&
FINANCE
CONTROL
B e s ch e r m uw b e dr ij f s - e n k l antg e g e v e n s
Informatiemanagement
PE
Permanente Educatie
IDENTITY EN ACCESS MANAGEMENT: IN CONTROL? Binnen een voortdurend veranderende zakelijke omgeving is het een verre van simpele opgave om ervoor te zorgen dat (alleen) de juiste mensen toegang tot de juiste gegevens hebben. Wat ooit een gesloten lokaal netwerk was met apart toegankelijke (of niet-toegankelijke) systemen, is inmiddels uitgegroeid tot een wereldwijd web van mensen, toepassingen en gegevensverzamelingen, die grenzeloos interacteren. Het wordt steeds moeilijker om overzicht te krijgen en houden van alle verschillende gebruikersidentiteiten (binnen en buiten de organisatie) en hun onderscheiden toegangsrechten, laat staan om deze effectief en efficiënt te beheren. Daardoor ontstaan er steeds grotere risico’s met steeds grotere gevolgen, denk aan de recente Diginotar-affaire. DOOR MARCUS LASANCE
D
e Diginotar-affaire ging (o.a.) over toegang(srechten) tot gegevens en applicaties, over vertrouwelijkheid, veiligheid, over identiteitsfraude. Met andere woorden: over allerlei risico’s rond moderne digitale oplossingen voor gegevensverzamelingen, processen, taken, rechten, plichten en verantwoordelijkheden daaromheen, inclusief de bijbehorende autorisatiemechanismen. Diginotar ging dus helemaal over identity management. Vraag aan tien verkopers van identity-managementsoftware wat identity management eigenlijk is, en je krijgt tien verschillende definities voorgeschoteld. Meestal dekt die definitie
Bij dit artikel hoort de online cursus ‘Identity management’ Met deze cursus kunt u punten behalen in het kader van uw permanente educatie (PE ). Ter kennismaking kunt u de cursus ‘Best in finance’ gratis volgen en uw eerste studiepunten behalen. Kijk voor meer informatie en een overzicht van alle cursussen op <www.financecontrol.nl>.
PE
Permanente Educatie
26
|
juist die elementen en aspecten, waarin hun ‘oplossing’ al dan niet toevallig voorziet en laat andere aspecten onbenoemd. Legt men dezelfde vraag voor aan honderd Chief Technology Officers (CTO’s), Chief Information Officers (CIO’s) of Chief Security Officers (CSO’s), dan lopen de antwoorden die zij geven nog verder uit elkaar. Allen bekijken zij de vraag vanuit hun eigen perspectief en problematiek. De CTO, verantwoordelijk voor IT-support, maakt zich druk over het grote aantal vragen aan de helpdesk over vergeten wachtwoorden en andere problemen die gebruikers ondervinden bij het inloggen in belangrijke bedrijfsapplicaties. De CIO wil zeker stellen dat alle gebruikers tijdig bij de juiste informatie kunnen die ze nodig hebben voor hun job. De CSO maakt zich zorgen dat ex-medewerkers (misschien nu werkend voor de concurrentie) nog steeds op afstand in belangrijke bedrijfssystemen kunnen inloggen en misschien belangrijke klantengegevens of technische specificaties door zouden kunnen sluizen naar en misbruiken in hun nieuwe baan. De HR-manager vindt het belangrijk dat nieuwe medewerkers snel na indiensttreding productief kunnen zijn en op tijd het juiste salaris ontvangen, inclusief hun onkostenvergoedingen. Tegenwoordig betekent DECEMBER 2011
PE
Permanente Educatie Business Modelling Company
Asset Modelling
Identity and Access Modelling
approver assign
SOU
Business Role
Permission
1: n Dept. Group
IT Role
Rule
Cost center
Provisioning Engine
Section
Account
Target System
Request
Policy
User
Reports Figuur 1 Schematische weergave van RBAC gebaseerd IAM
dat vaak dat ze een laptop moeten krijgen, een internettelefoon en een smartcard of secure-ID token, dat hun toegang verschaft tot de juiste gebouwen en systemen, die thuiswerken en permanente educatie met behulp van bedrijfsopleidingen mogelijk maken.
Vraag aan tien verkopers van identity-managementsoftware wat identity management eigenlijk is, en je krijgt tien verschillende definities voorgeschoteld De CSO op zijn beurt, moet zorgen dat van dezelfde medewerkers (na uitdiensttreding) en/of uitzendkrachten en externe contractors de verstrekte hulpmiddelen, smartcards en one time password generators meteen ingenomen worden door het bedrijf of in geval van nood ten minste op afstand op non-acDECEMBER 2011
tief gesteld kunnen worden. Zo is er zelfs bij niet-teruggave of verlies geen misbruik meer mogelijk. De enige definitie waarin waarschijnlijk alle stakeholders zich min of meer zullen kunnen vinden luidt als volgt: identity management staat voor het ontwikkelen, beheren, evalueren en up-to-date houden van informatiesystemen en (digitale) bedrijfsprocessen rond het beheren van (digitale) identiteiten van medewerkers, inclusief de aan hen toegekende toegangsrechten tot die systemen en gegevens; gedurende de gehele levenscyclus, van de eerste creatie van identiteit plus rechten tot de uiteindelijke vernietiging of op non-actiefstelling en archivering. Risico’s identity management Volgens recent onderzoek van Verizon (2010) was 48 procent van alle gegevenslekken te wijten aan interne medewerkers. Van alle incidenten werd 11 procent veroorzaakt door externe zakelijke partners. Misbruik van toegangsrechten blijkt de belangrijkste oorzaak van dergelijke incidenten. Dit hoeft geen verbazing te wekken, gezien de complexiteit die gepaard gaat met het beheren van toegangsrechten van een voortdurend veranderend gebruikersbestand tot een voortdurend veranderende verzameling hulpbronnen. De nood|
27
W W W. F I N A N C E - C O N T R O L . N L
&
FINANCE
zaak om toegang te bieden aan mobiele apparaten, telewerkers, ingehuurde externen, partners en leveranciers vergroot die complexiteit nog aanzienlijk en gaat gepaard met hogere kosten en grotere risico’s. In de kern van de zaak mitigeert een degelijk identity-managementsysteem alleen het risico dat belangrijke of privacygevoelige informatie in verkeerde handen geraakt en misbruikt wordt. Het moge duidelijk zijn dat alleen al het reputatieverlies, volgend op een lek in de informatiebeveiliging, een schadepost van miljoenen voor een bedrijf kan betekenen. In een aantal gevallen kan het zelfs leiden tot faillissement en bedrijfssluiting. Het snelle bankroet van DigiNotar is een goed voorbeeld van hoe snel het met een bedrijf afgelopen kan zijn, wanneer identity-managementprocessen falen, hoewel sommigen erop zullen wijzen dat het hier ook om regelrechte cyberoorlogsvoering ging, waartegen bedrijven en overheden zich slechts met moeite kunnen verdedigen. Het misbruik en de resulterende miljardenschade van medewerker en rogue trader Jérôme Kerviel bij het Franse bedrijf Société Générale is misschien nog wel een beter voorbeeld van wat er kan misgaan wanneer medewerkers tijdens hun carrière in het bedrijf te veel toegangsrechten en autorisaties kunnen verwerven. ‘Wij wisten het niet’, is in zo’n geval geen geldig excuus meer. Wetgeving als Sarbanes Oxley (SOx) in de USA en Basel II in Europa hebben hiervoor inmiddels dwingende regels voorgeschreven. Goed identity management is voortaan een sine qua non. Hier volgen enkele voorbeelden van identity-managementrisico’s: ~ Een nieuwe medewerker kan enkele weken na indiensttreding nog steeds niet aan de slag, omdat toegang krijgen tot belangrijke informatiesystemen zo lang duurt en hij nog steeds geen smartcard met private key uit de PKI factory ontvangen heeft. ~ Een medewerker van het accounting department krijgt een
De controller is q.q. verantwoordelijk voor ICT-governance. Hij dient vast te stellen of de organisatie aan alle relevante aspecten op de juiste wijze en in de juiste onderlinge verhoudingen de vereiste aandacht geeft. Daarbij mag van een controller geen specifieke technische ICT-kennis verwacht worden. Daar zijn andere functionarissen voor. Maar de controller moet wel voldoende zicht hebben op en inzicht in de processen die in het kader van ICT-governance een cruciale rol spelen, en ook in de wijze waarop deze processen gestalte krijgen. Dat geldt in versterkte mate voor identiteitsmanagement, al was het maar omdat daar functiescheiding en AO belangrijke aspecten zijn.
28
|
CONTROL
~
~
~
~
~
~
nieuwe baan bij de inkoopafdeling en kan facturen van zijn leverancier nog steeds als ‘betaald’ aanmerken, zelfs voordat de goederen ontvangen zijn. Hij speelt een bevriende leverancier zo goedkoop krediet toe. Een externe IT-contractor werkt tegenwoordig voor uw grootste concurrent. De system logs duiden erop dat zijn medewerkers na hun vertrek nog steeds toegang tot belangrijke klantengegevens hadden en deze waarschijnlijk voor hun nieuwe opdrachtgever gekopieerd hebben. Een ingenieursbureau dat een raffinaderij ontwierp voor een klant in het Midden-Oosten vermoedt dat een volledige kopie van de plant in China is nagebouwd, zonder dat het bureau er een cent voor betaald kreeg. Een multinational krijgt een grote geldboete in Amerika, omdat bewezen is dat een van de filialen van het bedrijf zonder uitvoervergunning materialen verzonden heeft die voor oorlogsdoeleinden gebruikt zouden kunnen worden en hier geen vergunning voor aangevraagd was. Een medewerker van personeelszaken verliest een memory stick met daarop de niet-versleutelde salarisgegevens van het gehele personeel. Een krant pikt het verhaal op en maakt grote ophef over de belachelijke salarissen die dit semioverheidsbedrijf betaalt. Het externe accountantskantoor weigert de financiële jaarstukken af te tekenen voor gebruik in Amerika, omdat niet aangetoond kan worden dat het bedrijf voldoet aan alle vereisten van Sarbanes Oxley section 302 and 404. Een zogenaamde hacker maakt ongeautoriseerde wijzigingen op de homepage van het bedrijf op het internet. Hij laat onschuldige graffiti achter, maar verwacht een forse betaling van het bedrijf voordat hij vertelt via welke achterdeur hij het systeem kon binnendringen.
Identity management in control Alleen al door het gebruikersbeheer vanaf een beheersbare centrale locatie te regelen, kunnen ondernemingen een stapje dichter komen bij de realisatie van een efficiënter beheer van identiteiten, bijvoorbeeld via het systeem van single (of simple) sign-on, dat iedere gerechtigde met één eigen username-passwordcombinatie toegang geeft tot een eigen verzameling toegangsrechten met elk eigen (en vaak ingewikkelde) toegangscodes. Maar identity and access management (IAM) is de verzamelnaam voor een bredere beveiligingsdiscipline, die belooft om het beheer van de gebruikerstoegang efficiënter, veiliger en beheersbaar te maken. IAM kan bedrijven helpen het toegangsbeheer te integreren voor de gehele extended enterprise, oftewel de onderneming met al haar vertakkingen, met inbegrip van externe en tijdelijke partners en leveranciers, inclusief de toegang tot backofficebronnen als bestandsservers en toepassingen op externe locaties. DECEMBER 2011
PE
Permanente Educatie Intussen maken dan ook heel wat ondernemingen gebruik van dit soort software. De meeste toepassingen bieden op beleidsregels (rules) gebaseerd gebruikersbeheer, single sign-on voor internettoepassingen, op standaarden gebaseerde integratie van identiteiten en rapportage voor compliancedoeleinden. Een groeiend aantal organisaties kiest voor role-based access control (RBAC), waarbij eerst een grondige inventarisatie gemaakt wordt van de verschillende businessrollen die in de organisatie nodig zijn. Hierbij bepalen de roles en niet de rules welke toegangsrechten een specifieke user krijgt. Daarbij moet het bedrijf vanzelfsprekend meteen aangeven welke rollen vanwege functiescheiding (Engels: segregation of duties conflict), niet bij een en dezelfde persoon mogen liggen. Cloud computing Cloud computing diensten staan momenteel volop in de be-
Identity management grijpt diep in op alle lagen van de organisatie langstelling, en daar is een goede reden voor. Door over te stappen naar een cloud computing model met een op een vast abonnementstarief gebaseerde kostenstructuur, kunnen bedrijven meer grip krijgen op de kapitaaluitgaven en operationele kosten en hun operationele en beheersoverhead reduceren. Bovendien krijgt de organisatie hierdoor de vrijheid om zich op haar sterkste punt te concentreren. Het feit dat bedrijven meerwaarde in cloud computing zien, blijkt wel uit een enquête die onderzoeksbureau IDG in 2009 onder grote ondernemingen uitvoerde. Circa 30 procent van de respondenten bleek reeds bedrijfstoepassingen aan de cloud te hebben toevertrouwd. Nog eens 16 procent gaf aan plannen te hebben om het volgende jaar naar de cloud over te stappen. Wanneer CIO’s, CTO’s en CSO’s gevraagd wordt naar hun bedenkingen over het fenomeen cloud computing, dan zijn veiligheidsoverwegingen steevast het grote struikelblok. Als het al een grote uitdaging is om er in een traditionele ICTomgeving voor te zorgen dat alleen de daartoe gerechtigde medewerkers en partners toegang krijgen tot vertrouwelijke gegeDECEMBER 2011
vens, hoeveel moeilijker wordt dit verhaal dan als we fysiek niet eens meer 100 procent zeker kunnen weten waar onze gegevens zich bevinden, op welk continent zelfs? En op een platform dat we moeten delen met wie weet hoeveel andere organisaties? Door een beroep te doen op een leverancier die zowel expert is op het gebied van cloud computing als op het gebied van identity management en beveiliging, kunnen ondernemingen profiteren van uiterst geavanceerde beveiliging en een einde maken aan de noodzaak om additionele hardware en software aan te schaffen. En zoals bij de meeste cloud computing diensten is het dan juist mogelijk om een oplossing sneller te implementeren, wat goed van pas komt wanneer de bedrijfsvoering om een snelle reactie vraagt. Zo ondervond een grote fabrikant van farmaceutische producten steeds meer problemen bij het eigen identiteits- en toegangsbeheer. Zijn overnametempo lag op gemiddeld drie tot vier nieuwe bedrijven per kwartaal. De integratie- en ICT-teams realiseerden zich dat ze wel erg veel tijd en geld kwijt waren aan hun pogingen om de overgeërfde gebruikersdirectories en toepassingen in het totaalsysteem te integreren. Door juist gebruik te maken van IAM in een cloud computing dienst, kon deze onderneming voor de integratie van het toegangsbeheer en het voortdurende onderhoud een beroep doen op experts op het gebied van gedistribueerd identiteits- en toegangsbeheer. Daardoor kreeg het bedrijf de vrijheid om zich volledig op de zakelijke aspecten van zijn overnames te richten. Implementatie identity management Identity management grijpt diep in op alle lagen van de organisatie. Het aloude adagium eerst organiseren, daarna automatiseren, is nog steeds volop van kracht. Het simpelweg kopen van een identity-managementoplossing van een vertrouwde leverancier als IBM, SAP of Oracle vormt natuurlijk slechts een klein onderdeel of zelfs het sluitstuk van de benodigde identitymanagementoplossing. De vuistregel geldt ook hier, dat de software- en hardwarekosten maar 20 procent van het totale kostenplaatje uitmaken. Het is verstandig om een identity-managementproject te beginnen met een inventarisatie van de hoeveelheden identitymanagementtechnologie die in de loop der jaren al, soms ongemerkt voor de verantwoordelijke niet-specialisten, in huis |
29
W W W. F I N A N C E - C O N T R O L . N L
&
FINANCE
gebracht is onder de vleugels van eerdere grote automatiseringsprojecten. Menig groter bedrijf zal prettig verrast vaststellen dat het de nodige identity-managementsoftwarelicenties allang en niet of onderbenut in huis heeft via een enterprise software licence agreement gesloten met een bekende en vertrouwde leverancier.
De bescherming van bedrijfs- en klantgegevens vormt dezer dagen een van de grootste prioriteiten voor bedrijven Het heeft in dat geval nauwelijks zin dat de ICT-afdeling alsnog een aanbestedings- en evaluatieproces begint. De uitzondering bevestigt ook hier de regel, maar via recente en minder recente overnames van specialistische bedrijven kunnen alle grote wereldnamen op softwaregebied (IBM, Microsoft, Oracle, CA en SAP) inmiddels een complete identity-managementsuite bieden aan hun klanten. Een relatief rimpelloze integratie met andere bedrijfskritische informatiesystemen van dezelfde leverancier is dan in principe verzekerd. Kenden bedrijven voorheen toegangsrechten per applicatie toe, meestal op basis van een rule (if…then…-toestemming), tegenwoordig prefereren ze RBAC, Role Based Access Control. Het kenmerk van RBAC is dat individuen uitsluitend rechten krijgen op basis van een vorm van groepslidmaatschap, op basis van de rol die ze hebben binnen een organisatie of bedrijfsproces. Ook de permissies op objecten/functies in informatiesystemen kunnen worden gegroepeerd in rollen. Door het koppelen van de rol van de gebruiker in de organisatie aan een rol in een informatiesysteem, is het eenvoudig om de effectieve rechten van een gebruiker te bepalen. Het daadwerkelijk toekennen van rechten en permissies aan een gebruiker en het verstrekken van gerelateerde objecten (tokens en dergelijke) noemt men provisioning.
CONTROL
lossing kan bedrijven helpen met het beheer van gebruikersen toegangsrechten en tegelijk kosten en risico’s terugdringen. Daarnaast maakt IAM het mogelijk om nieuwe collega’s, als individu of als groep, sneller productief te maken, waardoor ze sneller een bijdrage aan de onderneming kunnen leveren. Voor controllers betekent dit dat ze zich ook in (de procesmatige kant van) IAM zullen moeten gaan verdiepen. Juist bij het inrichten van een voor de organisatie geschikt rollenmodel en bijbehorende functiescheidingen (segregation of duties) moeten zij een belangrijke eigen rol spelen. Doen ze dat niet, dan bestaat er een reële kans dat ze er veel te laat achterkomen dat hun marketingafdeling gevoelige klanteninformatie louter met gebruikersnaam en wachtwoord heeft beveiligd, zelfs al is de inhoud ondergebracht in ‘de cloud’. Helaas is dit nog altijd de meest voorkomende en gemakkelijkst te hacken authenticatiemethode. Literatuur ~ Verizon (2010), ‘2010 Data Breach Investigations Report’, <www.verizonbusiness. com/resources/reports/rp_2010-DBIR-combined-reports_en_xg.pdf>.
Drs. Marcus Lasance is freelance consultant op het gebied van Identity and Access Management. Van 2002 to 2007 was hij lid van de directieraad van MaXware in Noorwegen. In 2007 werd MaXware overgenomen door SAP AG. De Identity Management software suite, mede ontworpen onder leiding van Marcus, vormt nu onderdeel van de SAP Netweaver IdM product set. Hij studeerde op Nyenrode University en is tevens een MBA graduate van RSM Rotterdam School of Management. Hij is een bekend spreker en deelnemer in de verschillende Identity Management conferenties die plaatsvinden in Nederland en ver daarbuiten. Marcus Blog kan gelezen worden op http://identityspace.wordpress.com.
Ter afsluiting De bescherming van bedrijfs- en klantgegevens vormt dezer dagen een van de grootste prioriteiten voor bedrijven. Naarmate organisaties hun systemen voor meer en meer diverse ‘gebruikers’ openstellen, wordt het belangrijker om adequate aandacht te besteden aan identiteits- en toegangsbeheer. Als gevolg van de financiële druk, ontstaan door de crisis, kan het verleidelijk zijn om IAM lager op de prioriteitenlijst te zetten. Het beschermen van gevoelige bedrijfs- en klantgegevens dient echter een hoge prioriteit te behouden. Een degelijke IAM-op-
30
|
DECEMBER 2011
