Vrije Universiteit Amsterdam Post-Graduate IT-audit opleiding Identity & Access Management Scriptie ter afronding van de IT-audit opleiding aan de VU
Auteur:
ing. R.J.H (Robert-Jan) Broer Vlietstraat 2 2271 DH Voorburg Telefoonnummer 06-24690293 E-mail:
[email protected]
Scriptienummer: Studentnummer:
815 9981282
Bedrijfscoach: Begeleider VU: Afstudeerdatum:
drs. R. (Ronald) Blok RE RA / ing. P. (Peter) Groen MBA RE CISA De heer B. (Bart) Bokhorst RE RA 31 Maart 2008
Voorwoord De scriptie die voor u ligt is de finale toets van de Post-Graduate IT-audit opleiding aan de Vrije Universiteit van Amsterdam. De student dient in deze scriptie een probleem of vraagstuk uit de dagelijkse praktijk op een academisch verantwoorde wijze uit te werken. Deze scriptie heeft als onderwerp Identity & Access Management en richt zich met name op de aandachtsgebieden tijdens het implementatietraject vanuit IT-audit perspectief. Vanuit de Vrije Universiteit van Amsterdam is de heer Bart Bokhorst aangewezen als mijn afstudeerbegeleider. Ik wil hem graag bedanken voor de inhoudelijke ideeën en het doorlezen en becommentariëren van de conceptversies van deze scriptie. Graag wil ik mijn bedrijfsbegeleiders Peter Groen en Ronald Blok bedanken voor hun adviezen en voor het meelezen van deze scriptie. Verder wil ik graag de geïnterviewde personen bedanken voor hun tijd en het geven van hun ervaringen en visie op het onderwerp.
Robert-Jan Broer Voorburg, 31 maart 2008
Inhoudsopgave
1. Inleiding ............................................................................................................................................................... 1 1.1 De aanleiding en doelstelling van het afstudeeronderzoek ........................................................................... 1 1.2 Probleemstelling ............................................................................................................................................ 2 1.3 De aanvullende deelvragen........................................................................................................................... 2 1.4 Aanpak .......................................................................................................................................................... 2 1.5 Leeswijzer ..................................................................................................................................................... 3 2. Identity & Access Management ........................................................................................................................... 4 2.1 Inleiding ......................................................................................................................................................... 4 2.2 Wat is Identity & Access Management? ........................................................................................................ 4 2.2.1 Definitie van Identity & Access Management .......................................................................................... 4 2.2.2. I&AM-Componenten ............................................................................................................................... 6 2.2.3 Business Drivers...................................................................................................................................... 7 3. Het implementatietraject van Identity & Access Management .......................................................................... 10 3.1 Inleiding ....................................................................................................................................................... 10 3.2 Business Case ............................................................................................................................................ 10 3.3 Implementatiefasering ................................................................................................................................ 11 3.4 Deelproducten van een Identity & Access Management implementatie ...................................................... 12 3.6 Samenvatting .............................................................................................................................................. 16 4. De rol van de IT-auditor .................................................................................................................................... 17 4.1 Inleiding ....................................................................................................................................................... 17 4.2 De rol van de IT-auditor............................................................................................................................... 17 4.2.1 Projectaudit ........................................................................................................................................... 17 4.2.2 Projectdeliverables ................................................................................................................................ 17 4.3 Samenvatting .............................................................................................................................................. 18 5. Aandachtsgebieden tijdens Identity & Access Management implementatie ...................................................... 19 5.1 Inleiding ....................................................................................................................................................... 19 5.2 Resultaten Case Study................................................................................................................................ 19 5.2.1 Aanleiding .............................................................................................................................................. 19 5.2.2 Projectaanpak........................................................................................................................................ 21 5.2.3 Deelproducten ....................................................................................................................................... 22
5.2.4 Audit ...................................................................................................................................................... 23 5.3 Resultaten expertinterviews ........................................................................................................................ 23 5.4 Samenvatting .............................................................................................................................................. 24 6. Conclusies en reflectie....................................................................................................................................... 26 6.1 Conclusies van het onderzoek .................................................................................................................... 26 6.2 Persoonlijke reflectie ................................................................................................................................... 27 7. Gehanteerde literatuur ....................................................................................................................................... 28 Bijlage A. Uitwerking I&AM expertinterviews ........................................................................................................ 29
Implementatietraject Identity & Access Management
nr. 815
1. Inleiding 1.1 De aanleiding en doelstelling van het afstudeeronderzoek Met de groeiende aandacht in de media voor lekken in informatiebeveiliging worden organisaties zich steeds bewuster van de noodzaak tot informatiebeveiliging. Niet alleen diefstal of verlies van een laptop of USB-memorystick zijn hiervan de oorzaak, ook verschijnen er regelmatig berichten in de media van organisaties die door een ex-werknemer zijn getroffen omdat deze nog toegang tot het netwerk had, omdat iemand was vergeten zijn gebruikersaccount te verwijderen. Het kan ook voorkomen dat iemand anders misbruik maakt van zijn vergeten gebruikersaccount, en dus, andermans identiteit. Het misbruik maken van een identiteit spreekt wellicht het meest tot de verbeelding door films zoals James Bond in ‘Never say never again’, waarbij één van de schurken een oogoperatie heeft ondergaan om kenmerken van het oog van de president te kopiëren. Zodoende kan hij de irisscan die toegang geeft tot nucleaire wapens met succes passeren. Wellicht dichter bij huis, zijn de gevallen van identiteitsmisbruik waar bijna iedere internetgebruiker momenteel mee te maken krijgt. Denk hierbij aan phishing of pharming. Bij phishing wordt men doorgeleid naar een identiek gelijkende website die frauduleus is. Bij pharming wordt men op websites misleid door omleiding naar een kwaadwillige website, die niet gelijk hoeft te zijn aan de website die men zocht, maar wel op persoonlijke gegevens uit is. Het is opvallend te noemen, dat de internet thuisgebruiker die tegenwoordig op z’n qui vive is voor misbruik van zijn creditcardgegevens, dezelfde collega is die nog niet zo heel lang geleden (en misschien nog steeds) geen moeite heeft om zijn gebruikersnaam en wachtwoord te delen met andere collega’s zonder zich bewust te zijn van de mogelijke gevolgen. Terwijl het binnen de kantooromgeving vaak om veel grotere risico’s gaat. Denk hierbij aan functiescheidingen in betalingssystemen die geautomatiseerd worden afgedwongen. In mijn functie als IT-auditor heb ik tijdens opdrachten bij zowel mijn vorige (Big Four) als huidige werkgever (investeringsbank) meer dan eens te maken met het gebrek aan kennis en capaciteit om medewerkers, klanten en business partners te kunnen authenticeren en autoriseren voor toegang tot netwerken, applicaties en digitale informatie in het algemeen. De veelheid aan applicaties en systemen, met ieder vaak hun eigen authenticatie- en autorisatiemodules, het (grote) aantal wijzigingen in user accounts, verzoeken om wachtwoorden te resetten door de eindgebruikers kunnen zorgen voor een relatief zware belasting op de IT-beheerorganisatie. Dit resulteert in lange doorlooptijden voor autorisatiebeheer en hoge kosten voor het IT-beheer. Het implementeren van Identity & Access Management helpt organisaties om de juiste informatie (tijdig) toegankelijk te maken voor de juiste personen of groepen. Over Identity & Access Management is reeds veel gepubliceerd, waarin de definitie en beschrijving van alle bijbehorende componenten zijn uitgewerkt (zie paragraaf 1.4). Dit afstudeeronderzoek richt zich op het implementatiepad van Identity & Access Management vanuit een IT-audit perspectief. Richten ITauditors zich tijdens een implementatieproject van Identity & Access Management zich voornamelijk
1
Implementatietraject Identity & Access Management
nr. 815
op de betrouwbaarheid en effectiviteit van het project zelf, of wordt er wel degelijk inhoudelijk gekeken naar de projectdeliverables zelf?
1.2 Probleemstelling De volgende onderzoeksvraag is ontstaan vanuit de geschetste uiteenzetting in de vorige paragraaf: Wat zijn de aandachtsgebieden van een Identity & Access Management implementatietraject, vanuit een IT-audit perspectief?
1.3 De aanvullende deelvragen De volgende deelvragen dienen beantwoord te worden alvorens er op de bovenstaande onderzoeksvraag antwoord gegeven kan worden. 1. Hoe ziet een stappenplan eruit met betrekking tot de implementatie van Identity & Access Management en welke deelproducten horen bij deze stappen? 2. Wat zijn, vanuit een IT-audit perspectief, de aandachtsgebieden bij de totstandkoming van elk van deze deelproducten? 3. Wat zijn de ervaringen van betrokken IT-auditors bij Identity & Access Management implementatietrajecten?
1.4 Aanpak Momenteel staat Identity & Access Management in de belangstelling bij overkoepelende vakorganisaties zoals de PvIB1 en wordt er met enige regelmaat over gepubliceerd of aangehaald in publicaties over gerelateerde onderwerpen (bijv. Role Based Access Control). Tevens worden er met enige regelmaat seminars georganiseerd over Identity & Access Management en zijn er talloze white papers te vinden over gerelateerde producten en diensten die worden geleverd. Naast deze geraadpleegde bronnen, is het afstudeeronderzoek naar Enterprise Identity & Access Management door Emanuël van der Hulst gebruikt als vertrekpunt voor dit onderzoek. Dit onderzoek is uitgevoerd door middel van een empirisch onderzoek en een case study. De case study is die van de Identity & Access Management implementatie binnen de organisatie waarvoor ik werkzaam ben. Het empirisch onderzoek bestaat uit het afnemen van interviews met personen die betrokken zijn (geweest) bij Identity & Access Management implementaties. Deze exercitie heeft zich vertaald naar
een aantal verkorte case studies van Identity & Access Management implementatietrajecten.
1
Platform voor InformatieBeveiliging 2
Implementatietraject Identity & Access Management
nr. 815
De geïnterviewde experts vertegenwoordigen zeven organisaties waaronder accountantskantoren (Big Four), een overheidsinstelling, twee experts van IT-dienstverlenende organisaties en een organisatie waarbij de fysieke toegangsbeveiliging van groot belang is. Om een antwoord te krijgen op alle deelvragen, en uiteindelijk dus op de kernvraag, is er een implementatieraamwerk opgesteld aan de hand van de beschikbare theorie over Identity & Access Management om alle fasen van een implementatie met daarbij de voor de IT-auditor relevante deliverables van de projectorganisatie in beeld te krijgen. Door middel van het empirisch onderzoek wordt er getoetst of een Identity & Access Management implementatie in de praktijk ook daadwerkelijk wordt uitgevoerd zoals is opgesteld in het implementatieraamwerk, met de bijbehorende deliverables en de rol van de IT-auditor. Ten slotte worden er conclusies getrokken over Identity & implementatietrajecten en de aandachtsgebieden voor de IT-auditor in deze.
Access
Management
1.5 Leeswijzer De opbouw van deze scriptie is hieronder schematisch weergegeven: Theorie
Praktijk
H2. Identity & Access Management
H5. Aandachtsgebieden tijdens Identity & Access Management implementatie
H3. Het implementatietraject van Identity & Access Management
H4. De rol van de IT auditor
H6. Conclusie en persoonlijke reflectie
3
Implementatietraject Identity & Access Management
nr. 815
2. Identity & Access Management 2.1 Inleiding Identity & Access Management (I&AM), er zijn inmiddels legio artikelen geschreven over dit containerbegrip. In dit hoofdstuk zal geen uitputtende beschrijving worden gegeven van I&AM, maar een definitie van waaruit dit onderzoek zal starten en een uiteenzetting van de componenten van I&AM.
2.2 Wat is Identity & Access Management?
2.2.1 Definitie van Identity & Access Management
Zoals reeds beschreven in paragraaf 1.1, is I&AM een actueel onderwerp in verschillende vakliteratuur voor IT-specialisten, Information Security Officers en IT-auditors. Het is lastig om één betekenis te geven aan het containerbegrip I&AM. Er zijn een groot aantal definities van I&AM in omloop, waarvan hieronder enkele worden weergegeven: “A system of procedures, policies and technologies to manage the lifecycle and entitlements of electronic credentials” - Microsoft “Identity and Access Management is the process for managing the lifecycle of digital identities and access for people, systems and services.” - Computer Associates “Identity Management bestaat uit processen en alle onderliggende techniek voor het aanmaken, het beheer en gebruik van elektronische identiteitsgegevens” - [Jurg et al, P.;2007] Bij de definitie van P. Valkenburg en P. Jurg moet worden opgemerkt dat de auteurs van het boek Identity & Access Management onder de noemer ‘Identity Management’ samen nemen. Volgens de auteurs wordt het onderscheid tussen Identity Management en Identity & Access Management over het algemeen niet gemaakt, behalve door fabrikanten van oplossingen voor het beheer en de verspreiding van identiteitsgegevens (Identity Management) of oplossingen voor het gebruik van identiteitsgegevens voor toegangscontrole (Access Management). Voor deze scriptie wordt de volledige term Identity & Access Management gehanteerd om aan te geven dat Identity en Access als twee verschillende ‘lagen’ wordt beschouwd, namelijk die van het beheer van identiteiten en het toekennen van rollen en die van het beheer van het toekennen van autorisaties aan identiteiten. Voor deze scriptie wordt de definitie gehanteerd zoals deze door E. van der Hulst is beschreven in zijn scriptie voor de Post-Graduate IT-Audit opleiding aan de VU, te weten: 4
Implementatietraject Identity & Access Management
nr. 815
“Identity and Access Management betreft een stelsel van organisatie, processen en techniek gericht op het conform het beleid van de organisatie beheren van enerzijds digitale identiteiten en anderzijds de toegang van deze digitale identiteiten tot objecten op basis van autorisaties.” - “Enterprise Identity & Access Management” – E. van der Hulst De definitie van E. van der Hulst benoemt als enige (van de bovengenoemde definities) de organisatie en het beleid van de organisatie in het kader van I&AM. Het stelsel van organisatie, processen en de techniek is middels de volgende figuur weer te geven:
Figuur 1. Stelsel van Organisatie, Processen en Techniek en haar componenten. Bron: Scriptie Enterprise Identity & Access Management – E. van der Hulst.
In figuur 1 zijn ook de componenten weergegeven in relatie tot de drie disciplines, organisatie, processen en techniek. Deze scriptie zal geen uitputtende beschrijving geven van I&AM en haar componenten maar zal de scriptie ‘Enterprise Identity & Access Management’ van E. van der Hulst als vertrekpunt nemen.
5
Implementatietraject Identity & Access Management
nr. 815
2.2.2. I&AM-Componenten De componenten van I&AM die in figuur 1 zijn weergegeven, worden als volgt samengevat: Beleid Voor alle onderstaande processen dient er een helder beleid te zijn geformuleerd door de organisatie rondom I&AM. Wanneer er bij deze processen eenduidige kaders of beleid ontbreken, dan zullen deze processen naar alle waarschijnlijkheid niet of niet naar behoren worden uitgevoerd. [Blum, D.; 2004], [Gebel, G.; 2005]. Gebruikersbeheer Onder gebruikersbeheer verstaan we de activiteiten die gericht zijn op het beheren van de life cycle van een gebruiker. De life cycle van een gebruiker houdt in het: initieel vastleggen van de gebruikers, wijzigingen in de functie van de gebruiker en de uitdiensttreding van de gebruiker. [Hermans et al, J.; 2005] [Hulst, E. van der; 2007] Provisioning Provisioning is het doorgeven (handmatig of geautomatiseerd) van autorisaties binnen objecten op basis van het gebruikersbeheer. Gebruikersbeheer en provisioning zijn in figuur 1 aangeduid als één proces. [Hermans et al, J.; 2005] [Hulst, E. van der; 2007] Authenticatiebeheer Authenticatiebeheer is gericht op het identificeren van gebruikers. Hiermee wordt gedoeld op het beheer van authenticatiemiddelen zoals wachtwoorden, tokens, electronische passen etc. [Hermans et al, J.;2005] Autorisatiebeheer Onder autorisatiebeheer verstaan we het opstellen en onderhouden van het autorisatiemodel. Dit model wordt op basis van het organisatiebeleid opgesteld. [Hulst, E. van der;2007] Autorisatiebeheer kan op verschillende manieren plaatsvinden. Voorbeelden zijn autorisaties op basis van profielen, waarbij elke afdeling van een organisatie een profiel kent en waarbij aanvullende autorisaties op individuele basis worden toegekend. Een ander voorbeeld is het toekennen van autorisaties op basis van Role Based Access Control (RBAC). Permissies, ongeacht voor welke doelapplicatie of doelsysteem het betreft, worden hierbij aan gebruikers toegekend door middel van een rol met behulp van een RBACapplicatie. In deze RBAC-applicatie is vastgelegd via welke rollen een gebruiker heeft en welke permissies daarbij horen. De RBAC-applicatie wordt gevoed door een (bron)systeem met personeelsgegevens (bijvoorbeeld HR-systeem). [Bokhorst et al, B.; 2005] Het autorisatiemodel wordt gekozen op basis van eisen en wensen aan de mate van functiescheiding. Controle & Extraheren Controle & Extraheren wordt ook wel Monitoring & Audit genoemd. In dit proces zorgen de logging, auditing en rapportageactiviteiten ervoor dat de autorisaties zoals die zijn geïmplementeerd overeenkomen met het vooraf opgestelde beleid. Op basis van de constante vergelijking tussen de huidige (IST) situatie en de gewenste (SOLL) situatie kan worden vastgesteld of er zich conflicten 6
Implementatietraject Identity & Access Management
nr. 815
voordoen. Hierdoor kan bijvoorbeeld worden vastgesteld of functiescheidingen worden doorbroken door incorrecte autorisaties. [Jurg et al, P.;2007] In figuur 2 zijn de hiervoor beschreven componenten als volgt weergegeven:
Figuur 2. ‘Identity & Access Management in optima forma’ [Hermans, J.; 2006].
2.2.3 Business Drivers
Alvorens in te gaan op de implementatie van I&AM en de rol van de IT-auditor, worden er in deze paragraaf een aantal mogelijke business drivers in kaart gebracht. De business drivers spelen een rol in de werkzaamheden van de IT-auditor wanneer deze wordt betrokken bij een I&AMimplementatietraject. Kostenbeheersing op beheer en support Zoals in paragraaf 1.1 al werd aangehaald, kan het implementeren van een I&AM-oplossing bijdragen aan lagere kosten voor de IT-beheersorganisatie. Wanneer het terugbrengen van de operationele kosten de belangrijkste drijfveer is om I&AM te implementeren, dan zal de huidige situatie in kaart moeten worden gebracht om inzicht te verkrijgen in de huidige uitvoering van het proces en de daaraan gerelateerde kosten. Op deze wijze zal duidelijk worden waar en waarom de verbeteringen noodzakelijk zijn en waar (aspecten van) I&AM ingezet moeten worden. De lagere operationele IT-beheersingskosten door middel van de invoering van een I&AM-oplossing zijn toe te wijzen aan een hogere efficiency ten aanzien van het creëren en beheren van gebruikers accounts in een I&AM-omgeving, gereduceerde kosten ten aanzien van de helpdesk die vaak belast zijn met tijdrovende handelingen zoals het resetten van wachtwoorden en het administratief verwerken 7
Implementatietraject Identity & Access Management
nr. 815
van dergelijke verzoeken in een incidentenregister/applicatie en het sneller toegang kunnen verlenen in applicatie aan gebruikers zodat de (productie) processen niet worden verstoord of vertraagd door (lange) wachttijden. Het tijdig kunnen reageren op de informatiebehoefte van auditors is ook te kenmerken als kostenbesparing. Het is volgens de eerder genoemde P. Valkenburg en P. Jurg niet vanzelfsprekend dat de invoering van I&AM op korte termijn tot een kostenbesparing zal leiden. Volgens hen is kostenbeheersing een term die meer gericht is op de toekomst en betrekking heeft op het in de hand houden van kosten in de toekomst. Als voorbeeld wordt er een nieuw te ontwikkelen systeem aangehaald waarvoor geen eigen authenticatie- of autorisatievoorziening nodig is maar door de I&AM-infrastructuur wordt voorzien van de nodige gegevens. De besparing in FTE’s van medewerkers die in het verleden o.a. belast waren met het beheer van autorisaties wordt ook vaak genoemd als kostenbesparing. Hierbij moet opgemerkt worden dat dergelijke FTE’s vaak elders binnen de organisatie weer worden ingezet op een andere functie, mits daar ruimte voor is. (IT) Risk Management IT Risk Management wordt vaak aangehaald als business driver voor de implementatie van een I&AM-oplossing [Ham, D; ] [Witty, R;]. “The ability to prove the security of the enterprise’s access control infrastructure is an important requirement for maintaining customers, as well as obtaining them. In addition, easing the electronic data processing (EDP) audit process is of prime concern to many enterprises.” – Identity & Access Management Today, Roberta J. Witty - Gartner Bij deze business driver gaat het vooral om zekerheid geven aan toezichthouders, klanten en (interne & externe) auditors met betrekking tot IT-beveiliging. Is de logische toegangsbeveiliging van besturingssystemen, applicaties en databases op orde? Hoe vaak wordt in auditrapporten niet vermeld dat de gebruikersaccounts van ex-medewerkers nog voorkomen in autorisatietabellen, dat softwareontwikkelaars ook toegang hebben tot de productieomgeving of dat functiescheiding ongedaan wordt gemaakt door foutieve autorisaties in applicaties? Een I&AM-implementatie wordt gezien als de oplossing voor dergelijke bevindingen in auditrapporten. Compliance Organisaties die een verplichting hebben om te laten zien dat zij voldoen aan de gestelde wet- en regelgeving, denk bijvoorbeeld aan de Sarbanes-Oxley Act, Code Tabaksblatt of Basel II, kunnen gebaat zijn bij de implementatie van een I&AM oplossing. Een organisatie kan niet voldoen aan de Sarbanes-Oxley Act wetgeving zolang de logische toegangsbeveiliging niet adequaat wordt bevonden. [Hermans et al, J.; 2005] I&AM voorziet in de vraag naar een goede beheersing van identiteiten en van het toekennen van autorisaties. Compliance als business driver kan ook van belang zijn bij het proces van authenticatiebeheer. De Nederlandsche Bank (DNB) stelt bijvoorbeeld eisen aan het authenticatiemiddel wanneer er sprake is van bankieren of sparen via internet. DNB stelt dat er dan sprake moet zijn van two way factor authentication, waarbij de eindgebruiker ‘bezit’ en ‘kennis’ moet hebben, wat zich in dit geval vrij vertaalt in een paslezer en een pincode.
8
Implementatietraject Identity & Access Management
nr. 815
Tevens bieden de mogelijkheden op het gebied van auditing en logging met I&AM te voldoen aan de eisen van periodieke beoordelingen van toegekende autorisaties. Zodoende kan beoordeeld worden of de toegekende autorisaties in lijn zijn met het gestelde beleid, dat zich bijvoorbeeld heeft vertaald in rolgebaseerde toegang (RBAC). Kwaliteit Organisaties met een dienstverlenend karakter, kunnen gebaat zijn met een I&AM-implementatie, om zodoende te demonstreren dat ze beschikken over een hoge mate van kwaliteit ten aanzien van het proces van autoriseren en autenthiceren. Serviceorganisaties bijvoorbeeld, kunnen door middel van een SAS70(Statement on Auditing Standards)-verklaring aan hun klanten laten zien dat de interne beheersing en de processen daaromheen op orde zijn en dat men ‘in control’ is. De SAS70-rapportage behelst een beschrijving van het management van de organisatie over de beheersing van (ICT) processen en risico’s binnen hun serviceorganisatie. Wanneer de processen omtrent het toekennen, intrekken en wijzigen van autorisaties aan en van gebruikers door middel van I&AM op een beheerste wijze zijn ingericht en worden uitgevoerd, dan wordt dit middels een SAS70-verklaring aan de buitenwereld (klanten of mogelijke klanten) gepresenteerd. Tevens wordt er in SAS70-verklaringen nadruk gelegd op functiescheiding en de procesinrichting hieromtrent. Organisaties proberen daarom met behulp van de invoering van I&AM zoveel mogelijk functiescheiding automatisch af te dwingen. [Marsman, H;2007] Privacy Bij privacy als driver voor I&AM valt zowel te denken aan privacygevoelige gegevens van organisaties als de Wet Bescherming Persoonsgegevens (WBP). In het geval van privacygevoelige gegevens van de organisatie betreft de kans dat er gevoelige informatie op straat komt te liggen doordat er op een slordige wijze met gebruikersnamen en wachtwoorden wordt omgegaan door gebruikers en beheerders als gevolg van de vele applicaties en systemen waarvoor weer een andere gebruikersnaam en wachtwoord wordt vereist.[Jurg et al, P; 2004] Sinds 2001 moet de WBP zorgen voor een zorgvuldige omgang met persoonsgegevens binnen een organisatie. Persoonsgegevens mogen alleen worden verzameld en verwerkt wanneer daar een goede reden voor is of wanneer de betrokken individu daar uitdrukkelijk toestemming voor heeft gegeven. Er worden eisen en beperkingen gesteld aan de hoeveelheid gegevens die worden verzameld (gekoppeld aan het doel) en aan de bewaartermijn van de gegevens. Organisaties worden verplicht gesteld om passende technische- en organisatorische maatregelen te treffen om de privacy van personen te beschermen.[Sauerwein, L; 2002] Implementatie van I&AM voorkomt niet automatisch misbruik van persoonsgegevens, maar is wel een moment om in kaart te brengen welke gegevens noodzakelijk zijn (en waarvan het verzamelen en verwerken dus een doel heeft) en op welke plek(ken) deze moet(en) worden opgeslagen en verwerkt. Privacy kan ook worden gerelateerd aan ‘kwaliteit’ als business driver.
9
Implementatietraject Identity & Access Management
nr. 815
3. Het implementatietraject van Identity & Access Management 3.1 Inleiding In dit derde hoofdstuk wordt het I&AM-implementatietraject beschreven. De projectorganisatie, de I&AM-business case en de fasering van de I&AM-implementatie zijn hier uitgewerkt. Aan de hand van de fasering en de daarbij behorende deelproducten wordt de praktijksituatie getoetst in hoofdstuk 5 door middel van een case study en interviews. Met de uitwerking van dit hoofdstuk wil de auteur deelvraag 1 ‘Hoe ziet een stappenplan eruit met betrekking tot de implementatie van Identity & Access Management en welke deelproducten horen bij deze stappen?’van de scriptie beantwoorden. In de vraagstelling wordt er gesproken van een stappenplan, hiermee doelen we op de implementatiefasering zoals in dit hoofdstuk zal worden beschreven.
3.2 Business Case Om draagvlak te creëren bij het management (en de organisatie) voor het uitvoeren van een I&AMimplementatie, is het gebruikelijk om een business case op te stellen. De business case voor een I&AM-oplossing beschrijft ten minste de aanleiding voor het project. De business drivers kostenbeheersing, risk management, compliance, kwaliteit en privacy zoals deze in paragraaf 2.2.3 zijn weergegeven kunnen worden beschouwd als de aanleiding voor I&AM. De organisatie zal zich op basis van de aanleiding eerst moeten verdiepen in de problematiek rondom de huidige situatie en welke I&AM-oplossingen er voor handen zijn. Op basis hiervan zal de organisatie een implementatiestrategie (op hoofdlijnen) in kaart moeten brengen. Een dergelijk document wordt ook wel aangeduid als ‘roadmap’. In de business case zijn de doelstellingen, reikwijdte en afhankelijkheden van het project vastgelegd. De doelstelling zal onder andere beschrijven aan welke business driver(s) zal worden voldaan met de invoer van een I&AM-oplossing. Systemen en processen die betrokken zullen worden bij de I&AMoplossingen worden in de reikwijdte van het project aangegeven. Om zo volledig mogelijk te zijn, worden ook de systemen en processen die ‘out of scope’ zijn vermeld. Wanneer de invoer van I&AM bijvoorbeeld afhankelijk is van de invoer van een nieuw HR-systeem dat als bronsysteem moet gaan dienen, dan dient dit in de business case te worden vastgelegd. In de business case worden ook de kosten/baten van de invoer van I&AM gedocumenteerd. Hermans en Ter Hart [Hermans et al, J; 2005] geven aan dat alvorens er met een kosten/baten-analyse kan worden gestart, de volgende aspecten reeds bekend moeten zijn: -
een op hoofdlijnen beschreven toekomstige I&AM-oplossing;
-
de reikwijdte van het project ten aanzien van de I&AM-doelsystemen en het aantal te beheren gebruikersaccounts;
-
welke voorgenoemde (paragraaf 2.2.2) componenten deel uitmaken van de I&AMimplementatie; 10
Implementatietraject Identity & Access Management
-
nr. 815
een op hoofdlijnen beschreven I&AM-implementatiestrategie.
De business case zal tevens beschrijven welke tijdslijnen er met het project gemoeid zijn. Per fase of per deelproduct in een fase kan een geplande einddatum worden aangegeven. Tevens zal de projectorganisatie worden weergegeven in de business case, tezamen met de rollen en verantwoordelijkheden voor het I&AM-project.
3.3 Implementatiefasering Om de implementatie van I&AM op een beheersbare manier uit te voeren, zijn er tal van mogelijkheden voor wat betreft de aanpak van het project. Voor deze scriptie zijn dit de projectfasen zoals die door Wijnen zijn gedefinieerd in ‘Projectmatig werken’ [Wijnen et al, G; 1990]. Het betreft hier de initiatief-, definitie-, ontwerp-, voorbereidings-, realisatie- en nazorgfase. Een I&AMimplementatietraject bestaat zowel uit onderzoeksactiviteiten als activiteiten van technische aard. In paragraaf 3.3.4 wordt deze fasering nader toegelicht voor I&AM. Een andere faserings methodiek is SDM (System Development Methodology), deze lijkt qua faseringen (informatieplanning, definitiestudie, basisontwerp, detailontwerp, realisatie, invoering, gebruik en beheer) sterk op die van Wijnen, maar is toegespitst op systeemontwikkeling. De (eigen) ontwikkeling van software hoeft niet per se deel uit te maken van een I&AM-implementatie. Een andere projectbeheersingsmethodiek welke toegepast zou kunnen worden is Prince II (Projects in Controlled Environments) of een afgeleide daarvan. Prince II zegt echter niets over de te hanteren projectfaseringen, maar over de beheersing van het project en de rolverdeling van betrokkenen. Binnen een Prince II gestuurd project is het dan ook goed mogelijk om bijvoorbeeld een soortgelijke fasering aan te brengen ten aanzien van I&AM op basis van de voorgenoemde methode van Wijnen. De fasering van Wijnen positioneert zich op een wat abstracter niveau. Voor het opstellen van een implementatiemodel voor deze scriptie biedt de fasering van Wijnen echter voldoende handvatten om de deelproducten van een I&AM-implementatietraject te identificeren. Uit interviews met experts op het gebied van I&AM-implementaties (meer hierover in paragraaf 5.3) is gebleken dat de fasering plaatsvindt op basis van best practices. Er is vooralsnog geen vast I&AMimplementatie stramien in de literatuur te vinden. Een organisatie kan ervoor kiezen om de fasering van een I&AM-implementatie per aspect of doelsysteem uit te voeren óf om I&AM in zijn totaliteit te implementeren voor alle doelsystemen die in scope zijn van het project. Er kan bijvoorbeeld voor gekozen worden om eerst I&AM te implementeren voor Active Directory Services, waarbij het dan in de eerste instantie gaat om de netwerkaanmelding voor gebruikers en de toegang tot netwerkshares, groepen en ‘tot’ applicaties. De autorisaties binnen de applicaties zijn dan nog geen onderdeel van I&AM, maar de netwerkgebruiker is dan al wel geautoriseerd om de applicatie te benaderen. Wanneer de applicatie over een eigen gebruikersnaam en wachtwoord en autorisatiestructuur beschikt, zal dit nog steeds op een separate wijze moeten worden beheerd. De auteur van deze scriptie verwacht dat een I&AM-implementatie die in zijn totaliteit wordt uitgevoerd te risicovol is (afhankelijk van de grootte van de organisatie) omdat het diep ingrijpt op alle applicaties. Voor de scriptie is de onderstaande fasering gebaseerd op de projectmethodiek zoals eerder beschreven in deze paragraaf. De fasering van een I&AM-implementatie kan er als volgt uitzien:
11
Implementatietraject Identity & Access Management
nr. 815
Figuur 3. Fasering van een I&AM-implementatietraject
De benaming van elke fase kan in de praktijk nog wel eens verschillen, maar het gaat hier met name om de deelproducten met betrekking tot I&AM per fase. Specifieke documenten (zoals bijvoorbeeld het Project Initiation Document (PID) binnen de Prince II projectbeheersingsmethodiek) die voortkomen uit de gehanteerde projectbeheersingsmethodiek laten we hierbij achterwege aangezien deze van ondergeschikt belang zijn ten aanzien van de vraagstelling van deze scriptie. In de volgende paragraaf worden de deelproducten die van belang zijn voor de IT-auditor tijdens een implementatieproject per fase aangegeven. De rol van de IT-auditor gedurende een I&AMimplementatie wordt in hoofdstuk 4 beschreven.
3.4 Deelproducten van een Identity & Access Management implementatie Onderstaand schema geeft aan welke deelproducten er per fase opgeleverd kunnen worden tijdens een I&AM-implementatietraject.
Deliverables per faseDeliv erables per fase Projectplan
Visiedocument Procesbeschrijving Planning Architectuur model Functioneel ontwerp
Systeem specificaties Technisch Ontwerp Ontwikkeling/ Pakketselectie Procedures Productie Testen Service
Figuur 4. Deelproducten per fase
12
Implementatietraject Identity & Access Management
nr. 815
Omdat de naamgeving van de deelproducten zoals weergegeven in figuur 4 generiek is voor de uitvoering van projecten, volgt hieronder een beschrijving van elk van de deelproducten hoe zich deze verhouden tot een I&AM-implementatietraject. Initiatieffase: - Projectplan In het projectplan voor een I&AM-implementatietraject wordt het eigenaarschap en de projectorganisatie beschreven. Een projectplan voor I&AM zou tevens moeten beschrijven wat de aanleiding is geweest om over te gaan tot een I&AM-oplossing (business drivers), welke I&AMdeliverables er opgeleverd zullen worden en welk doel of welke projectdoelen gehaald zullen worden. In feite wordt in dit document de opgestelde business case (zie paragraaf 3.2) verwerkt en gepresenteerd aan een breder publiek. Tevens geeft dit document een indicatie van de kosten die met de implementatie gemoeid zijn en welke de verdere kosten en opbrengsten I&AM met zich meebrengt. De projectplanning geeft per fase aan wat de geplande start en einddata zijn. De projectrisico’s die zijn onderkend dient men ook terug te vinden in het projectplan. Dit projectplan dient goedkeuring te krijgen van het management van de organisatie. Afhankelijk van het totaalbudget kan deze goedkeuring door verschillende gremia worden afgegeven. Definitiefase: - Visiedocument In deze fase mag men een document verwachten waarin de projectorganisatie hun visie beschrijft ten aanzien van de I&AM-oplossing. Na de initiatieffase heeft de projectgroep hun visie op I&AM meer gestalte kunnen geven, onder meer door middel van het opstellen van enkele guiding principles. Deze beschrijven de mate waarin er moet worden voldaan aan bepaalde eisen (bijvoorbeeld WBP). Het zijn de uitgangspunten van het I&AM implementatietraject. - Procesbeschrijvingen De processen die wijzigen door de implementatie van I&AM dienen in kaart te worden gebracht en per proces dient er een verantwoordelijke te worden aangewezen. Het betreft hier processen voor het toekennen van autorisaties aan indiensttreders, uitdiensttreders, medewerkers die intern wisselen van functie, wijzigingen in autorisaties, monitoring van autorisaties etc. Een eindverantwoordelijke voor alle procesbeschrijvingen is, afhankelijk van de grootte van een organisatie, wenselijk. Daarnaast dienen verantwoordelijkheden te worden toegekend aan de betrokken functionarissen (bijvoorbeeld proces-, systeem- en objecteigenaren, information security officer(s), internal auditor(s) etc.). - Planning In de definitiefase dient er een planning te worden opgeleverd, gebaseerd op de globale(re) planning uit het goedgekeurde projectplan. Een dergelijke planning omvat de hier aangegeven fasering met daarin per deelproduct een overzicht van alle bijbehorende activiteiten en resources. In deze planning wordt naast het tijdsbudget ook de gespendeerde tijd per activiteit bijgehouden. Ook kan er per verantwoordelijk team of individu een planning worden gehandhaafd voor de I&AM-implementatie. 13
Implementatietraject Identity & Access Management
nr. 815
Ontwerpfase: - Architectuurmodel In deze fase zal de organisatie een architectuurmodel opstellen. Deze omvat de beschrijving en analyse van de huidige architectuur en die van de nieuwe architectuur waarbij de I&AM-oplossing geïmplementeerd zal zijn. Hierbij valt te denken aan de interfaces tussen de bronsystemen van personeelsgegevens (bijv. HR-applicatie) en de I&AM-applicatie en de interfaces tussen de I&AMapplicatie en de doelsystemen (bijv. Active Directory Services). Alle betrokken processen (zoals beschreven in paragraaf 2.2.2) worden geclusterd tot een samenhangend geheel. - Functioneel ontwerp Het functioneel ontwerp behelst de functionele eisen ten aanzien van het autorisatie-, gebruikers- en authenticatiebeheer, het provisioningsproces en monitoring en auditing. In dit ontwerp worden de bronsystemen aangeduid voor de I&AM-oplossing, welke functionele specificaties zijn geïdentificeerd op basis van de procesbeschrijvingen/interviews met betrokkenen en/of systeemeigenaren en welke attributen onderkend worden per functionele specificatie. In het functioneel ontwerp wordt ook het autorisatiemodel gestalte gegeven. Wanneer een organisatie kiest voor een off-the-shelf oplossing in plaats van eigen ontwikkeling, dient het functioneel ontwerp als input voor een Request for Information aan leveranciers.
Voorbereidingsfase: - Systeemspecificaties In dit document zijn de systeemeisen waaraan de I&AM-applicatie moet voldoen om te integreren in de bestaande infrastructuur van de organisatie vastgelegd. Deze informatie is zowel van belang voor het traject van een pakketselectie als voor het zelf ontwikkelen van een I&AM-applicatie. - Technisch ontwerp In deze fase dient het helder te zijn of de I&AM-applicatie (als onderdeel van de I&AMtotaaloplossing) maatwerk betreft of een off-the-shelf oplossing en moet als zodanig verwerkt zijn in het technisch ontwerp. In het technisch ontwerp is vastgelegd hoe de functionaliteit zoals beschreven in het functioneel ontwerp zal worden gerealiseerd. Het technisch ontwerp beschrijft o.a. de systeemprocedures, specificaties van de interfaces en de gegevensstromen met betrekking tot gebruikers, groepen, rollen etc., opslagstructuur van gegevens. - Ontwikkelen / Pakketselectie In deze fase wordt de I&AM-oplossing ook daadwerkelijk gebouwd of vindt de pakketselectie plaats. Van belang zijn hierbij het opgestelde functioneel- en technischontwerp. - Procedures In de voorbereidingsfase worden de procedures opgesteld. Deze procedures beschrijven het gebruik van de nieuwe I&AM-oplossing. Waar mogelijk en van toepassing in dit stadium van de implementatie, worden er ook procedures opgesteld ten aanzien van het gebruik van de afzonderlijke 14
Implementatietraject Identity & Access Management
nr. 815
applicaties die betroken zijn bij de I&AM-oplossing. De werking en het gebruik van de interfaces tussen applicaties worden ook in deze procedures beschreven. Communicatielijnen tussen lijnmanagers, IT en HR (ervan uitgaande dat deze zorgt voor brongegevens, kunnen ook elders hun oorsprong vinden in het geval van externe medewerkers of bijvoorbeeld third parties). Voor het einde van het implementatieproject zullen de procedures geformaliseerd moeten worden. Realisatiefase: - Testen Het testen van de I&AM-oplossing geschied aan de hand van de opgestelde functionele specificaties. Deze functionele specificaties beschrijven het gebruik van de autorisatiemanagement, gebruikersbeheer, authenticatiemanagement, provisioning en auditing en monitoring processen. Bij het proces gebruikersbeheer bijvoorbeeld, kunnen de volgende scenario’s getest worden aan de hand van de functionele specificaties: - indiensttreding medewerker; - indiensttreding externe medewerker; - transfer van een medewerker naar een andere afdeling/functie; - uitdiensttreden van een medewerker; - onverwachte uitdiensttreding van een medewerker. In de testdocumentatie zal per scenario een aantal testactiviteiten plaatsvinden waarvan de verwachte uitkomst is vastgelegd. In een separaat document worden de testresultaten gedocumenteerd en wordt de vergelijking gemaakt tussen de verwachte en gerealiseerde uitkomsten van het testwerk. Functionaliteit van de I&AM-applicatie(s) en/of interfaces kunnen op basis van de uitkomsten van het testwerk worden bijgesteld. Deze exercitie wordt ook uitgevoerd voor de overige processen van I&AM. Voor het testen van de I&AM-oplossing dient gebruik gemaakt te worden van een separate test/acceptatieomgeving. - Productie Zoals in paragraaf 3.3 aangegeven, kan een organisatie ervoor kiezen om de implementatie van een I&AM oplossing per doelsysteem uit te voeren. Het in productie nemen van een I&AM-oplossing behoort na een gedegen acceptatietest via een change management proces te verlopen. Op zich zou het in productie nemen van een I&AM-oplossing niet als deelproduct gezien hoeven te worden, maar er zijn een aantal aspecten die van belang zijn voor het slagen van een dergelijk traject, namelijk het opstellen (en finaliseren) van een beleid ten aanzien van I&AM. Dit beleid dient te worden uitgedragen door het management van de organisatie. Dit beleid dient ook het eigenaarschap te beleggen van I&AM en alle bijbehorende processen. Tevens dient het eigenaarschap van de betrokken applicaties belegd te worden binnen de organisatie, voor zover dit nog niet gebeurd is. Nazorgfase: - Service In de nazorgfase worden de procedures en handleidingen gefinaliseerd en opgeleverd. Gebruikerstraining kan ook beschouwd worden als een service in deze fase. Tevens dient er 15
Implementatietraject Identity & Access Management
nr. 815
gecontroleerd te worden of alle opmerkingen naar aanleiding van de (acceptatie)test verwerkt en eventuele afwijkingen gecorrigeerd zijn.
3.6 Samenvatting In dit hoofdstuk is de deelvraag ‘Hoe ziet een stappenplan eruit met betrekking tot de implementatie van Identity & Access Management en welke deelproducten horen bij deze stappen?’ vanuit de theorie beantwoord. Vanuit de beschikbare literatuur is een generiek implementatiemodel geschetst met de daarbij behorende deelproducten ten behoeve van een I&AM-oplossing. Of het in de praktijk ook daadwerkelijk op een dergelijke manier wordt uitgevoerd, is door middel van een case study onderzocht en zijn er interviews gehouden met experts op het gebied van I&AM.
16
Implementatietraject Identity & Access Management
nr. 815
4. De rol van de IT-auditor 4.1 Inleiding Alvorens een antwoord kan worden gegeven op de vraag ‘Wat zijn, vanuit een IT-audit perspectief, de aandachtsgebieden bij de totstandkoming van elk van deze deelproducten?’dient de rol van de ITauditor te worden belicht. In dit hoofdstuk wordt ingegaan op de wijze waarop de IT-auditor zijn rol kan vervullen tijdens het implementeren van een I&AM-oplossing.
4.2 De rol van de IT-auditor De IT-auditor kan gedurende I&AM-implementatietrajecten optreden vanuit zijn adviserende functie alsmede vanuit zijn attestfunctie. Wanneer een IT-auditor optreedt vanuit de attestfunctie, dan geeft deze een onafhankelijk- en onpartijdig oordeel over de mate waaraan het auditobject voldoet aan de vooraf afgesproken kwaliteitsaspecten. De IT-auditor moet tussen deze twee varianten een keuze maken omdat er anders collisiegevaar kan ontstaan waarbij de IT-auditor mogelijk zijn eigen werk controleert. Om collisiegevaar te voorkomen is het van belang om functiescheiding te waarborgen tussen de rol van adviseur en controleur (attest). [Praat et al, J van; 2004] Naast het onderscheid tussen de advies- en attestfunctie, onderkennen we ook de verschillende rollen tijdens implementatietrajecten. IT-auditors kunnen zich richten op de betrouwbaarheid en effectiviteit van het project zelf, maar ook inhoudelijk naar de projectdeliverables zelf. Hoofdstuk 5 van deze scriptie beschrijft de betrokkenheid van de IT-auditor tijdens I&AM-implementaties in de praktijk. Hieronder wordt beschreven welke twee rollen de IT-auditor kan aannemen tijdens de implementatie van een I&AM-oplossing. 4.2.1 Projectaudit In de literatuur [Praat et al, J van; 2004] wordt aangegeven dat bij het uitvoeren van een projectaudit in de controlerende functie, de activiteiten van de IT-auditor voornamelijk zullen bestaan uit het beoordelen van de structuur van de projectorganisatie, de aanwezigheid en de participatie van het management van de organisatie, beoordelen van controle- en testwerkzaamheden van de gebruikersorganisatie en het verlenen van decharge door de gebruikersorganisatie. De werkzaamheden van de IT-auditor bij een projectaudit voor een I&AM-implementatie zullen zich daardoor niet veel onderscheiden ten opzichte van bijvoorbeeld de implementatie van een ERP-oplossing. 4.2.2 Projectdeliverables Een IT-auditor kan zich ook richten op de deelproducten (projectdeliverables) tijdens de implementatie van een I&AM-oplossing. Dit kan zowel vanuit de advies- als de attestfunctie. Bij deze laatste zullen deelproducten van de I&AM-implementatie worden getoetst aan vooraf afgesproken kwaliteitsaspecten. Volgens de Gedrags- en Beroepsregels Register EDP-auditors (GBRE) dient de Register EDP-auditor voor het aanvaarden van een opdracht te beschikken over relevante 17
Implementatietraject Identity & Access Management
nr. 815
deskundigheid en dat hij rekening houdt met de grenzen van zijn deskundigheid. De IT-auditor (RE) is tevens verplicht om zich aan de eisen ten aanzien van de verplichte permanente educatie te houden die door de NOREA zijn vastgelegd en worden bewaakt [NOREA;1997]. Een afgestudeerde IT-auditor is voldoende deskundig om een audit uit te voeren op deelproducten van een I&AM implementatie. Elke IT-auditor met een Post-Graduate IT-audit opleiding dient, onafhankelijk van zijn rol, onder andere competent te zijn op het gebied van beveiliging. Onderdeel van dit aspect is logische toegangsbeveiliging. IT-auditors besteden gedurende hun werkzaamheden doorgaans veel aandacht aan de beoordeling van logische toegangsbeveiliging en naar de functiescheiding die daarin aangebracht moet zijn. Logische toegangsbeveiliging is één van de belangrijkste bouwstenen van de interne beheersmaatregelen. Tijdens de twee jaar durende Post-Graduate opleiding die de auteur heeft gevolgd zijn verschillende aspecten van informatiebeveiliging aan bod gekomen. Zo is de Code of Practice of Information Security uitgebreid geïntroduceerd en is hier vaak naar gerefereerd vanuit collegemateriaal of casussen. De beveiligingsaspecten binnen applicaties, besturingssystemen, netwerken en middleware zijn tijdens de Post-Graduate IT-audit opleiding zeer frequent behandeld. Zo is er gedurende de opleiding veel aandacht besteed aan logische toegangsbeveiliging en aan welke eisen de implementatie van logische toegangsbeveiliging zou moeten voldoen. De eisen aan logische toegangsbeveiliging hebben betrekking op identificatie, authenticatie, autorisatie en rapportering. Deze aspecten, tezamen met de hierboven beschreven collegeonderwerpen vindt men ook terug in I&AM. Het kennisniveau van een afgestudeerde (RE) IT-auditor zou daarom voldoende know-how moeten bieden om de in paragraaf 3.4 genoemde deelproducten inhoudelijk te beoordelen. Vanuit deze gedachte is er volgens de auteur van deze scriptie een rol voor de IT-auditor weggelegd tijdens de implementatie van I&AM ten aanzien van de deelproducten.
4.3 Samenvatting In dit hoofdstuk zijn de rollen beschreven die een IT-auditor aan kan nemen tijdens I&AMimplementatieprojecten. Wanneer een IT-auditor vanuit zijn attestfunctie een oordeel moet geven over een deelproduct van een I&AM-implementatie, moet deze over voldoende deskundigheid beschikken. Volgens de auteur van deze scriptie heeft de Post-Graduate IT-audit opleiding voldoende bijgedragen aan de deskundigheid van een IT-auditor (RE) om een dergelijke opdracht te kunnen aanvaarden, waardoor er voldaan kan worden de eisen vanuit het GBRE. In het volgende hoofdstuk zal duidelijk worden welke rol de IT-auditor in de praktijk heeft tijdens de implementatie van I&AM-oplossingen.
18
Implementatietraject Identity & Access Management
nr. 815
5. Aandachtsgebieden tijdens Identity & Access Management implementatie 5.1 Inleiding In dit hoofdstuk worden de resultaten beschreven van de case study en de expertinterviews. De case study betreft de implementatie van een I&AM-oplossing bij de organisatie van de auteur. De expertinterviews zijn gehouden met verschillende personen die betrokken zijn bij implementaties van I&AM, vanuit hun rol als auditor, consultant of projectleider. Aan de hand van deze ervaringen uit de praktijk zullen de deelvragen ‘Wat zijn, vanuit een IT-audit perspectief, de aandachtsgebieden bij de totstandkoming van elk van deze deelproducten? ‘ en ‘Wat zijn de ervaringen van betrokken ITauditors bij Identity & Access Management implementatietrajecten? ‘ beantwoord worden.
5.2 Resultaten Case Study 5.2.1 Aanleiding
De organisatie (financiële instelling) van de auteur van deze scriptie heeft medio 2007 een voorstel gedaan om I&AM te implementeren om zowel de operationele risico’s te mitigeren als het oplossen van de auditbevindingen. Voorafgaand aan dit voorstel is er een quickscan uitgevoerd door een externe partij om te onderzoeken of I&AM een oplossing is voor een aantal geïdentificeerde bevindingen en problemen. Deze bevindingen zijn in eerdere stadia gerapporteerd aan het (IT-)management door zowel de IT-auditors van de externe accountant als van de internal audit afdeling. De externe partij heeft naast het inventariseren van de operationele risico’s als opdracht meegekregen om een heldere visie en strategie op te leveren voor de implementatie van I&AM binnen de organisatie. Daarnaast is hen gevraagd een plan van aanpak op te leveren voor het gefaseerd implementeren van I&AM-aspecten, zoals de onderdelen userprovisioning (als onderdeel van het gebruikersbeheer) en de invoering van RBAC (autorisatiebeheer). De conclusie van de uitgevoerde quickscan was dat: -
de huidige directory (Active Directory Services) onbeheersbaar is gebleken door de wildgroei aan groepen en het ontbreken aan een duidelijke governance structuur;
-
autorisaties in databases onvoldoende worden beheerst;
19
Implementatietraject Identity & Access Management
-
nr. 815
de informatievoorziening richting Information Managers2 onvoldoende is omdat het ontbreekt aan een duidelijke governance structuur.
Op basis van een breakdown van processen - gerelateerd aan het beheer van gebruikersrechten binnen de organisatie - heeft de externe partij een voorstel gedaan voor een I&AM-typologie. Er is gekozen voor een centrale I&AM-omgevingstypologie. Deze typologie biedt de mogelijkheid om op centraal niveau het beheer van autorisaties te laten plaatsvinden, ondersteuning biedt aan de veelzijdige applicatie infrastructuur binnen de organisatie en op centraal niveau logging en monitoring activiteiten uit te voeren. In de figuur hieronder wordt de typologie weergegeven zoals die is voorgesteld door de externe partij. De externe partij doet in deze fase eveneens een voorstel voor een I&AM-applicatie, namelijk Microsoft Identity Lifecycle Manager (ILM). Deze zorgt voor de koppeling tussen HRsysteem, Microsoft Active Directory Services.
Figuur 5. Centrale I&AM typologie.
Op basis van het onderzoek zijn de volgende doelstellingen gedefinieerd voor de implementatie van I&AM: a) Het opleveren van een I&AM-proces met de volgende kenmerken: -
topdown governance structuur;
-
centrale administratie en delegatie naar lokale applicatiebeheerders;
-
Web-enabled beheer waardoor directe provisioning mogelijk wordt.
b) Opleveren van een I&AM-applicatie voor het autorisatiebeheer door IT en de provisioning naar Active Directory Services op basis van informatie uit de HR-applicatie. Er is door de externe partij in overleg met de organisatie een I&AM-programma opgesteld, waarbij bovenstaande doelstellingen zullen worden bewerkstelligd over een periode van 3 jaar verdeeld over 3
2
Information Managers zijn de aanspreekpunten vanuit de business voor het beheer van applicaties binnen de verschillende Business Units. BU’s die gebruik maken van specifieke applicaties ter ondersteuning van hun werkzaamheden hebben een eigen Information Manager. 20
Implementatietraject Identity & Access Management
nr. 815
fases. De eerste fase, te realiseren in 2007 is bedoeld om de huidige risico’s te mitigeren zoals deze door de auditors zijn gerapporteerd. De doelstelling van de eerste fase is om: a) een autorisatiebeheer en provisioning software oplossing te implementeren; b) om een procedure te implementeren die ervoor zorgt dat de Functioneel Applicatiebeheerders geïnformeerd worden over personele wijzigingen zodat er voor elke ‘key-applicatie’ binnen de organisatie een autorisatiematrix opgesteld en beheerd kan worden.
HR System
1a. User joins organisation
2. User record Created or updated in HR system
IAM Synchronisation tool 3. Accounts created, Updated or deleted in target systems
1b. Use rchanges department 1c. User leaves organisation
Windows env.
AD – Active Directory
AD Appl. access AD DB access
Figuur 6. Fase 1 van het I&AM-programma.
5.2.2 Projectaanpak De organisatie heeft naar aanleiding van het advies van de externe partij een projectvoorstel opgesteld, inclusief een businesscase. In het projectvoorstel is vastgelegd wie het project hebben goedgekeurd, welke fasering ze hanteren, de tijdslijnen van het project inclusief de op te leveren producten per fase, de resourceplanning en de projectorganisatie met daarbij de taken en verantwoordelijkheden per projectlid. De projectorganisatie is ingericht volgens de Prince II methodiek. De projectorganisatie bestaat uit leden van verschillende onderdelen van de organisatie. De projecteigenaar is de Information Security Officer van de organisatie, de stuurgroep bestaat uit medewerkers van de afdeling IT, HR en een lid van de Information Manager’s Commitee. De projectmanager is een medewerker van de afdeling ‘Project Delivery’ en vervolgens zijn er een Project Team en een ‘Bedrijfs’ Team met medewerkers uit verschillende bedrijfsonderdelen van de organisatie. In die laatste categorie zitten voornamelijk vertegenwoordigers uit de IT-organisatie. De bedrijfsonderdelen worden vertegenwoordigd door de Information Managers van dat specifieke bedrijfsonderdeel. Het Project Team wordt vertegenwoordigd door de externe partij die de quickscan heeft uitgevoerd en treedt nu op als ontwikkelaar, tester en I&AM expert (advies). Internal Audit is niet betrokken bij de projectorganisatie. Het projectvoorstel is, zoals alle projectvoorstellen van de organisatie, naar een Senior IT-auditor van de afdeling Internal Audit gestuurd ter kennisgeving. Wat opvalt aan de projectorganisatie, is dat er weinig medewerkers vanuit de bedrijfsonderdelen zijn betrokken. De strategie, planning en uitvoer is voornamelijk opgezet door IT-medewerkers. Wat ook opvalt, is dat er in het voortraject (de uitvoer van de quickscan en het opstellen van het projectvoorstel) al een keuze vaststaat voor de I&AM-applicatie(s). Op advies van de externe partij is 21
Implementatietraject Identity & Access Management
nr. 815
er gekozen voor de ILM-applicatie. De projectorganisatie heeft hiermee ingestemd vanwege de tijdspanne in relatie met het verlopen van de deadline voor de auditpunten. ILM was prijstechnisch aanvaardbaar en relatief eenvoudig om in een latere fase uit te bereiden met RBAC-functionaliteit. Hierdoor heeft het I&AM-project IT als drijfveer en wordt het niet organisatiebreed gedragen. Dit zullen we ook terug zien bij de deelproducten in de volgende paragraaf. 5.2.3 Deelproducten De projectfasen initiatie-, analyse-, ontwikkel-, test-, implementatie- en nazorgfase kennen per fase één of meerdere deelproducten. Op het geaccordeerde projectplan (initiatiefase) en het Functioneel Ontwerp (analysefase) na, zijn alle deelproducten van technische aard. De deelproducten van het I&AM-implementatietraject zijn alsvolgt: Fase
Deelproduct
Initiatie
- Projectplan (met formeel akkoord)
Analyse
- Functioneel Ontwerp, inclusief Use Cases, Autorisatiemodel; - ILM aanschaf; - Overzicht met benodigde hardware voor de O(T)AP-omgeving; - Acces model, inclusief overzichten van alle profielen, groepen en gebruikers;
Ontwikkel
- Technisch Ontwerp, inclusief ontwerp voor rapportagetooling; - Installatie van de hard- en software in de O(T)AP-omgeving; - Ontwikkeling van de koppelingen tussen systemen; - Ontwikkeling van de rapportagetool; - Ontwikkeling installatiescript; - Opstellen gebruiksprocedures;
Test
- Acceptatietest;
Implementatie - In productie nemen van ILM en rapportagetooling; - Training van beheerders; Nazorg
- Monitoren en oplossen van incidenten;
Uitgaande van de theorie in hoofdstukken 2 en 3, zijn er een aantal punten die opvallen bij dit project. Het beleid vanuit de organisatie rondom I&AM is niet belegd of gedocumenteerd. In paragraaf 3.4 is dit beschreven als ‘visiedocument’. Tevens ontbreekt de analyse op de geïdentificeerde profielen met betrekking tot functiescheiding en waar deze mogelijk wordt doorbroken. Wat ook opvalt, is dat de projectorganisatie er vanuit gaat, dat de brongegevens in de HR-applicatie juist en volledig zijn. In de gebruikersprocedures is het beheer van de I&AM-applicatie en de reportingtool gedocumenteerd, maar het eigenaarschap en de taken en verantwoordelijkheden zijn niet belegd. Is er nagedacht voor de beveiliging van interfaces tussen de verschillende systemen? Het is niet terug te vinden in de documentatie van het I&AM-project.
22
Implementatietraject Identity & Access Management
nr. 815
5.2.4 Audit Op basis van de bovenstaande case study blijkt dat de IT-auditor ter kennisneming van het I&AMproject een voorstel heeft ontvangen. Het initiatief om deel te nemen aan dit project ligt volgens de projectorganisatie bij Internal Audit. Het is volgens de projectorganisatie de rol van de projecteigenaar om de deelproducten te beoordelen of het I&AM-project uiteindelijk een oplossing is voor de geïdentificeerde risico’s door de (internal) IT-auditor en door de externe accountant. De IT-auditor heeft alleen een rol om tijdens een follow-up audit op openstaande auditpunten te toetsen of I&AM daadwerkelijk de geïdentificeerde risico’s mitigeert. Is dit de wenselijke rol van de IT-auditor? De deskundigheid en expertise van de IT-auditor wordt op deze wijze slechts beperkt ingezet door de projectorganisatie. De auteur van deze scriptie is van mening dat wanneer de IT-auditor betrokken wordt tijdens het voortraject en gedurende de implementatie enkele deelproducten kan toetsen aan de vooraf afgesproken norm, dit de kwaliteit van het uiteindelijke product op positieve wijze zal beïnvloeden. Dat dit nu niet is gebeurd, wijt de auteur van deze scriptie aan de inzet van het IT-audit vakgebied binnen de organisatie. (IT-)Auditors worden binnen de organisatie alleen bij projecten betrokken om zich te richten op de betrouwbaarheid en effectiviteit ervan. Tevens is de auteur van mening dat ITauditors hier zelf ook een rol in spelen door te anticiperen op projectvoorstellen die worden aangereikt aan Internal Audit. Om een nog beter beeld te krijgen van de betrokkenheid van de IT-auditor tijdens I&AMimplementatietrajecten, is er ook bij andere organisaties onderzocht wat de rol van de IT-auditor is en welke aandachtsgebieden deze heeft tijdens implementaties.
5.3 Resultaten expertinterviews De expertinterviews zijn gehouden met personen van verschillende bedrijven uit verschillende branches. De experts vertegenwoordigen accountantskantoren (Big Four), een overheidsinstelling, ITdienstverlenende organisaties en een organisatie waar fysieke toegangsbeveiliging erg van belang is en zeer omvangrijk en complex is. Allen hebben een rol of hebben een rol gehad bij implementaties van I&AM, voor zowel eigen organisaties als voor opdrachtgevers. De kennismaking met deze I&AMexperts is op verschillende manieren tot stand gekomen. Deze experts zijn benaderd vanuit het netwerk van de auteur, het netwerk van de bedrijfscoach en van de scriptiecoach (vanuit de VU). De implementatie van I&AM en de rol van de IT-auditor in deze stonden centraal. Aan alle personen en organisaties die hebben meegewerkt aan het interview is anonimiteit toegezegd. In bijlage A zijn de resultaten van de gehouden interviews beschreven per geïnterviewde organisatie. Op basis van het zevental gehouden expertinterviews, is onderzocht in welke mate de IT-auditor betrokken wordt bij I&AM-implementatietrajecten en welke rol ze daarbij hebben gehad. Tevens is onderzocht welke aandachtsgebieden de IT-auditors hebben tijdens dergelijke projecten en op welke deelproducten ze zich richten. Uit de interviews blijkt dat er tijdens de meeste I&AM-implementaties geen IT-auditor wordt betrokken. Wanneer de IT-auditor wordt betrokken, gaat het hier meestal om een projectreview of een adviesopdracht. De attestfunctie van de IT-auditor vindt in de meeste gevallen plaats nadat de implementatie is afgerond. De toegevoegde waarde of rol van de IT-auditor tijdens de implementatie is 23
Implementatietraject Identity & Access Management
nr. 815
bij de organisatie met een complexe fysieke toegangsbeveiliging en een van de IT-dienstverleners niet bekend of niet duidelijk. Wat opvalt, is dat in bijna alle gevallen wordt aangegeven dat dit wel wenselijk zou zijn, mits de rol van de IT-auditor al direct in het voortraject wordt belegd. Bij de Big Four organisaties, de overheidsinstelling en een van de IT-dienstverleners werd er aangegeven dat de IT-auditor betrokken moet worden op het moment dat de organisatie afspraken (businessrules) gaat opstellen ten aanzien van de I&AM-oplossing. Ondanks dat de IT-auditor niet of nauwelijks betrokken raakt tijdens de I&AM-implementatie, zijn er door de I&AM-experts wel een aantal aandachtsgebieden voor de IT-auditor aangegeven. Eén van de I&AM-experts bij een Big Four organisatie gaf aan dat de loggingfunctionaliteit en de verantwoordelijkheid met betrekking tot het toekennen van business rules en autorisaties tijdens de implementatie mogelijke aandachtsgebieden zijn voor de IT-auditor. Evenals de rollenstructuur die wordt gehanteerd in een I&AM-oplossing (ist-situatie). De IT-auditor kan deze toetsen aan de rollenstructuur zoals de organisatie deze heeft gedefinieerd (soll-situatie). Door een aantal I&AM-experts werd tevens aangegeven dat de IT-auditor tijdens de ontwerpfase de rollen dient te beoordelen op de mate waarin functiescheiding wordt gewaarborgd. Volgens één van de I&AM-experts kunnen normenkaders zoals het RBAC-normenkader van de PvIB worden ingezet om de beschreven AO/IC-processen te toetsen. Volgens een I&AM-expert van één van de ITdienstverlenende organisaties ligt het aandachtsgebied voor de IT-auditor voornamelijk bij het waarborgen van primaire functiescheiding bij het definieren van toegangsrechten en profielen. Tevens is bij het aansluiten van gebruikersrollen op rollen in de organisatie de toegevoegde waarde van de ITauditor gewenst, aangezien hier functiescheiding wordt geraakt wanneer rollen domeinoverstijgend zijn. Een IT-audit aandachtspunt wat hierop aansluit zijn nieuwe rollen die conflicterend kunnen zijn met bestaande rollen wanneer ze aan een gebruiker worden toegekend. Eén van de I&AM-experts van een Big Four organisatie gaf aan dat de beveiliging van koppelingen tussen de bronsystemen (bijv. HR-systeem), de I&AM-applicatie en de doelsystemen als aandachtsgebied voor de IT-auditor meegenomen kunnen worden tijdens een I&AM-implementatie. De IT-auditor kan de beveiliging van deze koppelingen aan de hand van leading practices op het gebied van information security beoordelen.
5.4 Samenvatting In dit hoofdstuk is de I&AM-implementatie bij de organisatie waar de auteur van deze scriptie werkzaam is beschreven en is er een samenvatting gegeven van de gehouden expertinterviews. De expertinterviews geven aan dat de rol van de IT-auditor tijdens I&AM-implementatietrajecten zelden is belegd. Wanneer de IT-auditor wordt betrokken, dan is dit meestal in de adviserende rol of het uitvoeren van een projectaudit/projectreview. Slechts in een enkel geval wordt de IT-auditor betrokken om een deelproduct van de I&AM-implementatie te toetsen aan de vooraf afgesproken norm(en). De case study laat zien dat de rol van de IT-auditor niet in alle gevullen is ingevuld tijdens het I&AMimplementatietraject. Aan de hand van het overzicht van opgeleverde deelproducten en documentatie van het project en de expertinterviews, blijkt dat er genoeg aandachtsgebieden zijn voor de IT-auditor 24
Implementatietraject Identity & Access Management
nr. 815
bij de totstandkoming van een I&AM-oplossing. De belangrijkste aandachtsgebieden zijn de betrokkenheid van de ‘business’, het beleggen van rollen, taken en verantwoordelijkheden met betrekking tot de I&AM-oplossing, de inrichting van de profielen/rollen en het waarborgen van functiescheiding, beveiliging van gegevens, koppelingen en systemen en de rapportagetooling. Deze aandachtsgebieden komen voornamelijk uit de gehouden interviews met de I&AM-experts van verschillende organisaties. Met deze uitwerking van de uitgevoerde casestudy en de gehouden expertinterviews zijn de deelvragen ‘Wat zijn, vanuit een IT-audit perspectief, de aandachtsgebieden bij de totstandkoming van elk van deze deelproducten? ‘ en ‘Wat zijn de ervaringen van betrokken IT-auditors bij Identity & Access Management implementatietrajecten?‘ beantwoord.
25
Implementatietraject Identity & Access Management
nr. 815
6. Conclusies en reflectie Eén van de experts zei tijdens een interview ‘De reden van de populariteit van I&AM is omdat de ondersteunende software volwassen wordt, maar I&AM is niets nieuws.’. En ook gezien de hoeveelheid artikelen die in vakliteratuur en op internet (white papers, I&AM-blogs, productinformatie) te vinden zijn, was de auteur van deze scriptie in de veronderstelling dat er inmiddels genoeg ervaring zou zijn met de inzet van IT-auditors op dit onderwerp. Vanuit het praktijkonderzoek blijkt echter dat deze veronderstelling van de auteur niet juist was. In dit hoofdstuk zijn de conclusies van het onderzoek opgenomen. In paragraaf 6.1 worden de hoofdpunten uit deze scriptie nog eens aangehaald, om een antwoord te kunnen geven op de onderzoeksvraag. In paragraaf 6.2 geeft de auteur een persoonlijke reflectie op het onderzoek en de resultaten ervan.
6.1 Conclusies van het onderzoek In hoofdstuk 2 zijn de begrippen van I&AM toegelicht en zijn de business drivers beschreven voor het implementeren van een I&AM-oplossing. Hoofdstuk 3 beschrijft het I&AM-implementatietraject. De auteur veronderstelt op basis van literatuur dat er een aantal fasen zijn die worden doorlopen en dat er per fase één of meerdere deelproducten worden opgeleverd. Aan de hand van deze gegevens is er onderzoek gedaan middels een case study en expertinterviews om te toetsen of dit daadwerkelijk de praktijk is (hoofdstuk 5). Hoofdstuk 4 beschrijft de rol van de IT-auditor en waarom deze voldoende deskundig is om ingezet te kunnen worden in een I&AM-implementatietraject.
Al deze uitwerkingen moesten bijdragen aan een antwoord op de hoofdvraag, namelijk: “Wat zijn de aandachtsgebieden van een Identity & Access Management implementatietraject, vanuit een IT-audit perspectief?” Op basis van de hoeveelheid informatie die beschikbaar was vanuit de theorie was de verwachting van de auteur dat er voldoende IT-audit ervaring met I&AM-implementatietrajecten zou zijn. Echter, vanuit het praktijkonderzoek is er geen eenduidig antwoord gekomen op de hoofdvraag van deze scriptie. Op basis van dit onderzoek blijkt namelijk dat IT-auditors zelden worden ingezet op een I&AMimplementatie vanuit de attestfunctie. Dit was zowel het geval bij de case study bij de organisatie van de auteur als bij het merendeel van de expert interviews. Eén van de redenen waarom de IT-auditor niet wordt betrokken bij I&AM-implementaties is omdat de projectorganisatie onbekend is met het vakgebied van de IT-auditor. Opvallend is daarbij wel, dat de geinterviewde IT-auditors van de Big Four wél benaderd worden om op te treden als adviseur tijdens dergelijke I&AM-implementaties óf om zelf delen van de I&AM-implementatie uit te voeren. Er zijn binnen I&AM zoveel raakvlakken met het vakgebied en de deskundigheid van de afgestudeerde IT-auditor, dat het voor beide partijen een gemiste kans is als hier geen gebruik van wordt gemaakt. Zoals in hoofdstuk 4 reeds is aangegeven, zou de IT-auditor (RE) met het behalen van zijn Post-Graduate opleiding en de verplichte drie jaar IT-audit ervaring, inmiddels genoeg kennis moeten hebben opgedaan om een oordeel te kunnen vellen over de deelproducten. Voorwaarde 26
Implementatietraject Identity & Access Management
nr. 815
hiervoor is dat de IT-auditor tijdig betrokken wordt bij het project, zodat deelproducten getoetst kunnen worden aan vooraf gemaakte afspraken over de te hanteren normen. Uit de expertinterviews, met zowel de projectmanagers van I&AM-implementaties als de IT-auditors is gebleken dat de toegevoegde waarde van het betrekken van de IT-auditor wel wordt onderkend. Uit de case study en uit de expertinterviews zijn er - ondanks de tegenvallende betrokkenheid van ITauditors in hun attestfunctie - wel enkele aandachtsgebieden geïdentificeerd. Dit zijn: -
betrokkenheid van de ‘business’ bij het I&AM-implementatietraject;
-
het beleggen van de rollen, taken en verantwoordelijkheden ten aanzien van I&AM-processen;
-
de inrichting van de rollen (RBAC) op basis van de rollen in de business;
-
de inrichting van de rapportagetooling (Monitoring & Audit proces);
-
de beveiliging van (personeels/inlog)gegevens die via de interfaces worden getransporteerd.
6.2 Persoonlijke reflectie Zoals in de inleiding van dit hoofdstuk ook al is beschreven, is het de auteur van deze scriptie - gezien de hoeveelheid informatie die over I&AM is te vinden – tegengevallen hoeveel ervaring IT-auditors hebben met het daadwerkelijk auditen van I&AM tijdens de implementatie. De adviesfunctie, de rol van projectreviewer en het auditen van een reeds geïmplementeerde I&AM-oplossing komt men vaker tegen dan de attestfunctie. Als IT-auditor bij een Internal Audit afdeling, meent de auteur van deze scriptie dat de toegevoegde waarde van een audit tijdens het implementatieproject zich zowel aan de kant van de business als aan de kant van de IT-auditor bevindt. Voor de business cq. projectorganisatie, omdat deze er bij gebaat is om er voor de oplevering zeker van te zijn dat er achteraf geen ingrijpende aanpassingen meer verricht hoeven te worden door het oordeel van een postimplementatie audit. Voor de (Internal) IT-auditor is een audit tijdens de implementatie zinvol, om de business te laten zien dat de IT-auditor niet altijd achteraf met het ‘vingertje’ hoeft te wijzen en om ze op deze wijze meer begrip te laten krijgen met het vakgebied IT-auditing. In de vorige paragraaf is beschreven dat het onderzoek niet heeft geleid tot een kant-en-klaar antwoord op de onderzoeksvraag. Desondanks is het onderzoek van toegevoegde waarde voor het vakgebied ITauditing omdat het laat zien dat er nog een stuk onontgonnen gebied is bij het onderwerp I&AM waar de IT-auditor een rol in kan spelen.
27
Implementatietraject Identity & Access Management
nr. 815
7. Gehanteerde literatuur Blum, D.; Identity and Privacy strategies: User Authentication; Burton Group; December 3, 2004 Bokhorst et al, B.; Studie Role Based Access Control (PvIB); Versie 1.0; November 2005 Gebel, G.; Identity and Privacy strategies: Roles; February 9; Burton Group; 2005 Hermans et al, J.; ‘Identity & Access Management: operational excellence of ‘in control’?’door Ing. J.A.M. Hermans RE en drs. J. ter Hart; KPMG Compact 2005/3;2005 Hermans et al, J.; ‘Globalisering en de complexiteit van logische toegang’ door Ing. J.A.M. Hermans RE, drs. D.B. van Ham CISA en drs. J. ter Hart; KPMG Compact 2006/3;2006 Hulst, E van der; ‘Enterprise Identity & Access Management’ door E. van der Hulst; KPMG; 2007 ISACA I&AM 101 – Dennis van Ham;KPMG Jurg et al, P; ‘Identity Management in het Hoger Onderwijs’; door P. Jurg en P. Valkenburg, 2004 Jurg et al, P.; ‘Identity Management – Omgaan met electronische identiteiten’; door P. Jurg en P. Valkenburg; 2007 Marsman, H;‘De Uitdaging’, .ego Jaargang 6/editie 3, SBIT;2007 NOREA; studierapport nr. 2, ‘Een kwaliteitsmodel voor register EDP-auditors’;1997 Praat, J van; ‘Inleiding EDP-Auditing’; door J. van Praat en H. Suerink; 2004 Roberta J. Witty – Gartner, CA, Burton. Sauerwein, L;‘Handleiding voor verwerkers van persoonsgegevens – Wet Bescherming Persoonsgegevens’; door mr. L.B. Sauerwein en mr. J.J. Linneman; Ministerie van Justitie; 2002 Westeneng, Johh van; ‘Identity & Access Management Succesfactoren’; door John van Westeneng CISSP;2005 Wijnen et al, G.; Projctmatig werken’ door Wijnen, Renes en Storm, 1990
28
Implementatietraject Identity & Access Management
nr. 815
Bijlage A. Uitwerking I&AM expertinterviews A.1 Organisatie met een complexe fysieke beveiliging Het interview heeft plaatsgevonden met de projectmanager van het I&AM-programma ten behoeve van de fysieke toegangsbeveiliging binnen deze organisatie. De beoogde afnemers van het I&AM-programma zijn alle werknemers, externe medewerkers en leveranciers die toegang nodig hebben tot de gebouwen van deze organisatie. Er wordt gebruik gemaakt van biometrische gegevens (irisscangegevens op een electronische toegangspas) als authenticatiemiddel. De uiterlijke kenmerken van de pas bepalen de gebieden waartoe men toegang heeft binnen de perimeter van de organisatie. Binnen deze organisatie speelt veiligheid een zeer grote rol, waarbij voor zowel fysieke toegangsbeveiliging als logische toegangsbeveiliging een I&AM-oplossing is geselecteerd. Het huidige I&AM-systeem is verouderd, wat resulteert in gebrek aan support door de oorspronkelijke leverancier en voor wat betreft de fysieke toegangsbeveiliging is de huidige I&AM-applicatie (als onderdeel van gebruikersbeheer) niet meer toereikend vanwege de enorme aantallen toegangspassen. In de eerste instantie was er een plan ingediend voor het uitrollen van een geheel nieuwe I&AMoplossing, maar het management heeft geen goedkeuring gegeven vanwege het kostenplaatje. De huidige I&AM-processen functioneren naar behoren, alleen de huidige applicatie biedt slechts plaats voor een beperkt aantal toegangspassen. Het hernieuwde voorstel is zuiver gehouden en alleen de I&AM-applicatie wordt vervangen. Het I&AM-programma bestaat uit twee fasen, waarbij fase 1 staat voor de fysieke toegangsbeveiliging en fase 2 voor de logische toegangsbeveiliging. Fase 1 was ten tijde van deze scriptie nog niet afgerond, en daarom is fase 2 buiten de scope gehouden voor dit interview. Het eigenaarschap van I&AM binnen deze organisatie is zowel bij ICT belegd als de afnemer (de organisatie). Het technische beheer is belegd binnen ICT en het functioneel beheer is belegd bij de afnemer. Afspraken hieromtrent zijn vastgelegd in een contract. De projectbeheersingmethode die wordt gehanteerd is Prince II met de daarbij behorende Prince II projectdeliverables. De inhoudelijke deelproducten van het I&AM-implementatieproces zoals geschetst in hoofdstuk 3.4 waren ten tijde van het interview nog niet definitief vastgesteld. Op dat moment was er naast de inrichting van de projectorganisatie en een (nog niet formeel goedgekeurde) business case een technische decompositie van de te implementeren I&AM-oplossing. De projectorganisatie heeft de IT-auditor(s) van de Internal Audit afdeling van de organisatie geïnformeerd over dit project maar deze hebben geen specifieke rol toebedeeld gekregen. De projectmanager gaf aan dat de IT-auditor(s) bij dergelijke projecten een projectreview uitvoeren en een rapportage met hun bevindingen opleveren alvorens er een decharge wordt verleend op het project. De projectmanager kon niet (inhoudelijk) aangeven naar welke deelproducten de IT-auditors kijken anders dan naar het testplan en de uitvoer van het project (met name gericht op beslismomenten). De projectleider gaf aan dat de betrokkenheid van de IT-auditor in principe niet meer was dan een formaliteit.
29
Implementatietraject Identity & Access Management
nr. 815
Dit interview was achteraf gezien wellicht prematuur ten aanzien van de uitvoer van de I&AMimplementatie van fase 1, maar heeft wel een beeld gegeven hoe er vanuit een projectorganisatie aangekeken kan worden tegen de betrokkenheid van de IT-auditor. De projectmanager gaf aan dat hij nog niet had nagedacht over welke toegevoegde waarde een IT-auditor kan hebben in de geplande I&AM-implementatieprojecten. A.2 Overheid Het interview bij de overheidsinstantie heeft plaatsgevonden met de projectmanager van de implementatie van I&AM. De beoogde afnemers zijn in de eerste instantie alle werknemers van deze organisatie. De doelstelling is om uiteindelijk de toegang voor klanten tot applicaties via het I&AM-systeem te laten verlopen.
De aanleiding om I&AM te implementeren bij deze organisatie zijn de business drivers (IT) Risk Management en Compliance. Volgens de projectmanager zijn er tevens auditrapporten opgeleverd waarin geconcludeerd wordt dat het huidige autorisatiebeheer niet adequaat is. De organisatie heeft een business case opgesteld waarin verschillende scenario’s van een I&AM-oplossing zijn beschreven. Daarnaast is er een analyse gemaakt van de kostenbesparing die zal worden bewerkstelligd door de invoer van I&AM. De uitkomst hier van is dat er op 80 FTE kan worden bespaard met betrekking tot het autorisatiebeheer, die vervolgens (deels) ingezet kunnen worden op andere projecten binnen deze organisatie (met een totaal van bijna 30.000 medewerkers). Voor de start van het project is er een I&AM-model decompositie opgesteld, waarin alle I&AM-begrippen zijn uitgewerkt waarbij de processen, systemen en het beleid is uitgewerkt. Deze decompositie is voorgelegd aan alle betrokkenen en is na goedkeuring gehanteerd als ‘vertrekpunt’ voor de I&AM-implementatie. De projectbeheersingmethode Prince II wordt gehanteerd voor het I&AM-programma met daarin de verschillende projecten. Evenals bij de organisatie van de voorgaande paragraaf, is ook bij deze organisatie de I&AM-implementatie nog niet gereed. Het I&AM-programma kent verschillende projecten, waarbij het eerste project is bedoeld om I&AM uit te rollen voor het Windows-domein waar alle netwerkgebruikers zich op aanmelden. Over de komende jaren zullen zoveel mogelijk doelsystemen worden opgenomen in het I&AM-systeem. De aanpak per I&AM-programma is ongeveer gelijk aan de fasering zoals beschreven in paragraaf 3.3. De benamingen van de fasen zijn verschillend en de ontwerp- en voorbereidingsfasen zijn samengenomen. De projectorganisatie betrekt IT-auditors vanuit de stuurgroep om de effectiviteit en de efficiëntie van de aanpak van het project te beoordelen. Tevens zal de projectmanager IT-auditors vragen om een produktaudit. De IT-auditors worden op ‘afroep’ betrokken bij dit project. De projectmanager verwacht dat er met name gericht wordt op de totstandkoming van producten, de gehanteerde kwaliteitsnormen en de beveiligingsarchitectuur. Na de implementatie zal de focus van de IT-auditor vooral liggen op het beoordelen van de ist-soll situatie tussen de verschillende administraties van rollen en gebruikersgegevens. Bij het interview van de projectmanager bij deze organisatie bleek dat de rol van (internal) IT-auditor niet vantevoren is vastgelegd voor het uitvoeren van het I&AM-project. De projectmanager heeft wel duidelijke ideeën over hoe deze rol belegd zou kunnen worden voor, tijdens en na de implementatie van I&AM. Op het moment van het interview waren er echter nog geen IT-auditors betrokken bij de implementatie. 30
Implementatietraject Identity & Access Management
nr. 815
A.3 Big Four Firm 1 Het interview heeft plaatsgevonden met een director van een IT-audit praktijk bij een van de Big Four kantoren. De geinterviewde director begeleid I&AM implementatieprojecten bij klanten en is specialist op het gebied van Identity Management en RBAC. Evenals bij de voorgaande interviews, was ook hier het doel om de aandachtsgebieden voor de IT-auditor tijdens I&AMimplementatietrajecten in kaart te brengen. Aangezien het hier geen organisatie betreft waarbij zelf een I&AM-implementatietraject uitgevoerd moet worden zoals in de voorgaande paragrafen en de case study, ligt de nadruk van dit interview meer op de rol van de IT-auditor tijdens deze trajecten in plaats van op het implementatietraject zelf. De vraagstelling aan de geïnterviewde organisatie was overigens hetzelfde, maar wordt er vanuit een ander oogpunt geredeneerd, namelijk die van adviseur en IT-auditor. De geïnterviewde persoon geeft aan dat de IT-auditor voor een audit tijdens het implementatietraject altijd betrokken moet worden bij het voortraject. In het voortraject van de I&AM-implementatie worden de business rules (normen) waaraan de profielen of rollen (RBAC) moeten voldoen opgesteld door de organisatie. Het is volgens de geïnterviewde persoon van belang dat de IT-auditor hierbij is betrokken, aangezien dit de normen zijn waaraan de deelproducten van de I&AM-implementatie zullen worden getoetst. De eisen ten aanzien van het profielen/rollenbeheer worden vastgelegd in de ondersteunende businesscase. De business rules worden vervolgens vertaald naar de I&AM-applicatie. Tijdens het interview valt direct op dat de ondervraagde persoon de nadruk legt op RBAC en de ‘achterzijde’ van het I&AM-proces. Met de achterzijde wordt het Monitoring & Auditing proces bedoeld zoals te zien is in figuur 2, paragraaf 2.2.2. Op basis van de gerapporteerde uitzonderingsgevallen vanuit het monitoring & auditing proces wordt het I&AM-proces aan de voorkant (gebruikersbeheer) bijgestuurd. Dat wil zeggen dat de businessrules worden bijgesteld of dat er vervuiling zit/zat in de aanleverende systemen met brongegevens (bijv. HR-systeem). Op de vraag of er in de praktijk veel gebruik wordt gemaakt van IT-auditors tijdens het implementatietraject om deelproducten te beoordelen werd geantwoord dat dit ‘wel eens’ voorkwam, maar dat het meestal om advieswerkzaamheden ging óf om een audit na de implementatie van I&AM. Het advies voor IT-auditors die betrokken worden bij een implementatietraject van I&AM is om in elk geval duidelijke afspraken te maken met de organisatie over de business rules die als normen zullen dienen voor de auditwerkzaamheden. A.4 Big Four Firm 2 Het interview met de tweede Big Four organisatie heeft plaatsgevonden met een IT-auditor, gespecialiseerd in Identity & Access Management oplossingen. Hij begeleidt Identity & Access Management trajecten bij klanten, meestal vanuit zijn rol als IT-Security specialist. De geïnterviewde persoon geeft aan dat hij vooral wordt ingezet bij het begeleiden van I&AMimplementatietrajecten. Hiervoor hanteert de organisatie een zelf ontwikkelde methodiek op basis van faseringen met bijbehorende stappenplannen. De fasering die door deze organisatie wordt gehanteerd komt overeen met de fasering geschetst in paragraaf 3.3. De deelproducten komen overeen met de deelproducten die beschreven zijn in paragraaf 3.4. 31
Implementatietraject Identity & Access Management
nr. 815
Voordat organisaties met de implementatie van start gaan, is het van belang om het eigenaarschap van de I&AM-oplossing te onderkennen. Volgens de geïnterviewde persoon komt het vaak voor dat dit belegd wordt bij een ICT-afdeling, terwijl de organisatie zelf eigenaar is van de I&AM-oplossing. De geïnterviewde geeft aan dat bij bijna alle implementaties de governancestructuur niet helder is. De ITafdeling en de organisatie zitten in dat geval niet op één lijn. De organisatie wordt in veel gevallen pas betrokken bij het I&AM-implementatietraject als men zien dat het project niet alleen (IT) Risk Management als business driver heeft. Door de organisatie erbij te betrekken zal bijvoorbeeld de rollenstructuur voorzien kunnen worden van een gelaagdheid. Dat wil zeggen, dat de rol gekoppeld is aan een functie en tevens aan de business-rol (het type werkzaamheden dat deze persoon binnen de organisatie uitvoert). De activiteiten van de IT-auditor die de geïnterviewde persoon het meest aantreft bij I&AMoplossingen zijn die van projectreviewer of een begin-eind review nadat de implementatie heeft plaatsgevonden. Op de vraag of de IT-auditor ook toegevoegde waarde kan leveren op de eerder genoemde deelproducten werd geantwoord dat hij dergelijke audits alleen tegenkomt die worden uitgevoerd door de internal (IT-)auditor bij de organisaties. Het gaat hierbij dan bijvoorbeeld om audits op de loggingfunctionaliteit, de verantwoordelijkheid met betrekking tot het toekennen van business rules en autorisaties tijdens de implementatie. Andere punten van aandacht voor de IT-auditor zijn of de deelproducten aansluiten bij de doelstellingen vanuit de organisatie en of de organisatie is betrokken en goedkeuring geeft op de deelproducten tijdens de I&AM-implementatie. Een voorbeeld hiervan is de rollenstructuur die wordt gehanteerd in een I&AM-oplossing (ist-situatie). Deze wordt getoetst aan de rollenstructuur zoals de organisatie ze heeft gedefinieerd (soll-situatie). A.5 Big Four Firm 3 Het interview met deze derde Big Four organisatie heeft ook plaatsgevonden met een IT-auditor. Hij richt zich op informatiebeveiliging in algemene zin en heeft als speerpunt I&AM. Op dit vlak voert hij regelmatig adviesopdrachten uit bij bedrijven en de overheid. Momenteel werkt hij aan normenkaders voor I&AM-audits (post-implementatie) en geeft college over I&AM aan collega’s Bij deze organisatie worden evenals bij de andere geïnterviewde Big Four organisaties I&AMimplementatietraject vooral begeleid door hun specialisten. Bij deze organisatie vinden audits in de regel niet plaats tijdens het implementatietraject, maar na de implementatie of alszijnde een projectreview. Volgens de geïnterviewde persoon worden de meeste implementaties gedreven door de keuze van de I&AM-applicatie. Ook tijdens dit interview kwam naarvoren dat de organisatie en de ITafdeling niet altijd op één lijn zitten omdat I&AM vanuit IT wordt gestuurd. De definities die de geïnterviewde persoon hanteert met betrekking tot I&AM komen overeen met de definities en beschrijvingen in paragraaf 2.2.1. en 2.2.2. van deze scriptie. De fasering van I&AMimplementaties komt overeen met paragraaf 3.4, behalve dat de ontwerpfase en de voorbereidingsfase bij zijn organisatie samen worden genomen. Volgens de geïnterviewde persoon zal de IT-auditor die de deelproducten wil toetsen op de hoogte moeten zijn van het beleid van de organisatie omtrent I&AM en welke uitgangspunten er gehanteerd worden voor I&AM. De IT-auditor zal de meeste toegevoegde waarde hebben in de ontwerpfase (inclusief voorbereidingsfase in het geval van deze organisatie) en in de realisatiefase. De IT-auditor kan een bijdrage leveren in de ontwerpfase aan het identificeren van conflicterende rollen bij het toetsen van de rollenstructuur op basis van de business rules. Daarnaast kan de IT-auditor de koppelingen tussen de applicaties (bronsysteem, I&AM32
Implementatietraject Identity & Access Management
nr. 815
applicatie en doelsystemen) beoordelen aan de hand van leading practices op het gebied van information security. Tijdens de realisatiefase dient de IT-auditor te toetsen of het eigenaarschap correct is belegd volgens het beleid en tevens of de bijbehorende AO/IC-processen van de I&AMoplossing voldoen aan leading practices. Afhankelijk van de business driver kunnen hiervoor bijvoorbeeld normenkaders gehanteerd worden op basis van Sarbanes-Oxley of bijvoorbeeld de RBAC-normering (de organisatie heeft een eigen RBAC-normenkader, maar de geïnterviewde persoon verwijst ook naar het RBAC-normenkader van de PvIB). De geïnterviewde persoon geeft echter aan dat audits gedurende implementaties zelden voorkomen op de manier zoals beschreven in 4.2.2, op ‘deelproduct’. De projectreview vindt wel plaats gedurende de I&AM-implementatie en de audit op de I&AM-processen vindt plaats na de implementatie. A.6 IT-Dienstverlener 1 Het interview heeft plaatsgevonden met een IT-Security Consultant en IT-architect, werkzaam bij een internationale IT-dienstverlener met wereldwijd 50.000 werknemers, waarvan 9.000 in Nederland. Hij treedt op als projectmanager/security consultant in een breed spectrum aan IT onderwerpen, maar is vooral gespecialiseerd in I&AM. Dit interview heeft plaatsgevonden met een IT Security Consultant die op dat moment werkzaam was bij een universiteit. Deze organisatie is als casus gebruikt tijdens het interview. De aanleiding om I&AM te implementeren is tweeledig, namelijk (IT) Risk Management en het ontlasten van de helpdesk. De invoer van I&AM heeft in verschillende fasen plaatsgevonden, namelijk tussen 1998 en 2002 om een centrale directory op te zetten voor alle gebruikersgegevens. Tussen 2002 en 2004 is aan het opzetten van een userprovisioningsysteem gewerkt. Vanaf 2004 wordt er gewerkt aan een complete I&AM-oplossing, waar userprovisioning reeds deel van uitmaakt en wordt uitgebreid met een RBAC-systeem en een koppeling tussen de SAP HR-applicatie (voor medewerkers) en een studenten informatiesysteem (gevoed door gegevens van de IB-Groep). Het betreft hier een project dat volledig IT-driven is, waarmee de organisatie zelf geen bemoeienis heeft gehad, anders dan input van de systeemeigenaren van applicaties binnen de universiteit. De beoogde afnemers zijn medewerkers van de universiteit en studenten die aan deze universiteit studeren. De implementatiefasering is gelijk aan paragraaf 3.3, waarbij ook hier de ontwerp en voorbereidingsfasen zijn samengenomen tot één fase. De deelproducten zoals geschetst in paragraaf 3.4 komen ook overeen, waarbij het autorisatiemodel in het Functioneel Ontwerp is opgenomen. Tijdens deze implementatie (sinds de eerste projectfase van 1998) is er geen IT-auditor bij betrokken geweest. Binnen de universiteit is er geen IT-auditor werkzaam en vanuit de ITdienstverlenerorganisatie is dit ook niet geïnitieerd. De Information Security Officer (overigens wel in het bezit van een RE-titel) van de universiteit is betrokken bij het beoordelen van het Functioneel Ontwerp op zaken als wachtwoordcomplexiteit, eisen ten aanzien van de WBP en op de mogelijke aanwezigheid van conflicterende rollen. A.7 IT-Dienstverlener 2 Het interview heeft plaatsgevonden met een Information System Architect van een internationale IT-dienstverlener met wereldwijd bijna 25.000 medewerkers waarvan ruim 10.000 in Nederland. Deze Information System Architect implementeert reeds jaren I&AM-oplossingen bij grote organisaties. 33
Implementatietraject Identity & Access Management
nr. 815
Tijdens dit interview is de implementatie van I&AM besproken op basis van de ruime ervaring van de geïnterviewde persoon. Er is geen specifieke casus aangehaald, zoals bij het interview met de ITdienstverlener in de vorige paragraaf. Volgens de geïnterviewde is de reden dat I&AM momenteel zo populair is, te wijten aan de volwassenheid van de I&AM-oplossingen. Dat wil zeggen dat de ondersteunende software een groeispurt heeft gemaakt de afgelopen paar jaren. De in deze scriptie onderkende business drivers zoals (IT) Risk Management en kostenbeheersing/reductie zijn de meest voorkomende varianten. De geïnterviewde persoon geeft aan dat hij zelden IT-auditors tegenkomt bij I&AMimplementatietrajecten. Volgens hem zijn IT-auditors over het algemeen te huiverig om betrokken te raken bij I&AM-implementatietrajecten. Of dit door het gebrek aan deskundigheid komt van de ITauditor of door niet tijdig betrekken van IT-auditors door de organisatie laat hij in het midden. Hij geeft aan dat hij tot nu toe nog nooit de gewenste betrokkenheid door IT-auditors heeft ervaren. Volgens de geïnterviewde persoon is er wel degelijk een rol voor IT-auditors weggelegd tijdens I&AM-implementatietrajecten, mits deze vooraf worden betrokken. De rol van de IT-auditors bij de totstandkoming van deelproducten ligt voornamelijk bij het definiëren van de toegangsrechten en profielen en het aansluiten van gebruikersrollen op rollen in de organisatie. Bij deze laatste is de toegevoegde waarde van de IT-auditor gewenst, aangezien hier functiescheiding wordt geraakt wanneer rollen domeinoverstijgend zijn. Waar volgens de geïnterviewde persoon ook aandacht aan besteed moet worden door de IT-auditor, zijn nieuwe rollen die conflicterend kunnen zijn met bestaande rollen wanneer ze aan een gebruiker worden toegekend. Hierdoor kan de functiescheiding in het geding komen. Tevens is hij van mening dat de IT-auditor betrokken moet worden bij het definiëren van de I&AM-processen voor de organisatie.
34