezicht door voorschriften op te stellen en die voorschriften evolueren soms tot wetten zodat naleving hiervan kan worden afgedwongen. Sarbanes-Oxley (SOX) en de Health Insurance Portability and Accountability Act (HIPAA) zijn slechts twee voorbeelden van de vele voorschriften die alleen met behulp van effectieve IAG oplossingen kunnen worden nageleefd: voor compliance is het essentieel dat kan worden gecertificeerd dat mensen alleen toegang hebben tot de resources die ze nodig hebben en dan alleen als ze die nodig hebben.

Snelle toegang en updates Jaren geleden vonden bedrijven het prima om te wachten tot correspondentie en informatie per post werden bezorgd. In het hedendaagse communicatietijdperk verwachten bedrijven dat informatie onmiddellijk wordt gedeeld. Daarnaast verwachten zij dat de provisioning en deprovisioning van gebruikers per direct plaatsvindt. Het is niet langer aanvaardbaar om eerst een hulpticket te genereren en vervolgens te wachten tot de overbelaste IT-afdeling handmatig toegang tot alle resources verleent of de toegang juist intrekt. Het hogere management van uw organisatie krijgt steeds meer inzicht in activiteiten als routine-upgrades, updates van het IT-beleid en de procedures en het updaten van systemen en applicaties om aan nieuwe zakelijke behoeften en compliancevoorschriften tegemoet te komen. Het management gaat ervan uit dat deze direct worden uitgevoerd, zelfs al stijgt de complexiteit voortdurend.

De samensmelting van twee werelden Definities Om inzicht in IAG oplossingen te krijgen, moet u eerst iets weten over hoe Identity Management en Access Governance systemen werken.

Identity Management De behoeften en eisen van de IT-afdeling staan aan de basis van Identity & Access Management systemen. Met Identity Management tools kunnen IT-professionals:

• provisioning van de toegang tot applicaties en servers uitvoeren • vertrouwde verificatiemechanismes implementeren die controleren of gebruikers ook daadwerkelijk zijn wie ze zeggen dat ze zijn • veilige single sign-on processen vereenvoudigen • toegang tot SaaS resources en mobiele apparatuur verlenen • Active Directory functies beheren • IT-medewerkers voorzien van uitgebreide beheermogelijkheden met extra toegangsrechten

Deze tools zijn zeer krachtig en lossen complexe problemen op. Ze zijn ontwikkeld om taken op geautomatiseerde wijze op de achtergrond uit te voeren en worden meestal niet door de gemiddelde gebruiker toegepast.

Access Governance Problemen op het gebied van Access Governance spelen zich vaak op bedrijfsniveau af en daarom is de gebruikersinterface van de meeste Access Governance tools ontworpen met het oog op managers, in plaats van IT-personeel. Deze tools bieden gewoonlijk support voor de volgende activiteiten:



• • • • • •

ervoor zorgen dat de organisatie aan de IAG regels en voorschriften voldoet toegangsverzoeken voor nieuwe personeelsleden, medewerkers met een nieuwe functie en tijdelijke teams goedkeuren certificeren dat de toegangsniveaus gepast zijn systeembrede gebruikersrollen definiëren en beheren aan verschillende rollen en functies gerelateerde rechten beheren risico’s analyseren, beheren en beperken op basis van rollen, rechten en toegangsniveaus

WHITE PAPER: Identity & Access Governance: brengt commercie en IT samen | 2

Access Governance tools stellen bedrijfsmanagers niet alleen in staat om aan wettelijk voorschriften te voldoen en toegang goed te keuren, maar zorgen er bovendien voor dat veelvoorkomende routinetaken worden geautomatiseerd, waardoor deze taken een minder zware last worden voor IT- en helpdeskmedewerkers.

IAG en behoeften vanuit de organisatie IT-afdelingen moeten de compliance-activiteiten ondersteunen, toegang verlenen, systemen beveiligen en technologie en computeromgevingen bijwerken en ondertussen de strategische bedrijfsdoelstellingen in het vizier houden. Voor managers is het belangrijk om de compliance te waarborgen, voor beveiligings-/wettelijke audits te slagen, risico’s te beperken, snel op interne en externe klanten te kunnen reageren en een totaalbeeld van de hele organisatie te hebben in een logisch en gebruiksvriendelijk systeem. Hoewel de IT- en zakelijke behoeften totaal anders lijken, is het in de context van Identity Management en Access Governance systemen niet mogelijk aan de eisen van de één te voldoen zonder ook de eisen van de ander te realiseren. Het is essentieel dat beide systemen samenwerken om de bedrijfs- en IT-doelstellingen te realiseren en zelfs te overstijgen. Het is niet zo dat Governance krachtig Identity Management overbodig maakt. Het is eerder een aanvulling op de Identity Management infrastructuur waarmee degenen die het meeste met de zakelijke behoeften te maken hebben daadwerkelijk van bedrijfssystemen kunnen profiteren, in plaats van hier afhankelijk van te zijn. Met andere woorden: door Identity Management en Access Governance systemen naadloos te integreren, wordt aan zowel de IT-eisen als de zakelijke eisen voldaan.

Integratie en echte evolutie De waarde van bestaande investeringen Sommige nieuwe leveranciers in de IAG sector beweren dat nieuwe technologieën de toekomst zijn en dat oude oplossingen het beste kunnen worden afgedankt. Deze ‘schone lei’-aanpak is in het gunstigste geval prijzig en in het slechtste geval gewoonweg riskant. Het blijven gebruiken van bestaande apparatuur en technologie levert niet alleen meerwaarde op, maar ook een ander belangrijk voordeel: gebruikers kunnen al met de bestaande systemen overweg. Met de juiste IAG oplossing kunt u de technologieën die tot nu toe altijd goed voor u hebben gewerkt gewoon blijven gebruiken en toch profiteren van belangrijke nieuwe technologieën. Goede IAG oplossingen bieden support voor een breed scala van platformen, applicaties en technologieën. Op deze manier kunt u er zeker van zijn dat u uw huidige systemen kunt gebruiken als technologische basis waarop u de nieuwste technologieën kunt implementeren. Ook bent u er zo van verzekerd dat u klaar bent voor toekomstige ontwikkelingen.

De toekomst Uw bedrijf moet een robuuste toekomstvisie ontwikkelen en bepalen welke koers het wil inslaan. Het IAG systeem van uw organisatie is een belangrijk onderdeel van deze toekomst. Als u overweegt andere organisaties over te nemen (of als u denkt dat uw eigen organisatie mogelijk wordt overgenomen), weet u nu al dat u systemen nodig hebt die voor nieuwe en afwijkende technologieën kunnen worden gebruikt. Zelfs als fusies en overnames geen deel van uw toekomstplannen uitmaken, hebt u dergelijke systemen nodig. De moderne technologieën van nu zijn per slot van rekening de oude technologieën van morgen. En naarmate technologieën verouderd raken, is het beter hierop voort te bouwen dan deze te vervangen. Zorg er dus voor dat u in de toekomst beschikt over krachtige integratiefuncties die het mogelijk maken bestaande systemen probleemloos te gebruiken naast nieuwe en opkomende technologieën (waaronder nieuwe platformen en computeromgevingen).

Belangrijke elementen van effectieve IAG oplossingen De volgende productkenmerken zijn essentieel voor een goede IAG oplossing:



•

Volledige integratie tussen Identity Management en Access Governance systemen: zorg ervoor dat het Governance systeem dat u selecteert niet zomaar ‘compatibel’ is met uw Identity & Access Management systeem en dat het meer kan dan hier simpelweg mee ‘samenwerken’. Om succes te verzekeren is echt naadloze integratie tussen krachtige oplossingen in beide categorieën vereist.

• Gebruiksgemak: een eenvoudige en gebruikersvriendelijke interface is essentieel, vooral voor de zakelijke gebruikers die verantwoordelijk zijn voor Access Governance. Kies voor een dashboardinterface waarmee managers in één oogopslag een overzicht van de gehele IAG omgeving kunnen zien en eenvoudig naar gedetailleerde gebruikersprofielen met de rollen en rechten van elke gebruiker kunnen doorklikken. Deze mogelijk­ heden helpen gebruikers snel en moeiteloos aan het nieuwe systeem te wennen en compliancedoelstellingen te realiseren.

WHITE PAPER: Identity & Access Governance: brengt commercie en IT samen | 3

•

Beheer van accounts zonder eigenaar: hoewel het belangrijk is om snel de juiste toegang tot resources te verlenen, is het nog belangrijker om deze toegang weer in te trekken als medewerkers of leveranciers vertrekken. Zorg ervoor dat uw IAG oplossing beschikt over triggers die voorkomen dat accounts zonder eigenaar tot een potentieel bedrijfsrisico uitgroeien.

•

Controle op ongewenste toename van rechten: bij sommige oplossingen is het zo dat medewerkers die worden overgeplaatst, promotie krijgen, lid van tijdelijke teams worden, etc. de toegangsrechten van eerdere projecten behouden. Effectieve IAG oplossingen houden echter toezicht op dergelijke ongewenste toename van de rechten en beheersen deze, waardoor wordt verzekerd dat gebruikers alleen de toegangsrechten hebben die ze momenteel nodig hebben.

•

Betrouwbare fulfillment: hoe goed Governance systemen functioneren, is afhankelijk van de Identity Management systemen waarmee ze worden geïntegreerd. Zorg er dus voor dat beide systemen krachtig en gebruiksvriendelijk zijn en over uitgebreide integratiemogelijkheden beschikken.

•

Support voor meerdere platformen: robuuste IAG systemen bieden support voor alle toonaangevende softwareapplicaties, databases, besturingssystemen, hardware en webserveromgevingen.

•

Tools voor risicoanalyse en -beperking: het mag duidelijk zijn dat de mogelijkheid om risico’s snel te identificeren en beperken een cruciaal aspect is van alle goede IAG oplossingen.

Een leverancier selecteren Het selecteren van de juiste leverancier is al even belangrijk als het selecteren van de juiste systemen en tools. Stel uzelf de volgende vragen als u een leverancier selecteert: •

Reputatie: hoe goed staat de potentiële leverancier in de markt aangeschreven? Hoe tevreden zijn andere klanten met de support en services van de leverancier? Betracht als de reputatie van de potentiële leverancier twijfelachtig is of als de leverancier nog geen solide reputatie heeft opgebouwd extra voorzichtigheid tijdens het selectieproces.

•

Toekomstvisie: wat is de visie van de potentiële leverancier? Loopt de leverancier de marktleider achterna of is de leverancier zelf de marktleider? Sluiten de doelstellingen en strategieën van de leverancier aan op die van u? Zoek naar een leverancier met een visie die bij die van uw organisatie past.

•

Leiderschap en staat van dienst: wat heeft de potentiële leverancier in het verleden gepresteerd? Is de leverancier een innovator op de markten waarop deze actief is? Heeft de leverancier laten zien dat de IAG markt een belangrijk focusgebied is of lijkt IAG bijzaak te zijn? Leiderschap in het verleden biedt de beste garantie voor toekomstig succes.

•

Aangetoonde prestaties: hoeveel knowhow hebben de engineers en ondersteunende medewerkers van de leverancier? Hebben de leveranciers op andere locaties met goed gevolg oplossingen geïmplementeerd die veel op die van u lijken? Ook hier geldt dat nagaan wat bestaande klanten van de prestaties van een leverancier vinden u kan helpen bepalen of de leverancier voor u de juiste keuze is.

Nu Identity Management en Access Governance technologieën steeds meer naar elkaar toe groeien, is het des te belangrijker dat u voor de juiste producten van de juiste leveranciers kiest. Door middel van gepast onderzoek, een goede planning en selectie van de juiste partner kunt u ervoor zorgen dat de IAG oplossing van uw organisatie jarenlang aan alle eisen voldoet.



WHITE PAPER: Identity & Access Governance: brengt commercie en IT samen | 4

Over NetIQ NetIQ is een mondiale, in enterprise software gespecialiseerde IT-onderneming die klanttevredenheid zeer hoog in het vaandel heeft staan. Klanten en partners kiezen voor NetIQ om uitdagingen op het gebied van gegevensbescherming op kosteneffectieve wijze op te lossen en om de complexiteit van dynamische, in hoge mate verspreide bedrijfsapplicaties te beheren. Onze portfolio omvat schaalbare en geautomatiseerde oplossingen voor Identity, Security & Governance en voor IT Operations Management waarmee organisaties computerservices in verschillende fysieke, virtuele en cloudcomputer­ omgevingen op veilige wijze kunnen leveren, meten en beheren. Deze oplossingen en onze praktische, klantgerichte benadering voor het oplossen van aanhoudende IT-uitdagingen zorgen ervoor dat organisaties in staat zijn om de kosten, de complexiteit en de risico’s te verlagen. Ga voor meer informatie over onze bekroonde softwareoplossingen naar www.netiq.com.

Mogelijk bevat dit document technische onnauwkeurigheden en druk- en schrijffouten. De hier verstrekte informatie wordt van tijd tot tijd gewijzigd. Deze wijzigingen worden mogelijk verwerkt in nieuwe edities van dit document. NetIQ Corporation kan op elk moment verbeteringen of wijzigingen doorvoeren in de in dit document beschreven software. Copyright © 2012 NetIQ Corporation en diens gelieerde ondernemingen. Alle rechten voorbehouden.

562-DU1004-001  DS 07-12

ActiveAudit, ActiveView, Aegis, AppManager, Change Administrator, Change Guardian, Compliance Suite, het ontwerp van het kubuslogo, Directory and Resource Administrator, Directory Security Administrator, Domain Migration Administrator, Exchange Administrator, File Security Administrator, Group Policy Administrator, Group Policy Guardian, Group Policy Suite, IntelliPolicy, Knowledge Scripts, NetConnect, NetIQ, het NetIQ logo, PSAudit, PSDetect, PSPasswordManager, PSSecure, Secure Configuration Manager, Security Administration Suite, Security Manager, Server Consolidator, VigilEnt en Vivinet zijn handelsmerken of gedeponeerde handelsmerken van NetIQ Corporation of diens dochterondernemingen in de Verenigde Staten. Alle overige bedrijfs- en productnamen worden uitsluitend voor identificatiedoeleinden vermeld en zijn mogelijk handelsmerken of gedeponeerde handelsmerken van de respectieve ondernemingen.

EMEA Hoofdkantoor Raoul Wallenbergplein 23 2404 ND Alphen a.d. Rijn Nederland Tel: (+31) 0172-505550 [email protected] www.netiq.com http://community.netiq.com



Voor een compleet overzicht van onze vestiginge in Europa of de rest van de wereld, ga naar: www.netiq.com/contacts.

Volg ons:

WHITE PAPER: Identity & Access Governance: brengt commercie en IT samen | 5