Identity & Access Management

Identity & Access Management Whitepaper

Rolf Emmens Information Consultant Security Koos Jennekens Information Consultant Beheertooling Paul de Koning Project Manager Peter Louwerse Technical Consultant Microsoft Karel van Oort Information Consultant Security Bettina Witteveen Information Consultant Service Mngt

versie 2007

© Inter Access 2007

Deze whitepaper laat u de Inter Access visie op en de aanpak rondom de implementatie van Identity & Access Management zien.

Whitepaper

Inhoudsopgave Voorwoord................................................................................................................3 Voorwoord 1. Waarom Identity & Access Management? .....................................................4 1.1 Operational Efficiency (Efficiënte bedrijfsprocessen) ................................4 1.2 Cost Containment (Kostenbeheersing) ........................................................5 1.3 Risk Management (Risicobeheersing) ..........................................................5 1.4 Business Facilitation (Ondersteuning/ faciliteren van de business)........5 1.5 Regulatory Compliance (Voldoen aan Wet- en Regelgeving)..................6 2. Definitie ................................................................................................................7 3. De Inter Access Methode Methode voor Identity & Access Management.................9 Management 3.1 Think....................................................................................................................9 3.2 Build ................................................................................................................. 10 3.3 Transform ........................................................................................................ 10 3.4 Operate............................................................................................................ 11 4. Resources........................................................................................................... 14 Resources 5. Conclusie ........................................................................................................... 15

2

Whitepaper

De Inter Access Methode Methode voor Identity & Access Management – IAM voor IAM Voorwoord


Kunt u een rapportage krijgen over de actuele stand van zaken van de autorisatie van uw medewerkers? Zo ja, neemt het aanleveren van rapportages met de actuele stand van zaken van de autorisaties van medewerkers meerdere dagen in beslag?




Krijgt u hoofdpijn van alle wetten en regels waar uw organisatie aan moet voldoen?




Ontstaat er een lichte paniek in uw organisatie als er een security audit voor de deur staat?




Laat u een nieuwe medewerker ook wel eens een dag of twee onder andermans account werken, omdat het aanvragen van een nieuw account veel te lang duurt?




Moet uw IT organisatie een periodieke opschoonactie uitvoeren om gebruikersaccounts te vergelijken met de in- en uitdienst meldingen van HR?




Zijn er medewerkers binnen uw organisatie die beschikken over rechten die ze feitelijk niet (meer) nodig hebben?




Besteedt de ICT helpdesk een groot percentage van calls aan het resetten van wachtwoorden of het corrigeren van onjuiste autorisaties?




Klagen eindgebruikers in uw organisatie ook regelmatig over de veelheid aan accounts en wachtwoorden die ze moeten onthouden?

MEDIA AANDACHT Diverse organisaties hebben even diverse redenen om aandacht te besteden aan Identity & Access Management (IAM). Met de toenemende aandacht in de media voor schrijnende lekken in informatie beveiliging (een USB stick van de politie die gevonden wordt, een laptop van een AIVD medewerker, tot aan de persoonlijke papieren van Hare Majesteit) worden organisaties zich steeds bewuster van de noodzaak tot informatiebeveiliging. Het implementeren van IAM hoeft echter niet altijd een pure security achtergrond te hebben, maar kan ook vanuit efficiëntie- en effectiviteitoogpunt geïmplementeerd worden.

VISIE EN AANPAK

Kort gezegd draait het bij IAM uiteindelijk maar om één ding; De juiste informatie toegankelijk voor de juiste personen. In deze whitepaper willen wij u graag de Inter Access visie op en de aanpak rondom de implementatie van Identity & Access Management toelichten.

3

Whitepaper 1. Waarom Identity & Access Management? Identity & Access Management wordt vaak direct geassocieerd met informatiebeveiliging INFORMATIEBEVEILIGING

en compliance. Veel organisaties hebben te maken met wet- en regelgeving die hen

EN COMPLIANCE

verplicht om aan te tonen. Denk aan de Sarbanes-Oxley wet die van toepassing is op bedrijven die genoteerd zijn aan de Amerikaans beurzen of bedrijven die toeleverancier zijn van een in de VS genoteerd bedrijf. Deze, en andere wet- en regelgeving, verplicht bedrijven o.a. aan te kunnen tonen dat ze de logische toegangsbeveiliging tot hun ITsystemen onder controle hebben.

BEDRIJFSKRITISCHE INFORMATIE

Daarnaast blijkt uit onderzoek1 dat het merendeel van de problemen, als gevolg van ongeautoriseerde toegang tot bedrijfskritische informatie, zijn oorsprong vindt binnen de bedrijven zelf. Het gevaar komt dus in mindere mate van buiten en meer van binnen de organisatie. Maar wist u dat IAM ingezet kan worden om een veel breder scala aan voordelen te behalen? Gartner2 noemt onder andere de volgende bedrijfsvoordelen die een

BEDRIJFSVOORDELEN

organisatie kunnen aanzetten tot de invoering van Identity & Access Management: •

Operational Efficiency;

•

Cost Containment;

•

Risk Management;

•

Business Facilitation;

•

Regulatory Compliance.

Deze bedrijfsvoordelen worden hieronder toegelicht.

1.1 Operational Efficiency (Efficiënte bedrijfsprocessen) Door het automatiseren van arbeidsintensieve taken, zoals het aanmaken/wijzigen en EFFICIËNTE BEDRIJFSPROCESSEN

verwijderen van accounts en bijbehorende autorisaties wordt de beheeromgeving ontlast. De werkzaamheden van de medewerkers die belast zijn met autorisatiebeheer verschuiven van uitvoerend naar controlerend. De huidige bezetting is beter in staat om de groei van de onderneming op te vangen. Hoewel Gartner deze efficiëntie een bedrijfsvoordeel op zich noemt, ziet Inter Access de efficiëntere manier van beheer niet als doel op zich, maar als middel, onder andere om te komen tot kostenreductie en beheersing.

4

Whitepaper 1.2 Cost Containment (Kostenbeheersing) KOSTENBEHEERSING

In onderstaande figuur worden een aantal voorbeelden gegeven van mogelijke besparingen door de invoering van Identity & Access Management.

Figuur 1 Kostenbeheersing met Identity & Access Management

1.3 Risk Management (Risicobeheersing) Gemiddeld 30-60% van de gebruikeraccounts zijn toegewezen aan medewerkers die niet RISICOBEHEERSING

meer in dienst zijn¹. Daarmee hebben zij mogelijk nog steeds toegang tot gevoelige informatie en kunnen zij deze informatie misschien zelfs nog muteren. Dit is slechts één voorbeeld van een risico dat u kunt voorkomen door de invoering van Identity & Access Management. Meer voorbeelden zijn dat:


mensen toegang hebben tot verkeerde (niet voor hen bestemde) informatie;




vertrouwelijke informatie ‘op straat’ komt te liggen;




medewerkers bij ontslag bedrijfsinformatie meenemen naar concurrenten;




medewerkers wachtwoorden voor de diverse accounts opschrijven omdat ze zoveel moeten onthouden;




medewerkers na afloop van inhuur, uitdiensttreding of ontslag nog geruime tijd een werkend account hebben.

1.4 Business Facilitation (Ondersteuning/ faciliteren van de business) Identity & Access Management heeft vaak nog een sterk ‘ICT’ label en wordt in een adem genoemd met informatiebeveiliging. De faciliterende rol van IAM is nog onderbelicht. IAM kan de business direct faciliteren en ondersteunen door het terugdringen van de time-to-market van producten en medewerkers.

5

Whitepaper Uit onderzoek¹ is gebleken dat het gemiddeld 12 dagen duurt voordat een nieuwe ONDERSTEUNING /

medewerker een account en de juiste toegangsrechten heeft en dus productief kan zijn.

FACILITEREN

Met de steeds flexibeler wordende arbeidsmarkt betekent deze doorlooptijd een flinke

VAN DE BUSINESS

(onzichtbare) kostenpost. Steeds vaker worden medewerkers op korte termijn ingezet. Als deze mensen vervolgens 12 dagen wachten op een account, verliest de organisatie daarmee 12 productieve dagen. Als alternatief wordt vaak gebruik gemaakt van andermans login gegevens, met alle beveiligingsrisico’s van dien, want uit hetzelfde onderzoek blijkt dat 70% van fraude gevallen met betrekking tot klantgegevens afkomstig zijn van binnenuit. Door de processen te optimaliseren en deze met tooling te ondersteunen, worden aanvragen/wijzigingen van autorisaties sneller en accurater afgehandeld, waardoor gebruikers sneller productief zijn. Daarnaast kan IAM ook helpen de time-to-market van nieuwe diensten en producten te verkorten. Bij de invoering hiervan is het vaak een uitdaging om alle daaraan gerelateerde rollen (en gebruikersprofielen) binnen een organisatie aan te passen. Door centralisatie van de toegangscontrole tot applicaties wordt niet alleen het aantal accounts van gebruikers verminderd, maar kunnen nieuwe toepassingen die gebruik maken van deze centrale faciliteit ook sneller ingevoerd worden.

1.5 Regulatory Compliance (Voldoen aan Wet- en Regelgeving) Om aan te kunnen tonen dat uw organisatie voldoet aan de geldende wet- en regelgeving, is het nodig om rapporten snel en eenvoudig te kunnen produceren. In veel organisaties is dit nog niet zo eenvoudig en kan het soms weken duren om de gegevens VOLDOEN AAN WET- EN REGELGEVING

uit diverse systemen te halen en deze te combineren tot een rapport. Wanneer Identity & Access Management (als basis voor de security maatregelen) niet is ingeregeld, hebben andere security maatregelen geen zin. Bedrijven moeten eerst de voordeur beveiligen en dan de achterdeur. Met IAM zorgt u er niet alleen voor dat u voldoet aan de gestelde normen voor wat betreft toegang tot informatie en informatie verwerkende faciliteiten, maar kunt u het ook nog eenvoudig aantonen. Dit betekent niet dat u een volledige set van geautomatiseerde en geïntegreerde IAM applicaties en hulpmiddelen geïmplementeerd hoeft te hebben. Wanneer de processen rond en de inhoud van de rechten niet op een A4-tje uitgelegd kunnen worden zullen tools enkel helpen de chaos te vergroten.

6

Whitepaper 2. Definitie Alvorens verder in te gaan op de Inter Access Methode voor IAM, is het belangrijk de Inter Access definitie van IAM vast te stellen. We hebben het met nadruk over de Inter Access definitie, omdat er uit een korte zoektocht op het internet blijkt dat er tot nu toe geen DEFINITIE

eenduidige definitie van bestaat. Inter Access definitie van Identity en Access Management: Het geheel aan beleid, verantwoordelijkheden, processen en hulpmiddelen dat organisaties in staat stelt om de toegang tot en het gebruik van systemen en informatie te faciliteren, faciliteren, beheren en controleren. De Inter Access definitie wordt weergegeven in onderstaand model.

br uik

ate

or ta g

rin

e

Pr oc es se n

lbe he er

A

ti en uth to Au

ti e ca

a ris

c ite rch &A

Ra pp

eh ee r

iek hn

Ro Ma nd

ers b

c Te

Ge

To

g

eg

tie

an

Mo

c gs

ni t

on

n ori

tr o

g&

le Lo

gg

i ng

r tuu

Archiveren

Autorisatie Matrix

Audit

Functie Scheiding

Figuur 2 Het Inter Access model van Identity & Access Management

SPOT

De generieke benadering van Inter Access voor alle ICT vraagstukken is ook in dit model weer aanwezig. Inter Access plaatst ICT vraagstukken en oplossingen altijd in het kader van SPOT: Service, Processen, Organisatie en Technologie.

7

Whitepaper Service: de ondersteunende diensten, waaronder ICT, zullen zo veel mogelijk in staat SERVICE

moeten zijn de primaire bedrijfsprocessen – waarmee de onderneming zijn geld verdient – te ondersteunen. Bij voorkeur zo effectief mogelijk en tegen minimale kosten. Organisatie: Centraal in het model staan; de mensen in een organisatie, de informatie die

ORGANISATIE

zij gebruiken om hun werk te kunnen doen, de applicaties die zij gebruiken om die informatie te genereren, te verzamelen, te bewerken, te raadplegen en te archiveren, en de onderliggende infrastructuur waar deze applicaties op draaien. Identity & Access Management raakt al deze aspecten.

PROCESSEN

Processen: De langs de linkeras genoemde processen vertalen de in het beleid vastgelegde afspraken naar werkwijzen. Rapportage over die processen helpt om knelpunten te signaleren, mogelijke risico’s te identificeren en verbeteringen in gang te zetten. Waar mogelijk moet worden aangesloten op reeds vastgestelde interne of externe ‘normenkaders’ of best practices zoals CobiT® of ITIL.

TECHNOLOGIE

Technologie: Met de langs de rechteras genoemde technologische oplossingen kunt u bepaalde aspecten uit uw processen afdwingen. De techniek helpt om met name uw applicaties en infrastructuur te beveiligen en de juiste mensen toegang tot en (mutatierechten) op de juiste informatie te verschaffen. Daarnaast kunt u door middel van monitoring en logging en door gebruik te maken van een centrale repository, op elk gewenst moment controleren welke autorisaties iemand heeft en of deze autorisaties niet conflicterend zijn (verplichte functiescheiding). Ook kunt u achteraf controleren en verifiëren wie wanneer welke acties op uw systemen heeft uitgevoerd en welke beveiligingsincidenten zich hebben voorgedaan. Al deze maatregelen helpen u om ‘in control’ te raken.

AUTOMATISERING

Door het steeds meer gedistribueerde karakter van bedrijfsnetwerken, het grote aantal webgebaseerde applicaties, het groeiend besef van het belang van beveiliging en door regelgeving als Sarbanes-Oxley en HIPAA, is automatisering van Identity Management een noodzaak geworden voor vrijwel elk bedrijf. De administratie en verantwoording langs de onderste as helpt u vooral om aan externe partijen aan te kunnen tonen dat u voldoet aan de voor u geldende wet- en regelgeving. De automatisering is hierin uiteraard een hulpmiddel. Dit alles wordt geplaatst binnenin het beleid. Het beleid wordt vertaald in diensten (Services, zoals eerder beschreven) die de ICT organisatie gaat leveren in het kader van Identity & Access Management. De processen, technologie, administratie en

BELEID

verantwoording moeten allen aansluiten op, of ondersteunend zijn aan, het gedefinieerde beleid en de daarvan afgeleide diensten. Inter Access legt in de definitie niet voor niets de nadruk op “het geheel aan beleid, verantwoordelijkheden, processen en hulpmiddelen…”. Zonder goed beleid hebben de technologische, procesmatige en/of administratieve oplossingen en hulpmiddelen geen basis en zullen ze maar tijdelijk standhouden. 8

Whitepaper 3. De Inter Access Methode voor Identity & Access Management IAM projecten worden veelal beschouwd als technische implementatieprojecten. Projecten in het algemeen, en Identity & Access Management projecten in het bijzonder, blijken beter te scoren wanneer deze als verandertrajecten worden begeleid. VERANDERTRAJECTEN

Een logisch gevolg van de eerder genoemde definitie van Identity & Access Management is dat Inter Access IAM projecten niet als ‘technische implementatie’ benadert. Door deze projecten als een organisatie verandering te benaderen, worden cultuur, bedrijfsvoering, processen en technologie geadresseerd. Hierbij hanteert Inter Access standaard de volgende vier fasen: Think, Build, Transform, Operate. Deze vier fasen worden hieronder nader toegelicht in het kader van IAM.

3.1 Think THINK

De ‘think’ fase heeft als doel de huidige situatie (Ist) en de gewenste situatie (Soll) in kaart te brengen. Deze fase is onderverdeeld in vier sub-fasen. Deze worden hieronder beschreven. (Quick)scan Door middel van een scan krijgen we inzicht in de problematiek en de risico’s die een

IAM SCAN

organisatie loopt. Of het gaat om een quickscan of een meer uitgebreide scan is afhankelijk van de eisen en wensen van de klant. Belangrijk onderdeel van een scan door Inter Access is observatie. Een IAM scan bestaat niet alleen uit een gesprek of een standaard set vragen, maar begint al op het moment dat Inter Access consultants bij u het terrein betreden, of eigenlijk zelfs al wanneer zij voor het eerst op uw website gaan kijken. Alles wat zij zien en horen wordt meegenomen bij de beeldvorming. Op basis van de scan wordt een bevindingenrapport opgesteld. De volgende stappen worden beschreven en Inter Access doet een aanbieding om deze volgende stappen met u door te lopen.

KERN VAN HET PROBLEEM Probleemstelling Probleemstelling Op basis van de resultaten uit de scan wordt verder ingegaan op de probleemstelling. Hierbij is het belangrijk tot de kern van het probleem door te dringen en te achterhalen wat de klant wil, maar vooral wat hij daarmee beoogt te bereiken – niet wat er wordt gezegd maar wat er wordt bedoeld. Wanneer een organisatie aangeeft Role Based Access Control te willen invoeren, kan de achterliggende reden daarvoor divers zijn. Inter Access medewerkers proberen de vraag terug te brengen naar een (of meerdere) van de bedrijfsvoordelen die eerder in dit document zijn genoemd. Role Based Access Control bijvoorbeeld, maar ook wetgeving als Sarbanes Oxley, is geen doel op zich, maar een middel om die bedrijfsvoordelen te realiseren.

9

Whitepaper Daarnaast brengen we in overleg de prioriteiten aan. Welk bedrijfsvoordeel is voor de organisatie het belangrijkst? Deze informatie wordt vooral verkregen uit interviews. De vervolgstappen die bij de scan op hoofdlijnen zijn aangegeven, worden in meer detail uitgewerkt en er wordt een Projectbrief opgesteld. High Level Oplossing In deze fase worden de resultaten van de scan verder uitgediept. De Ist situatie wordt grondig onderzocht op basis van reeds aanwezige documentatie, zoals IT Beleid, HIGH LEVEL OPLOSSING

rapporten van eerder uitgevoerde audits en een risico analyse. Als deze informatie ontbreekt, voert Inter Access zelf een onderzoek uit. Ook hier speelt observatie weer een belangrijke rol. Op basis van de verkregen of onderzochte informatie en analyses wordt een architectuur document opgesteld met daarin een blauwdruk van de Soll situatie en een GAP (Good, Average, Poor) analyse van de 1st situatie ten opzichte van Soll. Daarnaast wordt een Project Initiatie Document opgesteld, waarin de oplossingsrichting(en) wordt beschreven.

FUNCTIONEEL GEDETAILLEERD ONTWERP

Detail Ontwerp Pas bij het Detail Ontwerp wordt de Soll situatie functioneel gedetailleerd beschreven. Hierbij wordt aandacht besteed aan zowel beleid, processen, technologie en administratie. Als het hele ontwerp klaar is en aansluit op elkaar en op de bedrijfsvoordelen, kan er gestart worden met de selectie en/of bouw van de oplossing. Uiteraard is het van levensbelang voor het slagen van het project dat het hoogste management van de onderneming, tenminste bij besluitvorming, maar bij voorkeur ook bij het functionele ontwerp van het geheel betrokken is.

BUILD

3.2 Build De Build fase is kort te omschrijven, maar dat zegt niets over de impact en doorlooptijd van deze fase. Nu wordt immers alles voorbereid voor de implementatie. De ontworpen oplossingen worden samengesteld en getest, de benodigde middelen worden geselecteerd en aangeschaft en medewerkers (zowel beheerders als eindgebruikers) worden opgeleid. Bewustwording speelt in deze fase ook een belangrijke rol. De beheerders moeten niet alleen opgeleid worden in de nieuwe processen en technologie, maar moeten ook weten met welk doel die oplossingen zijn geselecteerd, zodat zij tijdens de Operate fase constant dit doel voor ogen houden en zelf tijdig signaleren en ingrijpen wanneer er bijgestuurd moet worden. Een goede voorbereiding tijdens de Build fase is het halve werk tijdens de transformatie fase (Transform).

3.3 Transform TRANSFORM De transformatie fase staat geheel in het teken van de verandering. Deze verandering is in veel gevallen ingrijpend. Het nadenken over, het beschrijven en het accorderen van bijvoorbeeld rollen en bijbehorende rechten (tijdens de Build fase) kost veel tijd, maar voelt nog niet als een echte verandering. Het staat immers alleen maar op papier. Pas wanneer een organisatie daadwerkelijk geconfronteerd wordt met een beperking van 10

Whitepaper rechten bijvoorbeeld, doet dit veel stof opwaaien. Gelukkig zal de organisatie ook snel genoeg de positieve effecten van de veranderingen gaan merken. Als vanaf het begin voldoende draagvlak is gecreëerd bij hoger management (CSO, CFO, CIO etc.) zullen naar verwachting alle inspanningen, die tot aan deze fase gedaan zijn, efficiënt samenvallen. Strakke regie, uitstekende communicatie en een ruime periode van nazorg zijn essentieel in deze fase.

3.4 Operate En dan begint het pas echt. Alle oplossingen die gezamenlijk ontworpen en gebouwd zijn, staan als een huis. Het projectteam dat belast was met de invoering van Identity & Access Management wordt ontbonden. Het is nu aan uw eigen (beheer-)organisatie om door te gaan op de ingeslagen weg. De set van oplossingen kunt u optimaal gebruiken wanneer het beleid rondom IAM duidelijk is, bij iedereen bekend is en als dit belang duidelijk wordt uitgedragen door de hele organisatie. In onderstaande tabel worden de fasen puntsgewijs opgesomd.

Fase

Doel

Activiteiten

Deliverables

(Quick) Scan

Inzicht krijgen in de problematiek en de risico’s.

Quickscan uitvoeren.

SPROA rapport (Situatie, Probleem, Risico, Oorzaak, Aanbeveling).

Observeren.

Next steps. Aanbieding. Probleemstelling

Design

OPERATE

Helder krijgen wat de organisatie wenst en wat hij daarmee wil bereiken. Wat zijn de Business Drivers, en welke zijn de belangrijkste. Detailleren vervolgstappen.

Interviews: • CSO / security office indien aanwezig; • Bedrijfsbureau; • Service Manager; • (interne) Auditor; • IT manager; • Jurist; • Autorisatie beheerders; • Systeemeigenaren.

Projectbrief

Samenstellen Project Brief.

11

Whitepaper Fase

Doel

Activiteiten

Deliverables

High Level oplossing

Inzicht krijgen in beleid, processen, technologie, administratie en verantwoording.

Opvragen documentatie: • IT beleid, informatie plan; • IB beleid; • Audit rapporten; • Controle organisatie; • Classificatie; • Risicoanalyse; • Meest recente awareness programma.

Architectuurdocument.

Het vastleggen van de oplossingsrichting. Detailleren vervolgstappen.

PID incl. faseplan volgende fase.

Onderzoek (indien geen/onvoldoende documentatie beschikbaar). Interviews: • CSO / security office; • IT Manager. Analyseren documentatie en interviews. Samenstellen architectuurdocument. Samenstellen Project Initiatie Document (PID).

12

Whitepaper Fase

Doel

Activiteiten

Deliverables

Detail ontwerp

Duidelijk inzicht probleempunten (in detail).

Vaststellen probleempunten.

Technisch detail ontwerp(en).

Vaststellen evaluatiecriteria voor oplossingen.

Faseplan volgende fase.

Vastleggen gekozen oplossingen. Detailleren vervolgstappen.

Inventariseren mogelijke oplossingen. Evalueren oplossingen. Kiezen voor oplossingen. Vaststellen Beheermodel. Samenstellen detailontwerp. Samenstellen faseplan volgende fase.

Doen

Oplossingen gereed maken voor implementatie.

Build

Detailleren vervolgstappen.

Oplossingen aanschaffen of bouwen.

Oplossingen klaar voor implementatie.

Oplossingen installeren/ parametriseren /configureren.

Faseplannen volgende fasen.

Opleiden beheerders. Opleiden gebruikers.

Operate

Transform

Samenstellen faseplannen volgende fasen. Invoeren = veranderen

Oplossingen invoeren.

Communicatie.

Oplossing ingevoerd.

Go-live.

Behouden

Organisatieverandering vorm geven.

Nazorg.

Oplossingen opleveren.

Overdragen aan beheer.

Oplossing onder beheer.

Afsluiten project.

Decharge.

Project decharge.

13

Whitepaper 4. Resources Het moge duidelijk zijn dat de invoering van Identity & Access Management meer is dan een technisch verhaal. Om deze invoering goed te laten verlopen zijn de volgende NOODZAKELIJKE RESOURCES

resources onontbeerlijk:


Security consultants die risico analyses uitvoeren, mitigerende maatregelen voorstellen en ondersteunen bij het opstellen van het security beleid, en adviseren met betrekking tot IAM oplossingen;




Projectmanagers die de implementatie van deze maatregelen managen;




Service management consultants die organisatorische en procedurele kant van de

SPECIALISTISCHE KENNIS

oplossing implementeren;


Implementatie specialisten en ontwikkelaars die de technische kant van de oplossing realiseren.

Voor de implementatie van IAM is sprake van noodzakelijke inzet van (zeer) specialistische kennis. Hiervoor kunt u – uiteraard – een beroep doen op Inter Access. Het LEVERANCIER KEUZE

is echter van even groot belang om de opgedane kennis over te dragen aan uw eigen beheerorganisatie. Inter Access adviseert een ratio van 70:30, externe kennis versus interne kennis. Daarnaast zal er een beroep gedaan worden op de inkoopafdeling of leveranciersmanagement bij het selecteren van de juiste partner op het gebied van de technologie. Veel leveranciers bieden een standaard oplossing die voor 80% aan de behoefte voldoet. Vaak is een combinatie van diverse best-of-breed onderdelen tot één passend geheel de enige manier om exact dat te bereiken wat nodig is. Inter Access is niet gebonden aan een specifieke leverancier dus kan u van onafhankelijk en onpartijdig advies voorzien ten aanzien van de ondersteunende technologieën.

14

Whitepaper 5. Conclusie De Inter Access Methode voor Identity & Access Management is gebaseerd op de CONCLUSIE

definitie dat IAM een geheel van beleid, processen, organisatie en hulpmiddelen is. Met name de nadruk op het woord ‘geheel’ staat bij Inter Access als een paal boven water. Vanuit diverse invalshoeken wordt IAM benaderd, ontworpen en geïmplementeerd. Een dergelijk traject moet niet onderschat worden. De impact op uw eigen resources, organisatie en zelfs op de cultuur van uw organisatie is groot. Ervaren consultants en projectmanagers zijn nodig om een dergelijk traject te begeleiden. Dat Inter Access die ervaring in huis heeft blijkt uit onze referenties.

Van Lanschot Bankiers

REFERENTIES

Rapportage autorisaties Inrichting RBAC Implementatie centraal autorisatiebeheersysteem

Visa Europe Implementatie centraal autorisatiebeheersysteem

Philips DAP

Implementatie centraal autorisatiebeheersysteem

Wilt u aanvullende informatie over de Inter Access Methode voor Identity & Access AANVULLENDE INFORMATIE

Management? Stuur een e-mail naar [email protected] of bel met Koos Jennekens op telefoonnummer +31(0)35 688 8015.

1 Bron: Gartnergroup, Meta Group en IBM 2 Five Business Drivers of Identity and Access Management, Roberta J. Witty, publicatiedatum 31 October 2003

15