Introduksjon til Strategisk Identity and Access Management

www.steria.no

© Steria

Strategisk Identity & Access Management

Sikkerhet Inside OutRonny Robinsson-Stavem, seniorrådgiver Steria AS

www.steria.no

Kontroll på medarbeidere og brukertilganger

15.09.2009 Konfidensiell - Navn på presentasjon.ppt2

www.steria.no

Beskytte verdier


www.steria.no

Etterlevelse av lover og regler


www.steria.no


Agenda

Identitetsadministrasjon

Strategiske forretningsdrivere

IAM elementer

Hindringer og suksessfaktorer

www.steria.no

Definisjon av Identity & Access Management


www.steria.no

Virksomhetens utfordringer


Administrator har 34 bestillinger på

opprettelser av nye brukerkonti på sin

arbeidspult

Flyttet til annet kontor i en annen

bygning. Ansatte ringer fortsatt på

gammelt internnummer.

Brukerstøtte tilbringer

1/3 av arbeidsdagen til

å resette passord

Ansatt sluttet for 4 måneder siden. Har

fortsatt tilgang til systemer via VPN.

Lost productivity Security risk Increased IT cost

www.steria.no

Virksomhetens kostnader


Virksomheter har 68 interne and 12

eksterne konto kataloger.

75% av interne brukere og 38% av

eksterne brukere lagres i flere

kataloger

Passord resets koster

$57-$147.

I snitt blir brukere opprettet i 16 systemer

og fjernet kun i 10 systemer.

Lost productivity Security risk Increased IT cost

www.steria.no

Identitetslivssyklus


Ny bruker

- Opprette brukerid

- Utstede identifikasjon

- Tilgangsrettigheter

Endringer av brukerkonti

- Forfremmelser

- Overføringer

- Nye arbeidsoppgaver

- Endringer av informasjon

Password styring

- Sterke passord

- Glemt passord

- Passord Reset

Slette bruker

- Slette/Fryse brukerkonto

- Slette/Fryse bemyndigelser

www.steria.no

Eksplosjon av antall brukere

10

Virksomhets-

ressurser

Administrative

ressurser

Brukere

IBM

IBM

IBM

1980 1990

(PC’s and LAN’s)

(Internet / Extranets)

Hjelp

!

(ASCII / 3270)

IBM

Se

på

dette!

www.steria.no

Identitetsproblemet

1. Meta Group 2. Computer Security, Issues and Trends

3. FBI/CSI Computer Crime and Security Survey 4. IDC

5. International Security Forum Report 6. Calculated value

Sikkerhet og risiko

62% av brukernes tilganger blir fjernet når en bruker slutter.

Orphan accounts øker risikoen for sikkerhetsbrudd med 23 %. 1

81% av sikkerhetsbrudd utføres av egne ansatte. 2 Svakheter ved

insidesikkerhet koster 250K per hendelse. 3

Revisjon og etterlevelse

Kun 50% reviderer tilgangsrettigheter regelmessig.

Opp mot 60% av tilgangsprofiler er ikke gyldige. 80% i bransjer der det

er stor turn-over 4

Lovgivning (HIPAA, Basel II, Sarbanes-Oxley etc.) gjør revisjoner påbudt

Effektivitet og produktivitet

15-25% av tilganger/forsyninger må gjøres på nytt grunnet feil. 5

27% av selskaper bruker med enn 5 dager på å opprette/fjerne

brukerkonti. 5

11% av interne brukere tilkaller brukerstøtte månedlig med problemer

relatert til tilganger; 7% for problemer relatert til brukerprofil 1

Kostnadsreduksjon

40-60% av henvendelser til brukerstøtte er grunnet glemte passord.1

15% årlige endringer på brukerprofiler forbruker 29% av totale IT

ressurser 1

Selskaper med12 applikasjoner kan spare $3.5M and realisere 295%

ROI over en 3 års periode. 6

Brukeridentifikasjon for autentisering og

autorisasjon

Katalogtjener eller

database

Applikasjon


autorisasjon

Katalogtjener eller

database

Applikasjon


autorisasjon

Katalogtjener eller

database

Applikasjon

Sluttbrukere

Administratorer Administratorer Administratorer

www.steria.no

Tekniske utfordringer

Ikke sentralisert administrasjons

Forøkning av identifikasjon

Ulike miljøer

Fragmenterte sikkerhetspolicyer

Revisjonsspor over alt

Ulike administrasjonsgrensesnitt

for hver eneste applikasjon


www.steria.no

IAM forretningsverdi

13

“Identity management projects are much more than

technology implementations — they drive real

business value by reducing direct costs, improving

operational efficiency and enabling regulatory

compliance.”

www.steria.no

Strategiske forretningsdrivere for IAM


Smidig organisasjon

•Tilgang eksterne brukere

•Tilpasning for ansatte

•Outsourcing

•Oppkjøp

Etterlevelse

•SOX, Basel II, Solvency II

•Internrevisjon

•Eksterne revisjonsselskaper

•Omdømmekontroll

Kostnadskontroll

•Reduserte kostnader

•Felles smidig arkitektur

•Økt produktivitet

Effektiv drift

•Forbedrede SLA’er

•Forbedret brukeropplevelse

•Økt produktivitet

Risikostyring

•Rapportering

•Reduksjonstiltak

•Etterlevelse av policies

•Revisjonsledelse

•Økt sikkerhet

Effektiv

drift

Ref. Burton Group

www.steria.no

Hvorfor må IAM være forretningsstyrt?


Forretningskrav

Reguleringskrav og

lovverk

Prosesser og roller Budsjetter

Visjon og strategi

Hardware/Software

Stort behov for en IAM koordinator for

Planer, Arkitektur, Integrasjon, and Ledelse

80%

20%

Po

licy, P

rosess, P

lan

leg

gin

g, P

olitik

k, L

ed

els

e

Tekn

isk

Kataloger Brukeradministrasjon AutorisasjonIdentifikasjon Integrasjon

Policy’er

www.steria.no

Skape verdier med IAM

16

Implementeringsfokus

Integrasjon

Standardisering

Fokus på muligheter

Grunnleggende sikkerhet

og administrasjon

Implementeringsfordeler

Økt kvalitet og effektivitet

Økt omsetning

Reduserte kostnader

Forbedret

Sikkerhet

Integrerte operasjoner

og automatiserte

prosesser

Standardisere

policyer, prosesser and

teknologi

Opprett målinger som

gjenspeiler alvorligheten

av potensielle trusler og

sårbarheter

Fult integrerte IAM løsninger krever anvendelse og integrasjon av standarder, teknologier og

prosesser, som introduserer avveininger rundt risiko og muligheter

Den virkelige gevinsten med IAM ligger i å integrere operasjoner og sørge for

en sikker og tillitsfull samhandling på tvers av communities

www.steria.no

IAM elementer

NOS/DirectoriesOS (Unix)

Systemer & KatalogerApplikasjoner

ERP CRM HR Mainframe

Revisjon

og

RapporteringArbeidsflyt og orchestration

AnsatteIT personell SOA

Applikasjoner

Partnere

Eksterne

Delegert

Admin

SOA

Applikasjoner

Kunder

Internal

Identity Management Service

Access Management• Autentisering & SSO

• Autorisasjon & RBAC

• Identity Federation

Katalogtjenester• LDAP kataloger

• Meta-katalog

• Virtuell katalog

Identity Provisioning• Hvem, Hva, Når, Hvor, Hvorfor

• Regler & tilgang policies

• Integrasjonsrammeverk

Identity Administration•Delegert Administrasjon

•Selvregistering & Selvbetjening

•Bruker & Gruppe Management

Overvåking

og

Styring

www.steria.no

IAM kuben og modenhet


IAM områderIA

M d

imensjo

nene

Yte

evne

Leveringse

vne

Prosesser

Mennesker

Teknologi

www.steria.no

Forskjellen mellom taktisk og strategisk innføring


Sponset av IT

Automatisering av brukerstøtte

Kun IT personell

Kostnadsreduksjon

▬ Antall hoder

Effektivitet og nyttighet

Fokus på avdeling

Selvbetjening

▬ passord reset

Plattformspesifikk:

▬ Windows gruppe administrasjon

Datasynkronisering

Sponset og forankret i ledelsen

Endringer av forretningsprosesser

HR er involvert

Compliance & rapportering

▬ IAM styring

Effektivitet og nyttighet

Fokus på hele virksomheten

Bruker provisioning

Virksomhetsroller

Applikasjonsintegrasjon

▬ Ikke bare IT infrastruktur

Delegering og selvbetjening

Datasynkronisering

Taktisk! Strategisk!

Identity Management

krever en taktisk og

pragmatisk tilnærming

for et strategisk resultat

www.steria.no

De virkelige hindringene for strategisk verdi

Taktiske IAM prosjekter vil begrense seg selv

Suksessrike strategiske IAM prosjekter er svært

vanskelige å gjennomføre

▬ Vanskelig å forsvare kostnader forbundet med sikkerhet fordi

det i de tilfellene mangler målbare suksesskriterier *

▬ IT sikkerhetssjefer er ikke synlige og ofte uten myndighet og

ledelsen forstår ikke problemstillingene og konsekvensene *

▬ Tidligere initiativ har feilet, delvis fordi leverandører lover noe

de ikke kan levere *

▬ Ledelsen tror informasjonssikkerhet er et IT problem

15.09.2009 Konfidensiell - Navn på presentasjon.ppt20* = referanse Forrester 2008

www.steria.no

IAM do and don’t


Få på plass en business case

Opprett en sentralisert autorativ kilde for alle brukere

Konsolider så mange autentiserings-eller identitetskataloger som mulig for å redusere antall ID’er som må administreres

Lag små applikasjoner for å forenkle administrasjonen av finkornet autorisasjonsbemyndigelser og roller

Inkluder kostnaden for revisjoner i kostnadsbildet

Sørg for at utviklingen av nye applikasjoner bruker brukerforsyningen i hele virksomheten

Tenk tjenester IKKE produkt

Forankring i ledelsen

Start med å velge teknologi

Løs et taktisk problem når man kan løse et strategisk problem (eks. brukerforsyning)

Start alltid med et brukerforsyningsprodukt. Verktøy for IAM styring kan gjøre en bedre jobb med roller, arbeidsflyt for godkjenninger og rapportering

Vær kompis med leverandøren, uavhengig av forhold_ krev kundereferanser, PoC og rabatter

Prøv å integrere alle applikasjoner samtidig – ha en roadmap med prioriterte integrasjoner

Sikt på 100% bruker/rolle tildeling – 80% er godt nok

Kvitt deg med dine plattformspesifikke administrasjonsverktøy

Do’s! Don’ts!

www.steria.no

Beste praksis for IAM

Beste praksis starter med en kunnskap om at dette er et forretningsinitiativ,

og ikke et IT-prosjekt

For å oppnå en suksessrik, sikker og effektiv IAM innføring i hele

virksomheten må ikke prosjektet styres fra IT avdelingen

Hele virksomheten må inkluderes, og må styres fra et punkt som er høyt i

organisasjonen slik at mandatet er krystallklart. Dette prosjektinitiativet skal

gjennomføres!

Bryt prosjektet ned i mindre leveranser for å synliggjøre suksesser slik at

ledelsen fortsatt gir sin støtte som er en forutsetning for suksessen

Grundig planlegging og behovsanalyse

Følg en velprøvd metodikk, og implementer i mindre sprinter!

Tenk på å bygge IAM løsningen på lik linje som å bygge et stort hus eller et

kjøretøy. Løsningen består av mange uavhengige deler som sammen skal

fungere som en sømløs enhet.

På lik linje som at man ikke starter med taket på et hus, eller vindusviskere

på en bil, så er det viktig å designe og lage løsningen grundig.

Gjør erfaringer av andres feil og suksesshistorier15.09.2009 Konfidensiell - Navn på presentasjon.ppt22

www.steria.no


Spørsmål?

Date post:	15-Jul-2015
Category:	Technology
Upload:	ronny-robinsson-stavem
View:	1,055 times
Download:	0 times

Introduksjon til Strategisk Identity and Access Management

Technology