IDENTITY & ACCESS MANAGEMENT

IDENTITY & ACCESS MANAGEMENT Identity & access management speelt een zeer voorname rol in de hedendaagse informatiemaatschappij waarin identiteiten, mobiele apparaten, IT-infrastructuren, cloudomgevingen en social networks steeds meer met elkaar verweven raken en dus onoverzichtelijker worden. Identiteitsgegevens moeten worden beschermd tegen cybercriminaliteit, identiteitsfraude en schending van de privacy. Toegang tot gevoelige informatie moet worden beperkt tot diegenen die daartoe gerechtigd zijn. Bovendien moet dit alles op een efficiënte, kosteneffectieve en gebruiksvriendelijke wijze worden gerealiseerd. Identity & access management biedt hiervoor de voornaamste instrumenten. Het Handboek Identity & Access management biedt een overzicht van de belangrijkste methoden, ontwikkelingen, standaarden en technieken op het omvangrijke en boeiende terrein van identity & access management. OVER DE AUTEUR

HANDBOEK IDENTITY & ACCESS MANAGEMENT

HANDBOEK

Dr. Rob van der Staaij CISSP CISA CISM CRISC CEH heeft meer dan twintig jaar ervaring met identity & access management en verwante disciplines zoals cybersecurity, risicomanagement, compliance en privacy. Gedurende zijn loopbaan heeft hij – in de rollen van adviseur, architect, projectmanager en auditor – tientallen organisaties geadviseerd en begeleid op de genoemde terreinen.

HANDBOEK

IDENTITY & ACCESS MANAGEMENT

DOELGROEP

Het boek is bestemd voor een brede doelgroep, zoals beleidsmakers, managers, bestuurders, auditors, security-specialisten en IT-professionals, maar is ook geschikt als studieboek voor diegenen die nieuw zijn in het vakgebied.

ROB VAN DER STAAIJ

978 94 6245 088 2 982

7445 Cover IAM.indd 1

ROB VAN DER STAAIJ

17-11-14 15:47

Handboek Identity & Access Management

Rob van der Staaij

7445 BIM I&A Management.indd 3

14-11-14 11:43

Meer informatie over deze en andere uitgaven kunt u verkrijgen bij: BIM Media B.V. Postbus 16262

2500 BG Den Haag tel.: (070) 304 67 77 www.bimmedia.nl

© 2014 BIM Media B.V., Den Haag

Academic Service is een imprint van BIM Media B.V. Vormgeving en zetwerk: Landgraphics B.V., Amsterdam Druk- en bindwerk: Drukkerij Wilco, Amersfoort Bureauredactie: Ferry Bakker isbn 978 94 6245 088 2 nur 982

Alle rechten voorbehouden. Alle intellectuele eigendomsrechten, zoals auteurs- en databankrechten, ten aanzien van deze uitgave worden uitdrukkelijk voorbehouden. Deze rechten berusten bij BIM Media B.V. en de auteur. Behoudens de in of krachtens de Auteurswet gestelde uitzonderingen, mag niets uit deze uitgave worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand of openbaar gemaakt in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of enige andere manier, zonder voorafgaande schriftelijke toestemming van de uitgever. Voor zover het maken van reprografische verveelvoudigingen uit deze uitgave is toegestaan op grond van artikel 16 h Auteurswet, dient men de daarvoor wettelijk verschuldigde vergoedingen te voldoen aan de Stichting Reprorecht (Postbus 3051, 2130 KB Hoofddorp, www.reprorecht.nl). Voor het overnemen van gedeelte(n) uit deze uitgave in bloemlezingen, readers en andere compilatiewerken (artikel 16 Auteurswet) dient men zich te wenden tot de Stichting PRO (Stichting Publicatie- en Reproductierechten Organisatie, Postbus 3060, 2130 KB Hoofddorp, www.cedar.nl). Voor het overnemen van een gedeelte van deze uitgave ten behoeve van commerciële doeleinden dient men zich te wenden tot de uitgever. Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, kan voor de afwezigheid van eventuele (druk)fouten en onvolledigheden niet worden ingestaan en aanvaarden de auteur(s), redacteur(en) en uitgever deswege geen aansprakelijkheid voor de gevolgen van eventueel voorkomende fouten en onvolledigheden. All rights reserved. No part of this publication may be reproduced, stored in a retrieval system, or transmitted in any form or by any means, electronic, mechanical, photocopying, recording or otherwise, without the publisher’s prior consent. While every effort has been made to ensure the reliability of the information presented in this publication, BIM Media B.V. neither guarantees the accuracy of the data contained herein nor accepts responsibility for errors or omissions or their consequences.

7445 BIM I&A Management.indd 4

14-11-14 11:43

Inhoud

Voorwoord 

13

1 Inleiding 

15

2 Wat is identiteit?  2.1 Identiteit  2.2 Context en groep  2.3 Identiteitsgegevens  2.4 Digitale identiteit  2.5 Een definitie van identiteit  2.6 Identificatiemiddelen  2.7 Levenscyclus van identiteiten  2.8 Privacy  2.9 Vertrouwen  2.9.1 Trust framework 

17 17 18 19 20 22 22 23 24 27 28

3 Identity & access management  3.1 Definities  3.2 Basisprocessen 

31 31 34

4 Problemen en vraagstukken  4.1 Businessdrivers  4.2 Kostenbesparing, efficiency, business enablement  4.2.1 Productiviteitsverlies  4.2.2 Personalisatie  4.2.3 Vergeten wachtwoorden  4.2.4 Fusies en overnames  4.2.5 Delen van diensten 

35 35 36 37 38 38 39 40

7445 BIM I&A Management.indd 5

14-11-14 11:43

4.3 4.4 4.5 4.6 4.7

Risicomanagement  4.3.1 Ongebruikte accounts  4.3.2 Autorisaties niet op orde  4.3.3 Wachtwoordrisico’s  4.3.4 Cybercrime  4.3.5 Identiteitsfraude  Wet- en regelgeving  Zorgen bij het individu  Elektronische patiëntendossiers  4.6.1 Landelijk elektronisch patiëntendossier  E-learning 

40 40 41 41 42 47 51 53 54 55 56

5 Services en technieken  5.1 Deelgebieden  5.2 Referentiekaders  5.2.1 IGF  5.2.2 IAF en STORK  5.2.3 ISO/IEC  5.2.4 Laws of identity  5.3 Services en technieken  5.4 Cloud computing  5.5 Identity bridge 

57 57 58 58 59 60 61 62 63 65

6

67 67 67 69 71 72 73 75 75 77 78 79

Directory services  6.1 Inleiding  6.2 De directory service nader verklaard  6.3 Schema  6.4 Toepassingen  6.5 Metadirectory  6.6 Virtual directory  6.7 Oplossingen  6.8 X.500  6.9 LDAP  6.10 DSML  6.11 UDDI 

7445 BIM I&A Management.indd 6

14-11-14 11:43

7 Identity governance  7.1 Inleiding  7.2 Functionaliteiten  7.3 Proces in dienst  7.4 Wijzigingen  7.5 Proces uit dienst  7.6 Handmatige versus automatische provisioning  7.7 Just-in-time provisioning  7.8 Self service  7.9 Unieke identifier  7.10 Gezaghebbend bronsysteem  7.11 Eisen aan het bronsysteem  7.11.1 Tijdigheid  7.11.2 Kwaliteit  7.11.3 Volledigheid  7.12 Bijzondere aandachtspunten  7.12.1 Bestaande infrastructuren  7.12.2 Weerstanden  7.12.3 Privacy  7.13 Oplossingen  7.14 SPML  7.15 SCIM  8 Access governance  8.1 Inleiding  8.2 Aandachtspunten  8.3 Processen en beheer  8.4 Role-based access control  8.5 Rollen en functies  8.5.1 Wat is een functie?  8.5.2 Wat is een RBAC-rol?  8.6 Rollen en applicatierollen  8.7 Transparantie en efficiency  8.8 Het samenstellen van rollen  8.8.1 Role engineering  8.8.2 Eenvoud  8.8.3 Benamingen  8.8.4 Organisatiestructuur 

7445 BIM I&A Management.indd 7

81 81 81 82 83 83 83 86 86 86 88 90 90 90 90 91 91 92 92 93 94 95 97 97 97 98 100 101 103 103 104 105 107 107 108 108 108

14-11-14 11:43

8.8.5 Beperkingen  8.8.6 Stapsgewijze invoering  8.8.7 Consensus  8.9 Rollenhiërarchieën  8.10 Opzichzelfstaande rollen  8.11 Role mining  8.12 RBAC voor externe relaties  8.13 Functiescheiding  8.14 RBAC-regels  8.15 Het beheer van RBAC  8.15.1 Beheer van toewijzingen  8.15.2 Beheer van het businessrollenmodel  8.15.3 Beheer van autorisaties  8.16 Het inbedden van RBAC in de organisatie  8.17 De RBAC-standaard  8.18 Oplossingen  8.19 Privileged access  8.19.1 Risico’s  8.19.2 aatregelen  8.20 XACML  8.21 ABAC  8.22 OAuth  8.23 UMA  8.24 Andere autorisatiemethoden  8.24.1 MAC  8.24.2 DAC  8.25 Fysieke toegang 

109 109 110 110 111 112 113 114 116 117 117 118 119 119 120 121 122 123 124 125 127 129 131 132 132 132 133

9 Sterke authenticatie  9.1 Inleiding  9.2 Sterke authenticatie nader verklaard  9.3 Sterke authenticatie en cybercrime  9.4 Context en risico’s  9.5 Methoden en technieken  9.5.1 Wat iemand weet  9.5.2 Wat iemand heeft  9.5.3 Wat iemand als kenmerk heeft  9.6 Oplossingen  9.7 Standaarden 

135 135 136 136 138 139 140 141 145 147 148

7445 BIM I&A Management.indd 8

14-11-14 11:43

10 Password management  10.1 Inleiding  10.2 Wachtwoordrichtlijnen  10.3 Password management nader verklaard  10.3.1 Wachtwoordsynchronisatie  10.3.2 Wachtwoordreset  10.3.3 Password managers  10.4 Oplossingen 

151 151 152 154 154 155 157 158

11 Single sign-on  11.1 Inleiding  11.2 Single sign-on nader verklaard  11.3 Single sign-out  11.4 Vormen en technieken  11.5 Enterprise single sign-on  11.6 Web single sign-on  11.7 Kerberos  11.8 Directory login  11.9 Oplossingen 

159 159 160 161 161 162 164 165 166 168

12 Web access management  12.1 Inleiding  12.2 Web access management nader verklaard  12.3 Functionaliteiten  12.3.1 Authenticatie  12.3.2 Autorisatie  12.3.3 Sessiemanagement  12.3.4 Beschikbaarheid  12.3.5 Beheerfunctionaliteit  12.3.6 Audit en rapportage  12.4 Oplossingen 

171 171 171 172 173 174 174 174 176 177 177

13 Federated identity  13.1 Inleiding  13.2 Federated identity nader verklaard  13.3 Architectuur  13.4 Privacy en security  13.5 Voorwaarden en afspraken 

179 179 180 181 183 184

7445 BIM I&A Management.indd 9

14-11-14 11:43

13.5.1 Federatieve omgevingen in enge zin  13.5.2 Cloud computing  13.6 Provisioning  13.7 Autorisatie  13.8 Audit en rapportage  13.9 Digid  13.9.1 Historie  13.10 eHerkenning  13.11 Het eID Stelsel  13.12 eID in België  13.13 Oplossingen  13.14 Standaarden  13.14.1 Shibboleth  13.14.2 Liberty Alliance  13.14.3 SAML  13.14.4 WS-Federation  13.14.5 OpenID Connect  13.15 Social networks als identity provider 

184 187 189 190 190 190 191 192 193 194 195 196 196 196 197 200 201 202

14 User-centric identity 14.1 Inleiding 14.2 User-centric identity nader verklaard  14.3 Vormen  14.4 Acceptatie  14.5 Implementaties  14.5.1 CardSpace  14.5.2 Higgins  14.5.3 OpenID  14.5.4 Overige vormen 

203 203 204 205 207 208 208 209 209 210

15 Identity as a service  15.1 Inleiding  15.2 Identity as a service nader verklaard  15.3 Spelers en modellen  15.4 Overwegingen  15.5 Criteria 

211 211 211 213 213 214

7445 BIM I&A Management.indd 10

14-11-14 11:43

16 Mobile identity  16.1 Inleiding 16.2 Risico’s 16.3 Maatregelen  16.4 Authenticatiemethoden 

217 217 218 219 221

17 Information rights management 17.1 Inleiding 17.2 Information rights management nader verklaard  17.3 Architectuur en werking  17.4 Oplossingen 

223 223 223 225 226

18 Audit en rapportage  18.1 Inleiding  18.2 Intelligence ten behoeve van compliance  18.2.1 Fasen  18.2.2 Tekortkomingen  18.3 Hulpmiddelen  18.3.1 SIEM en IAM  18.4 Intelligence in cloudomgevingen  18.5 Frameworks en normenkaders 

227 227 228 228 228 229 231 232 233

19 Implementatie  19.1 Inleiding  19.2 Maturity assessment  19.3 Businesscase  19.4 Visie en strategie  19.5 Initiële fase  19.6 Architectuurfase  19.7 Product- en serviceselectie  19.7.1 Proof of concept  19.7.2 Licentiemodellen  19.8 Realisatie  19.9 Plateaus en iteraties  19.10 Kostencategorieën  19.11 Implementatiepartner  19.12 Bijzondere aandachtspunten 

235 235 236 237 238 239 240 242 247 248 249 249 250 251 252

7445 BIM I&A Management.indd 11

14-11-14 11:43

20 Bescherming van de identiteit en privacy  20.1 Inleiding  20.2 Documenten en pasjes  20.3 Wachtwoorden  20.4 Vertrouwelijke informatie op internet  20.5 Onlinetransacties  20.6 Beveiliging van pc en thuisnetwerk  20.7 Bescherming van smartphone en tablet  20.8 Downloaden  20.9 Omgang met vertrouwelijke bestanden en e-mail  20.10 Zoeken en internetten  20.11 Kinderen 

257 257 257 258 258 260 260 261 262 262 263 264

Index 

267

7445 BIM I&A Management.indd 12

14-11-14 11:43

Voorwoord

Identity & access management is in het licht van de moderne informatiemaatschappij een zeer belangrijke discipline. Het is identity & access management dat de belangrijkste instrumenten levert voor het overzien, beheren en beveiligen van identiteitsgegevens en autorisaties in organisatie- en internetomgevingen. Hierbij is sprake van zeer uiteenlopende toepassingen. Het geautomatiseerd aanmaken van accounts in doelapplicaties, het faciliteren en beveiligen van toegang, het inzichtelijk maken van autorisaties, het beschermen van privacy en het bestrijden van identiteitsfraude vormen nog maar een kleine greep uit de mogelijkheden die identity & access management biedt. In weerwil van deze feiten is het aantal boeken over identity & access management beperkt, ook internationaal. Een van de redenen hiervoor is dat de ontwikkelingen erg snel gaan. Deze worden dan ook voornamelijk in tijdschriften en online-publicaties beschreven. Ook zijn er voortdurende discussies over hoe bepaalde begrippen moeten worden geduid, waarbij niet zelden ook aanzienlijke verschillen blijken tussen academici en mensen die in het veld werkzaam zijn. Daarnaast vindt er, meestal om commerciële redenen, veel hypevorming plaats rond bepaalde concepten. Ondanks dat alles is het mogelijk om de basisprincipes en de voornaamste ontwikkelingen, technieken en services van identity & access management in één overzicht bijeen te brengen, zodat er op een gemakkelijke en efficiënte wijze kennis van genomen kan worden. Dit boek beoogt een dergelijk overzicht te verschaffen.

IDENTITY & ACCESS MANAGEMENT

7445 BIM I&A Management.indd 13

13

14-11-14 11:43

1 Inleiding

Namen, nicknames, accounts, profielen, wachtwoorden, autorisaties, creditcardnummers, adresgegevens, e-mailadressen en telefoonnummers. Dit zijn allemaal vormen van identiteitsen toegangsgegevens die zich her en der kunnen bevinden, in onze portefeuille, in onze thuiscomputer, in het mobiele apparaat, in het bedrijfsnetwerk en in de cloud. Veel van die identiteitsgegevens zijn gewild bij criminelen die ze gebruiken voor hun activiteiten zoals identiteitsfraude en cybercrime. Dit is slechts een van de redenen waarom het belangrijk is om zorgvuldig met onze identiteitsgegevens om te gaan. De behoefte aan privacy is een andere reden om identiteitsgegevens met veel aandacht te behandelen. Organisaties en gebruikers willen op snelle, gebruiksvriendelijke en veilige wijze de voor hun activiteiten benodigde informatie kunnen benaderen, waar deze zich ook bevindt. Iedereen wil dat bovendien doen vanaf elke willekeurige plek, op elk gewenst tijdstip en met een apparaat naar keuze, zoals pc, tablet of smartphone. Daarbij moet voortdurend duidelijk zijn wie toegang heeft tot welke gegevens en waar die toegang precies uit bestaat. Identity & access management biedt de noodzakelijke hulpmiddelen en technieken om identiteiten op adequate wijze vast te leggen, identiteitsgegevens op doeltreffende wijze te beheren en de toegang tot informatie op veilige en gestructureerde wijze in te richten. Dit handboek heeft als doel een overzicht te geven van identity & access management en de middelen die ons hiertoe ter beschikking staan. Het poogt eerst uit te leggen wat identiteit is en welke vraagstukken er een relatie mee hebben. Het overgrote deel van het boek behandelt dan de diverse technieken en hulpmiddelen waarmee (identiteits)gegevens beheerd en beschermd kunnen worden in bedrijfsomgevingen, cloudomgevingen en binnen de persoonlijke sfeer. Daarnaast wordt veel aandacht besteed aan de menselijke en organisatorische aspecten van identity & access management.

IDENTITY & ACCESS MANAGEMENT

7445 BIM I&A Management.indd 15

15

14-11-14 11:43

Het domein van identity & access management is sterk in beweging. Nog altijd wordt identity & access management het meest toegepast binnen traditionele bedrijfsomgevingen. Maar nieuwe ontwikkelingen als cloud computing, social media en mobiliteit maken dat identity & access management snel uitwaaiert naar buiten de muren van de organisatie. Daarom wordt in dit handboek niet alleen aandacht besteed aan de traditionele toepassingen van identity & access management, maar ook aan de vele nieuwe ontwikkelingen eromheen. Het handboek heeft in de eerste plaats een praktische insteek en is bedoeld voor iedereen die vanuit zijn of haar professie met identiteitsgegevens en identity & access management te maken heeft. Het kan eveneens gebruikt worden als studieboek en inleiding in het vakgebied. Er worden in dit handboek geen verwijzingen naar informatie in de vorm van URL’s of weblinks geboden. De voornaamste reden hiervoor is dat veel weblinks geen lang leven beschoren is. Bovendien kan bepaalde informatie gemakkelijk met behulp van een zoekmachine worden opgezocht.

16

7445 BIM I&A Management.indd 16

inleiding

14-11-14 11:43

2 Wat is identiteit?

2.1 Identiteit In dit boek zullen we spreken over identity & access management, meestal afgekort als IAM1. Hoewel de afzonderlijke woorddelen hierin goed herkenbaar zijn, zal het begrip als geheel voor niet-ingewijden niet zonder meer duidelijk zijn. Het zal blijken dat identity & access management een veelomvattende benaming is, die veel uitleg behoeft. Het is daarom nodig om eerst de afzonderlijke delen toe te lichten, voordat een poging kan worden gedaan het begrip als geheel te kunnen verklaren. Het laatste deel van het begrip, management, is het eenvoudigst te verklaren: dit betekent zoveel als ‘het besturen’ of ‘het beheren’. Hier zijn het zowel identiteitsgegevens als de toegang tot overige gegevens die beheerd moeten worden. Die toegang wordt uitgedrukt met access, dat eveneens deel uitmaakt van het begrip identity & access management. Het eerste deel van het begrip identity & access management laat zich heel wat lastiger verklaren. Want wat is identity ofwel identiteit? Laten we eens een poging wagen dit moeilijke en abstracte begrip te doorgronden. In het woordenboek treffen we bij ‘identiteit’ de betekenissen aan ‘gelijkheid van naam en persoon’ en ‘dat wat eigen is aan een persoon’. Dat lijkt een te beperkte omschrijving, want ook andere levende wezens en zelfs voorwerpen kunnen een identiteit hebben. Geen museum­ directeur zal ontkennen dat de objecten in zijn museum een identiteit hebben en heel veel mensen zullen dezelfde mening over hun huisdier hebben. In dit boek zullen we zien dat ook zeer uiteenlopende entiteiten als organisaties, computers, applicaties en IT-services een identiteit kunnen hebben. Identiteit heeft dus betrekking op alle levende wezens en op tal van voorwerpen en entiteiten, al speelt de identiteit van mensen de belangrijkste rol, ook in de context van identity & access management. 1 Andere gangbare benamingen zijn identiteitsmanagement en identity management (IDM).

IDENTITY & ACCESS MANAGEMENT

7445 BIM I&A Management.indd 17

17

14-11-14 11:43

Dat de betekenis van identiteit lastig te bepalen is, wordt meteen al geïllustreerd wanneer we de oorsprong van het woord proberen te achterhalen. ‘Identiteit’ is afgeleid van het Laat­ latijnse woord identitas dat een onduidelijke constructie heeft. In ieder geval lijkt dit woord het element idem, dat ‘hetzelfde’ betekent, te bevatten, en -tas dat een heel gangbaar achtervoegsel is om abstracte begrippen te vormen. Maar niemand weet hoe die elementen precies aan elkaar geplakt zijn om het woord identitas te vormen. Misschien is het een kunstmatig, dus bewust door iemand geconstrueerd woord. Hoewel de woordenboekbetekenis ‘dat wat eigen is aan een persoon’ – zoals we hebben gezien – te beperkt is, laat die wel een wezenlijk ander element zien, namelijk ‘dat wat eigen is’. ­Onder ‘eigen’ vinden we in datzelfde woordenboek onder meer de betekenis ‘kenmerkend’. Kennelijk is er dus sprake van kenmerken aan de hand waarvan we de identiteit van iets of iemand kunnen bepalen.

2.2 Context en groep Wanneer zijn de kenmerken van iemand (we beperken ons hier even tot mensen) zo karakteristiek dat ze de identiteit kunnen aangeven? Dat is wanneer ze worden vergeleken met de kenmerken van anderen. Daarbij spelen ook de omstandigheden of de context een rol. Die context kan verschillen, maar steeds is het zo dat andere mensen of identiteiten deel moeten uitmaken van die context om het begrip identiteit zinvol te laten zijn. Met andere woorden, iemands identiteit krijgt pas betekenis in een omgeving waarvan ook anderen deel uitmaken. Voor een kluizenaar die in volstrekte afzondering en zonder medeweten van anderen leeft, is identiteit van vrijwel geen belang, tenzij de persoon in kwestie zichzelf bewust wil vergelijken met de dieren en voorwerpen om hem heen. Iemand maakt altijd deel uit van bepaalde groepen en gemeenschappen, vaak vele tegelijk. Het gezin, een vriendenkring, een social network, de buurt, een hobbyclub, de gemeente, de staat en een unie of federatie van staten zijn allemaal voorbeelden van groepen of gemeenschappen waarvan wij deel uitmaken. En binnen elk van die groepen of gemeenschappen spelen ook weer zekere kenmerken een rol, die de gemeenschappelijke groepsidentiteit bepalen. Iemands identiteit bestaat dus zowel uit eigen, persoonlijke kenmerken als uit groeps- of sociale kenmerken.

18

7445 BIM I&A Management.indd 18

Wat is identiteit?

14-11-14 11:43

2.3 Identiteitsgegevens De identiteitsgegevens of -kenmerken van iemand kunnen eenduidig en rechttoe rechtaan zijn, zoals naam, geslacht en leeftijd, maar ze kunnen ook complex en veelomvattend zijn, zoals karakter, gedrag, levenservaring en reputatie. Hetzelfde geldt voor de identiteitskenmerken van de groep(en) waartoe iemand behoort. Het is vrij eenvoudig om het meest in het oog springende identiteitskenmerk van een voetbalclub aan te wijzen. Dat zal de gezamenlijke interesse in het voetbalspel zijn. Maar het is heel wat lastiger om aan te geven wat de Nederlandse identiteit inhoudt. Dat is een geheel van kenmerken die variëren van duidelijke en scherp omlijnde tot en met uiterst moeilijk definieerbare, die in de loop van de tijd en door invloeden van buitenaf ook nog eens aan verandering onderhevig zijn en dus dynamisch van karakter zijn. De Nederlandse taal, het wij-gevoel bij internationale sportevenementen, de afsluitdijk, Johan van Oldenbarnevelt, drie zoenen ter begroeting, erwtensoep, plantjes op de vensterbank en nog duizenden andere kenmerken en symbolen zijn allemaal elementen die samen de Nederlandse identiteit vormen. De identiteitskenmerken van personen zijn zeer omvangrijk. Sommige van die kenmerken of attributen zijn van belang voor veel verschillende situaties en worden vaak gebruikt. Andere spelen alleen een rol in specifieke situaties of contexten. Voorbeelden van identiteitskenmerken en -gegevens zijn: • • • • • • • • • • • • • • • • •

Naam (voornaam of voornamen, achternaam) Geslacht Geboortedatum Geboorteplaats Overlijdensdatum Uiterlijk (gelaatskenmerken) Burgerservicenummer (BSN) Nationaliteit Gelaatskenmerken (foto) Woonadres Burgerlijke staat Handtekening Vingerafdruk DNA-profiel Telefoonnummer Religie Taal of dialect

IDENTITY & ACCESS MANAGEMENT

7445 BIM I&A Management.indd 19

19

14-11-14 11:43

• • • • • • • • • • • •

Opleiding Beroep Leefwijze Mening Smaak Hobby(’s) Persoonlijkheid Bloedgroep Gebit Creditcardnummer Bankrekeningnummer Klantnummer.

De vetgedrukte gegevens zijn de gegevens die gewoonlijk door overheden en overheids- en opsporingsdiensten worden gebruikt om een persoon te kunnen identificeren.

2.4 Digitale identiteit Sinds de komst van computers en het internet kennen we ook het begrip digitale identiteit. Een digitale identiteit is hetzelfde als een identiteit in de niet-digitale wereld, namelijk iets wat eigen is aan een persoon. We beperken ons hier voor het gemak tot mensen. Net als in de niet-virtuele wereld wordt identiteit in de digitale wereld bepaald door kenmerken die betekenis krijgen in een context of groep. Die kan bestaan uit geautomatiseerde organisaties, het internet of – binnen dat internet – bepaalde websites, nieuwsgroepen of social networks. De kenmerken die onze digitale identiteit bepalen, hoeven geen enkele relatie te hebben met onze echte identiteit. Vaak is dat ook niet nodig. Veel websites verlangen alleen maar dat onze identiteit binnen hun website uniek is. Of die identiteit verzonnen of echt is, doet binnen de context van die website dan niet ter zake. Ook is het niet verboden om hier een fictieve identiteit te gebruiken, zolang er met die verzonnen identiteit geen onoorbare handelingen worden verricht. Maar wanneer een website of computer een verlengstuk of portaal is van de niet-virtuele wereld of hier anderszins een relatie mee heeft, dan zal de digitale identiteit op een of andere wijze gekoppeld moeten zijn aan de ‘echte’ identiteit. Zo zijn de digitale identiteitsgegevens die gebruikt worden bij websites van banken en overheidsinstellingen altijd gekoppeld aan echte identiteiten. Ook onze account- en toegangsgegevens in de IT-omgeving van de organisatie waarvoor wij werkzaam zijn, zullen verbonden zijn met onze ware identiteit. Dat kan bijvoorbeeld door die gegevens te koppelen aan de identiteitsgegevens in de personeelsdata-

20

7445 BIM I&A Management.indd 20

Wat is identiteit?

14-11-14 11:43

base die op hun beurt meestal gebaseerd zijn op geverifieerde gegevens die in ons paspoort of een andere identiteitsgegevensdrager vermeld staan. Ook in de digitale wereld zijn talrijke identiteitsgegevens in gebruik, waarmee wij geïdentificeerd kunnen worden. Hieronder valt een groot deel van de hierboven genoemde identiteitsgegevens die ook in gedigitaliseerde vorm voorkomen. Andere voorbeelden zijn: • • • • • • • • • • • • • • • • • •

Account (Windows-account, Facebook-account, bankaccount enzovoort) Gebruikersnaam of inlogcode Wachtwoord Pincode Toegangsrechten (autorisaties, permissies) E-mailadres IP-adres Hardware-adres (van smartphone, tablet of computer) Smartcard Token Smartphone of tablet Digitaal certificaat Nickname Afbeelding Profiel Elektronisch patiëntendossier Elektronische studieresultaten Pensioengegevens.

Een representatie van identiteit in de digitale wereld wordt ook wel aangeduid met persona. Iemand kan meerdere personas hebben, met elk zijn eigen set aan kenmerken, die elk bedoeld zijn voor een andere context. Hierbij en bij al die hoeveelheden identiteitsgegevens is het van belang te onderkennen dat iemand altijd maar één identiteit heeft. Het zijn de attributen die maken dat een identiteit in een bepaalde context een ander gezicht kan krijgen. Sommige van onze identiteitsgegevens zijn openbaar, andere zijn alleen toegankelijk voor een beperkte groep mensen, zoals familieleden en vrienden, maar veel van onze identiteitsgegevens zijn strikt geheim en mogen beslist niet geopenbaard worden. De context bepaalt steeds welke identiteitskenmerken op dat moment van belang zijn. Jezelf legitimeren, jezelf voorstellen, jezelf inschrijven voor een cursus, een rekening openen, een

IDENTITY & ACCESS MANAGEMENT

7445 BIM I&A Management.indd 21

21

14-11-14 11:43

besloten website bezoeken en inloggen op een bedrijfsnetwerk zijn allemaal voorbeelden van handelingen of omstandigheden waarbij op een of andere wijze identiteitsgegevens nodig zijn of betrokken worden.

2.5 Een definitie van identiteit Wanneer al het voorgaande in ogenschouw wordt genomen, zou een definitie van identiteit er als volgt uit kunnen zien. Identiteit is het geheel aan kenmerken dat een persoon of andere entiteit uniek herkenbaar maakt in een bepaalde context. Deze definitie komt maar deels overeen met die van het ISO/IEC (International Organi­ zation for Standardization/International Electrotechnical Commission), een internationale organisatie die zich veel met het opstellen van standaarden bezighoudt. Die definitie luidt als volgt. Identity is a set of attributes related to an entity. Onder entity wordt in de definitie van het ISO/IEC zowel een individu als een organisatie verstaan. In het speelveld van identity & access management kan een entity echter ook een proces, service, applicatie, mobiel apparaat of IT-component zijn. Belangrijker is het gegeven dat de definitie van de ISO/IEC niets zegt over de context die een cruciale rol speelt bij identiteiten.

2.6 Identificatiemiddelen Sommige van de eerdergenoemde groepen of gemeenschappen, zoals de gemeente, de staat of de unie, kennen overheden en andere vertegenwoordigende instanties die van ons eisen dat wij kunnen aantonen wie wij werkelijk zijn en wat onze rechten en plichten zijn. Hiervoor zijn allerlei identificatiemiddelen beschikbaar. Die kunnen bestaan uit opzichzelfstaande identiteitsgegevens, zoals naam, achternaam, geboortedatum, geslacht, burgerlijke staat, woonadres en burgerservicenummer of uit documenten en andere gegevensdragers waarin of waarop onze identiteitsgegevens en andere gegevens vermeld staan, zoals officiële identiteitsbewijzen (paspoort, identiteitskaart, rijbewijs) en andere identiteitsgegevensdragers (diploma, klantenkaart, bankpas, creditcard enzovoort). Op grond hiervan kan dan worden vastgesteld wie wij werkelijk zijn en welke handelingen wij op grond van de betreffende informatie ­mogen verrichten.

22

7445 BIM I&A Management.indd 22

Wat is identiteit?

14-11-14 11:43

Net als in de niet-virtuele wereld, zijn in de virtuele of digitale wereld identificatiemiddelen beschikbaar waarmee wij ons kenbaar kunnen maken. De gebruikersnaam, al dan niet gecombineerd met een wachtwoord (samen ook wel account of inlogcode genoemd), de nickname en het e-mailadres zijn wel de meest bekende voorbeelden hiervan. Wanneer een applicatie, informatiesysteem of website van ons verlangt dat we kunnen aantonen wie wij werkelijk zijn, dan komen meestal krachtiger identificatiemiddelen in het spel zoals eenmalige wachtwoorden (one-time passwords), een vingerafdrukscan of een smartcard. Om werkelijke waarde te hebben, moeten deze identificatiemiddelen pas aan ons worden overgedragen, nadat onze identiteit ondubbelzinnig is vastgesteld, bijvoorbeeld door middel van een zogenaamde faceto-face-controle en een wettig identiteitsbewijs.

2.7 Levenscyclus van identiteiten Iemands identiteit start al vóór zijn of haar geboorte. Al tijdens de zwangerschap wordt door de omgeving – in de eerste plaats zijn dit de ouders, maar ook vertegenwoordigers van de gezondheidszorg en allerlei commerciële partijen – veelvuldig gerefereerd aan het aanstaande gezinslid en de aanstaande burger. Direct na de geboorte krijgt de identiteit ineens veel meer inhoud, want dan worden het geslacht, de geboortedatum, de naam en allerlei andere gegevens eraan toegevoegd. De identiteit wordt meestal voor het eerst officiëel geregistreerd door de bij de bevalling aanwezige arts of verloskundige, vervolgens tijdens de aangifte bij de burgerlijke stand door een van de ­ouders. Vanaf dat moment neemt het aantal identiteitsgegevens van een individu alleen nog maar toe. Hoe complexer de samenleving, hoe meer identiteitsgegevens iemand gedurende zijn of haar leven verzamelt. Studie, werk en vrijetijdsbesteding voegen allemaal hun eigen identiteitsgegevens toe aan het individu. Vooral wanneer iemand aan het werk gaat, kan er een forse aanwas van identiteitsgegevens plaatsvinden, dikwijls in de vorm van authenticatie- en autorisatiegegevens, de gegevens die in belangrijke mate het onderwerp vormen van dit boek. Die identiteitsgegevens kunnen sterk wisselen naarmate iemands carrière vordert en de mate waarin hij of zij van functie, rol, afdeling of betrekking verandert. Wanneer in de literatuur gesproken wordt van identity life cycle management, wordt daarmee vooral de levenscyclus van identiteiten en identiteitsgegevens binnen organisaties en dus binnen iemands werkzame leven bedoeld. In de geïndustrialiseerde wereld verkrijgt iemand meteen al bij de geboorte een digitale identiteit. In verschillende databases worden identiteitsgegevens als naam, geslacht en adresgege-

IDENTITY & ACCESS MANAGEMENT

7445 BIM I&A Management.indd 23

23

14-11-14 11:43

vens geregistreerd. Ook is het niet meer ongewoon dat iemand al vanaf het vierde of vijfde levensjaar zijn of haar eerste inlognaam en wachtwoord verkrijgt. Social networks voor kinderen en andere kinderwebsites worden niet zelden al vanaf de kleuterleeftijd bezocht. Vooral vanaf de puberleeftijd kan de digitale identiteit een belangrijke plaats innemen in het leven van het individu. Voor veel jongvolwassenen vormt het internet een niet meer te ontkennen platform voor hun sociale leven. Pas na het overlijden komt de aanwas van het assortiment identiteitsgegevens tot stilstand. Maar ook na iemands overlijden blijft zijn of haar identiteit nog tot in lengte van jaren vastgelegd in tal van archieven, virtueel en niet-virtueel.

2.8 Privacy Wanneer mensen in een groep of gemeenschap – in welke vorm dan ook – verkeren, ontstaat de behoefte om zich op momenten af te zonderen van de rest. Ook willen de meeste mensen niet dat al hun identiteitskenmerken bekend zijn bij andere mensen. Vooral de identiteitskenmerken die in ongunstige zin afwijken van die van de rest van de groep of waarmee op een of andere wijze schade berokkend zou kunnen worden aan het individu, worden als privé beschouwd. Zo geven veel mensen niet graag hun leeftijd prijs wanneer die afwijkt van wat door de groep als ideaal wordt beschouwd. Ook vertelt bijna niemand graag wat hij of zij verdient. Daarnaast bestaan veel identiteitsgegevens waarmee het individu schade kan worden toegebracht, indien ze in verkeerde handen zouden vallen, zoals wachtwoord, bepaalde medische gegevens of creditcardnummer. Dergelijke identiteitsgegevens moeten daarom beslist geheim blijven voor onbevoegden. De behoefte zich af te zonderen of het niet willen prijsgeven van bepaalde identiteitskenmerken gaat meer op naarmate de groep waarvan men deel uitmaakt, groter of anoniemer is en verder weg staat van het individu. Zoals we hebben gezien, maakt iemand altijd deel uit van meerdere groepen of gemeenschappen (zie hoofdstuk 2.2). Het verlangen naar privacy gaat meer op naarmate de groep waarvan men deel uitmaakt, groter of anoniemer is en verder weg staat van het individu. Daar zijn de omstandigheden immers het minst vertrouwd en de risico’s dus het meest onbekend. Groepen die dichter bij het individu staan, zoals het gezin, worden als belangrijker en als meer tot de persoonlijke levenssfeer behorend beschouwd dan groepen of gemeenschappen die verder weg staan, zoals de maatschappij. Binnen de laatste is de behoefte aan privacy bij het individu dan ook groter.

24

7445 BIM I&A Management.indd 24

Wat is identiteit?

14-11-14 11:43

We zien ook dat de behoefte aan privacy en daarmee het individualisme toeneemt naarmate de bevolkingsdichtheid en daarmee de anonimiteit van het gebied of de maatschappij waarvan men deel uitmaakt groter is. In het dichtbevolkte Nederland, maar ook in andere dichtbevolkte gebieden zoals Nordrhein-Westfalen of de regio Parijs is de behoefte aan privacy en het individualisme groter dan in dunbevolkte gebieden. Door de opkomst van computers en vooral het internet nemen onze persoonlijke gegevens en de verspreiding hiervan sterk toe. Talrijke databases en websites hebben tegenwoordig de beschikking over onze gegevens. Die gegevens zijn waardevol, want bedrijven en overheden kunnen die gebruiken om hun diensten beter op onze persoonlijke voorkeuren af te stemmen. Maar dit houdt ook een risico in. Wij hebben er niet altijd zicht op wat diezelfde bedrijven en overheden werkelijk met die gegevens doen. Uit concurrentieoverwegingen, vanuit winstoogmerk of vanuit de behoefte meer controle over ons uit te oefenen kan de verleiding ontstaan meer met onze persoonlijke gegevens te doen dan wij eigenlijk willen. Soms ook worden voor dit doel gegevens uitgewisseld of databases aan elkaar gekoppeld teneinde nog meer inzicht te krijgen in onze voorkeuren en ons doen en laten. Het ongevraagd voorgeschoteld krijgen van reclame en op onze persoonlijke voorkeuren ­afgestemde informatie is nog wel het minst vervelende gevolg van deze ontwikkelingen. Meer impact op onze privacy heeft het wanneer ons – op grond van persoonlijke informatie die in het internet te vinden is – krediet of een verzekering wordt geweigerd, wanneer wij worden afgewezen voor een sollicitatie of, nog erger, wanneer wij daardoor het slachtoffer worden van een of andere vorm van identiteitsfraude. Vanwege de behoefte aan privacy en vanwege het feit dat het in de moderne informatiemaatschappij steeds moeilijker wordt om privacy te waarborgen, hebben veel landen wetgeving ingevoerd die de persoonlijke levenssfeer van mensen en de hiermee gerelateerde identiteitsgegevens of persoonsgegevens moet beschermen. In Nederland is dit de Wet bescherming persoonsgegevens (WBP), in België de Wet tot bescherming van de persoonlijke levenssfeer ten opzichte van de Verwerking van Persoonsgegevens (WVP). Ook bestaan er enkele internationale regelgevingen voor dit doel, zoals de European Data Protection Directive. Samengevat houden deze regelgevingen in dat zorgvuldig met persoonlijke gegevens van personen moet worden omgegaan, dat die gegevens alleen gebruikt mogen worden voor duidelijk omschreven en gerechtvaardigde doelen en dat een en ander de instemming van de betrokkene moet hebben. Toezichthouders zien toe op de naleving van de privacywetgeving. In Nederland is dit het College Bescherming Persoonsgegevens.

IDENTITY & ACCESS MANAGEMENT

7445 BIM I&A Management.indd 25

25

14-11-14 11:43

Privacy en privacywetgeving zijn in het moderne, dichtbevolkte Nederland zeer gevoelige onderwerpen en spelen een grote rol bij een aantal actuele maatschappelijke kwesties zoals het landelijke elektronische patiëntendossier (zie hoofdstuk 4.6) en nieuwe technologieën voor identificatie zoals het biometrische paspoort. Door diverse oorzaken komt de privacy van personen steeds meer onder druk te staan. Door criminaliteit en terrorisme vragen veel mensen zich af of privacy wel ten koste van alles ­beschermd moet worden. Veel overheden worstelen met het vinden van de juiste balans tussen het respecteren van de persoonlijke levenssfeer van mensen enerzijds en de bestrijding van criminaliteit en terrorisme anderzijds. We zien ook dat landen hier verschillend mee om gaan. In de Verenigde Staten bijvoorbeeld wordt minder belang gehecht aan privacy dan in Nederland en België zodra er ernstige strafbare feiten in het spel zijn of de veiligheid van de staat in het geding is. In Duitsland wordt vaak weer stringenter met privacy omgegaan dan in Nederland. Sinds de onthullingen van Edward Snowden over het surveillance-programma PRISM van de NSA (National Security Agency) weten we – of eigenlijk: weten we nog beter – dat overheden, overheidsdiensten en veiligheidsdiensten, vaak op grootschalige wijze, gegevens verzamelen van nietsvermoedende burgers teneinde vroegtijdig op het spoor te komen van terroristische, criminele of staatsondermijnende activiteiten. Omdat identity & access management rechtstreeks te maken heeft met identiteitsgegevens, zijn privacy en privacyregelgeving hier altijd een factor om rekening mee te houden. Identiteitsgegevens moeten in de zin van de wet worden beschouwd als persoonsgegevens indien deze te herleiden zijn tot een natuurlijk persoon. Bij het verwerken van identiteitsgegevens moet daarom steeds rekening worden gehouden met de privacywensen van het individu en de regelgeving hieromheen. Een extra complicerende factor hierbij is dat privacywetgevingen, zoals we hebben gezien, kunnen verschillen van land tot land. Ook hebben individuen, commerciële organisaties en overheden vaak ­tegenstrijdige belangen en verwachtingen ten aanzien van de privacy rondom identiteitsgegevens. De Wet bescherming persoonsgegevens doet een reeks uitspraken over de verwerking (verzamelen, opslaan of delen) van persoonsgegevens die echter nu en dan voor interpretatie vatbaar kunnen zijn. Hieronder volgt een samenvatting. • Persoonsgegevens mogen alleen worden verwerkt, indien de wet daarvoor een basis (grondslag) biedt.

26

7445 BIM I&A Management.indd 26

Wat is identiteit?

14-11-14 11:43

• Persoonsgegevens mogen alleen worden verwerkt ten behoeve van een vooraf vastgesteld doel. • Alleen die persoonsgegevens mogen worden verwerkt die werkelijk nodig zijn om het doel te bereiken. • Het verwerken van persoonsgegevens moet in verhouding staan tot het doel. • Betrokkenen moeten vooraf worden geïnformeerd over het doel en de aard van de verwerking van hun persoonsgegevens en hebben recht op inzage, correctie of – in bepaalde ­gevallen – verwijdering ervan. Op het bovenstaande kunnen aanvullende bepalingen van toepassing zijn, afhankelijk van bijvoorbeeld de branche of de omstandigheden waarin de persoonsgegevens worden verwerkt. Ook is het van belang te weten of men verantwoordelijke, bewerker of beide is. Het is daarom raadzaam om bij het omgaan met persoonsgegevens de wet zelf bij de hand te houden of een deskundige te raadplegen.

2.9 Vertrouwen Een begrip dat eveneens een nauwe relatie heeft met identiteit is vertrouwen (trust). Een fundamenteel principe van het aangaan van contacten en relaties, van welke aard dan ook, is het aanwezig zijn van vertrouwen. Zonder vertrouwen als basis is het niet mogelijk om een relatie op te bouwen, of dit nu een zakelijke relatie is of een relatie in de persoonlijke sfeer. Voor vertrouwen zijn waarborgen nodig. In het niet-virtuele, dagelijkse leven wordt vertrouwen bijna altijd opgebouwd door middel van persoonlijke contacten. Meestal is dit een langzaam proces. Het gezegde ‘vertrouwen komt te voet, maar gaat te paard’ is veelzeggend. ­Alleen indien men lang genoeg met iemand omgaat, leert men die ander voldoende kennen om te kunnen besluiten een echte vertrouwensrelatie met diegene aan te gaan. De waarborg wordt hier gevormd door ervaringsgegevens over de persoonlijkheidskenmerken van iemand, bijvoorbeeld het gegeven dat de persoon in kwestie altijd eerlijk en integer handelt. Is meer haast geboden, wat kan voorkomen bij het aangaan van een zakelijke relatie, dan kan het verkrijgen van vertrouwen met andere waarborgen worden versneld. Bijvoorbeeld door middel van een identiteitsbewijs of door bij derden te informeren over iemands reputatie. Soms kan worden afgegaan op iemands naamsbekendheid. Wanneer iemand in gunstige zin bekend is, heeft diegene kennelijk eerder al met anderen een succesvolle relatie opgebouwd. Maar zulke, snel opgebouwde, vertrouwensrelaties hebben altijd minder waarde dan die welke opgebouwd zijn door middel van persoonlijke omgang.

IDENTITY & ACCESS MANAGEMENT

7445 BIM I&A Management.indd 27

27

14-11-14 11:43

In internetomgevingen blijkt het vaak moeilijk om vertrouwen op te bouwen. De belangrijkste reden hiervoor is dat het internet voor het overgrote deel anoniem is. We zien hier minder snel wie er achter een bepaalde website steekt. Het internet is bovendien omvangrijk. Via het internet komen we in aanraking met veel meer partijen dan in het niet-virtuele leven. Wie die partijen precies zijn, blijft in veel gevallen vaag. Vaak beperkt de identiteit ervan zich tot de namen van de website, de organisatie en enkele contactgegevens. De werkelijke personen hierachter blijven grotendeels onbekend. Dat komt ook doordat de communicatie in het ­internet via indirecte en daarmee onpersoonlijke kanalen als e-mail en dialoogboxen verloopt wat de afstand en anonimiteit verder in de hand werkt. In het dagelijkse leven wordt de menselijke communicatie gedragen door tal van verbale en non-verbale elementen zoals lichaamstaal, gebaren, gezichtsexpressie, intonatie en stemvolume. Al die elementen ontbreken in ­internetcommunicatie. Die afstand en anonimiteit blijken grote belemmerende factoren bij het aangaan van relaties via het internet. Vooral bij het aangaan van relaties waarbij grote risico’s gemoeid zijn, zoals bij bepaalde zakelijke relaties het geval kan zijn, zien we dat partijen vaak eerst in levenden lijve contact met elkaar zoeken voordat online zaken worden gedaan. In latere hoofdstukken zullen we zien dat vertrouwen, of liever het ontbreken daarvan, een belangrijke rol speelt bij identity & access management in internetomgevingen. 2.9.1 Trust framework

Een begrip dat verderop in het boek enige malen voorbij zal komen is het trust framework. Een trust framework is een structuur om in vertrouwen te voorzien in internetomgevingen. Via een dergelijk framework kunnen identiteitsgegevens, authenticatiegegevens en -middelen en andere gegevens beheerd en beschikbaar worden gesteld. Voorbeelden in Nederland zijn eHerkenning (hoofdstuk 13.10) en het eID Stelsel (zie hoofdstuk 13.11). Een trust framework is gespecificeerd volgens regels die zijn opgesteld door een of meer ­partijen die inherent vertrouwen zouden moeten genieten, zoals een overheid, een maatschappelijke organisatie of een combinatie van profit- en non-profitpartijen. Dienstaanbieders (service providers), aanbieders van authenticatie- en identiteitsdiensten (identity providers, attribute providers) en eindgebruikers die willen deelnemen aan het trust framework moeten aan die regels voldoen, zoals die voor zekerheidsniveaus voor authenticatie. Er blijken maar weinig van dergelijke initiatieven van de grond te komen. De grootste uitdaging voor een trust framework is ook hier het vertrouwen dat partijen bereid zijn eraan te geven.

28

7445 BIM I&A Management.indd 28

Wat is identiteit?

14-11-14 11:43

Figuur 1: Trust framework

IDENTITY & ACCESS MANAGEMENT

7445 BIM I&A Management.indd 29

29

14-11-14 11:43

IDENTITY & ACCESS MANAGEMENT Identity & access management speelt een zeer voorname rol in de hedendaagse informatiemaatschappij waarin identiteiten, mobiele apparaten, IT-infrastructuren, cloudomgevingen en social networks steeds meer met elkaar verweven raken en dus onoverzichtelijker worden. Identiteitsgegevens moeten worden beschermd tegen cybercriminaliteit, identiteitsfraude en schending van de privacy. Toegang tot gevoelige informatie moet worden beperkt tot diegenen die daartoe gerechtigd zijn. Bovendien moet dit alles op een efficiënte, kosteneffectieve en gebruiksvriendelijke wijze worden gerealiseerd. Identity & access management biedt hiervoor de voornaamste instrumenten. Het Handboek Identity & Access management biedt een overzicht van de belangrijkste methoden, ontwikkelingen, standaarden en technieken op het omvangrijke en boeiende terrein van identity & access management. OVER DE AUTEUR

HANDBOEK IDENTITY & ACCESS MANAGEMENT

HANDBOEK

Dr. Rob van der Staaij CISSP CISA CISM CRISC CEH heeft meer dan twintig jaar ervaring met identity & access management en verwante disciplines zoals cybersecurity, risicomanagement, compliance en privacy. Gedurende zijn loopbaan heeft hij – in de rollen van adviseur, architect, projectmanager en auditor – tientallen organisaties geadviseerd en begeleid op de genoemde terreinen.

HANDBOEK

IDENTITY & ACCESS MANAGEMENT

DOELGROEP

Het boek is bestemd voor een brede doelgroep, zoals beleidsmakers, managers, bestuurders, auditors, security-specialisten en IT-professionals, maar is ook geschikt als studieboek voor diegenen die nieuw zijn in het vakgebied.

ROB VAN DER STAAIJ

978 94 6245 088 2 982

7445 Cover IAM.indd 1

ROB VAN DER STAAIJ

17-11-14 15:47