www.steria.no
© Steria
Strategisk Identity & Access Management
Sikkerhet Inside OutRonny Robinsson-Stavem, seniorrådgiver Steria AS
www.steria.no
Kontroll på medarbeidere og brukertilganger
15.09.2009 Konfidensiell - Navn på presentasjon.ppt2
www.steria.no
Beskytte verdier
15.09.2009 Konfidensiell - Navn på presentasjon.ppt3
www.steria.no
Etterlevelse av lover og regler
15.09.2009 Konfidensiell - Navn på presentasjon.ppt4
www.steria.no
15.09.2009 Konfidensiell - Navn på presentasjon.ppt5
Agenda
Identitetsadministrasjon
Strategiske forretningsdrivere
IAM elementer
Hindringer og suksessfaktorer
www.steria.no
Definisjon av Identity & Access Management
15.09.2009 Konfidensiell - Navn på presentasjon.ppt6
www.steria.no
Virksomhetens utfordringer
15.09.2009 Konfidensiell - Navn på presentasjon.ppt7
Administrator har 34 bestillinger på
opprettelser av nye brukerkonti på sin
arbeidspult
Flyttet til annet kontor i en annen
bygning. Ansatte ringer fortsatt på
gammelt internnummer.
Brukerstøtte tilbringer
1/3 av arbeidsdagen til
å resette passord
Ansatt sluttet for 4 måneder siden. Har
fortsatt tilgang til systemer via VPN.
Lost productivity Security risk Increased IT cost
www.steria.no
Virksomhetens kostnader
15.09.2009 Konfidensiell - Navn på presentasjon.ppt8
Virksomheter har 68 interne and 12
eksterne konto kataloger.
75% av interne brukere og 38% av
eksterne brukere lagres i flere
kataloger
Passord resets koster
$57-$147.
I snitt blir brukere opprettet i 16 systemer
og fjernet kun i 10 systemer.
Lost productivity Security risk Increased IT cost
www.steria.no
Identitetslivssyklus
15.09.2009 Konfidensiell - Navn på presentasjon.ppt99
Ny bruker
- Opprette brukerid
- Utstede identifikasjon
- Tilgangsrettigheter
Endringer av brukerkonti
- Forfremmelser
- Overføringer
- Nye arbeidsoppgaver
- Endringer av informasjon
Password styring
- Sterke passord
- Glemt passord
- Passord Reset
Slette bruker
- Slette/Fryse brukerkonto
- Slette/Fryse bemyndigelser
www.steria.no
Eksplosjon av antall brukere
10
Virksomhets-
ressurser
Administrative
ressurser
Brukere
IBM
IBM
IBM
1980 1990
(PC’s and LAN’s)
(Internet / Extranets)
Hjelp
!
(ASCII / 3270)
IBM
Se
på
dette!
www.steria.no
Identitetsproblemet
1. Meta Group 2. Computer Security, Issues and Trends
3. FBI/CSI Computer Crime and Security Survey 4. IDC
5. International Security Forum Report 6. Calculated value
Sikkerhet og risiko
62% av brukernes tilganger blir fjernet når en bruker slutter.
Orphan accounts øker risikoen for sikkerhetsbrudd med 23 %. 1
81% av sikkerhetsbrudd utføres av egne ansatte. 2 Svakheter ved
insidesikkerhet koster 250K per hendelse. 3
Revisjon og etterlevelse
Kun 50% reviderer tilgangsrettigheter regelmessig.
Opp mot 60% av tilgangsprofiler er ikke gyldige. 80% i bransjer der det
er stor turn-over 4
Lovgivning (HIPAA, Basel II, Sarbanes-Oxley etc.) gjør revisjoner påbudt
Effektivitet og produktivitet
15-25% av tilganger/forsyninger må gjøres på nytt grunnet feil. 5
27% av selskaper bruker med enn 5 dager på å opprette/fjerne
brukerkonti. 5
11% av interne brukere tilkaller brukerstøtte månedlig med problemer
relatert til tilganger; 7% for problemer relatert til brukerprofil 1
Kostnadsreduksjon
40-60% av henvendelser til brukerstøtte er grunnet glemte passord.1
15% årlige endringer på brukerprofiler forbruker 29% av totale IT
ressurser 1
Selskaper med12 applikasjoner kan spare $3.5M and realisere 295%
ROI over en 3 års periode. 6
Brukeridentifikasjon for autentisering og
autorisasjon
Katalogtjener eller
database
Applikasjon
Brukeridentifikasjon for autentisering og
autorisasjon
Katalogtjener eller
database
Applikasjon
Brukeridentifikasjon for autentisering og
autorisasjon
Katalogtjener eller
database
Applikasjon
Sluttbrukere
Administratorer Administratorer Administratorer
www.steria.no
Tekniske utfordringer
Ikke sentralisert administrasjons
Forøkning av identifikasjon
Ulike miljøer
Fragmenterte sikkerhetspolicyer
Revisjonsspor over alt
Ulike administrasjonsgrensesnitt
for hver eneste applikasjon
15.09.2009 Konfidensiell - Navn på presentasjon.ppt12
www.steria.no
IAM forretningsverdi
13
“Identity management projects are much more than
technology implementations — they drive real
business value by reducing direct costs, improving
operational efficiency and enabling regulatory
compliance.”
www.steria.no
Strategiske forretningsdrivere for IAM
15.09.2009 Konfidensiell - Navn på presentasjon.ppt14
Smidig organisasjon
•Tilgang eksterne brukere
•Tilpasning for ansatte
•Outsourcing
•Oppkjøp
Etterlevelse
•SOX, Basel II, Solvency II
•Internrevisjon
•Eksterne revisjonsselskaper
•Omdømmekontroll
Kostnadskontroll
•Reduserte kostnader
•Felles smidig arkitektur
•Økt produktivitet
Effektiv drift
•Forbedrede SLA’er
•Forbedret brukeropplevelse
•Økt produktivitet
Risikostyring
•Rapportering
•Reduksjonstiltak
•Etterlevelse av policies
•Revisjonsledelse
•Økt sikkerhet
Effektiv
drift
Ref. Burton Group
www.steria.no
Hvorfor må IAM være forretningsstyrt?
15.09.2009 Konfidensiell - Navn på presentasjon.ppt15
Forretningskrav
Reguleringskrav og
lovverk
Prosesser og roller Budsjetter
Visjon og strategi
Hardware/Software
Stort behov for en IAM koordinator for
Planer, Arkitektur, Integrasjon, and Ledelse
80%
20%
Po
licy, P
rosess, P
lan
leg
gin
g, P
olitik
k, L
ed
els
e
Tekn
isk
Kataloger Brukeradministrasjon AutorisasjonIdentifikasjon Integrasjon
Policy’er
www.steria.no
Skape verdier med IAM
16
Implementeringsfokus
Integrasjon
Standardisering
Fokus på muligheter
Grunnleggende sikkerhet
og administrasjon
Implementeringsfordeler
Økt kvalitet og effektivitet
Økt omsetning
Reduserte kostnader
Forbedret
Sikkerhet
Integrerte operasjoner
og automatiserte
prosesser
Standardisere
policyer, prosesser and
teknologi
Opprett målinger som
gjenspeiler alvorligheten
av potensielle trusler og
sårbarheter
Fult integrerte IAM løsninger krever anvendelse og integrasjon av standarder, teknologier og
prosesser, som introduserer avveininger rundt risiko og muligheter
Den virkelige gevinsten med IAM ligger i å integrere operasjoner og sørge for
en sikker og tillitsfull samhandling på tvers av communities
www.steria.no
IAM elementer
NOS/DirectoriesOS (Unix)
Systemer & KatalogerApplikasjoner
ERP CRM HR Mainframe
Revisjon
og
RapporteringArbeidsflyt og orchestration
AnsatteIT personell SOA
Applikasjoner
Partnere
Eksterne
Delegert
Admin
SOA
Applikasjoner
Kunder
Internal
Identity Management Service
Access Management• Autentisering & SSO
• Autorisasjon & RBAC
• Identity Federation
Katalogtjenester• LDAP kataloger
• Meta-katalog
• Virtuell katalog
Identity Provisioning• Hvem, Hva, Når, Hvor, Hvorfor
• Regler & tilgang policies
• Integrasjonsrammeverk
Identity Administration•Delegert Administrasjon
•Selvregistering & Selvbetjening
•Bruker & Gruppe Management
Overvåking
og
Styring
www.steria.no
IAM kuben og modenhet
15.09.2009 Konfidensiell - Navn på presentasjon.ppt18
IAM områderIA
M d
imensjo
nene
Yte
evne
Leveringse
vne
Prosesser
Mennesker
Teknologi
www.steria.no
Forskjellen mellom taktisk og strategisk innføring
15.09.2009 Konfidensiell - Navn på presentasjon.ppt19
Sponset av IT
Automatisering av brukerstøtte
Kun IT personell
Kostnadsreduksjon
▬ Antall hoder
Effektivitet og nyttighet
Fokus på avdeling
Selvbetjening
▬ passord reset
Plattformspesifikk:
▬ Windows gruppe administrasjon
Datasynkronisering
Sponset og forankret i ledelsen
Endringer av forretningsprosesser
HR er involvert
Compliance & rapportering
▬ IAM styring
Effektivitet og nyttighet
Fokus på hele virksomheten
Bruker provisioning
Virksomhetsroller
Applikasjonsintegrasjon
▬ Ikke bare IT infrastruktur
Delegering og selvbetjening
Datasynkronisering
Taktisk! Strategisk!
Identity Management
krever en taktisk og
pragmatisk tilnærming
for et strategisk resultat
www.steria.no
De virkelige hindringene for strategisk verdi
Taktiske IAM prosjekter vil begrense seg selv
Suksessrike strategiske IAM prosjekter er svært
vanskelige å gjennomføre
▬ Vanskelig å forsvare kostnader forbundet med sikkerhet fordi
det i de tilfellene mangler målbare suksesskriterier *
▬ IT sikkerhetssjefer er ikke synlige og ofte uten myndighet og
ledelsen forstår ikke problemstillingene og konsekvensene *
▬ Tidligere initiativ har feilet, delvis fordi leverandører lover noe
de ikke kan levere *
▬ Ledelsen tror informasjonssikkerhet er et IT problem
15.09.2009 Konfidensiell - Navn på presentasjon.ppt20* = referanse Forrester 2008
www.steria.no
IAM do and don’t
15.09.2009 Konfidensiell - Navn på presentasjon.ppt21
Få på plass en business case
Opprett en sentralisert autorativ kilde for alle brukere
Konsolider så mange autentiserings-eller identitetskataloger som mulig for å redusere antall ID’er som må administreres
Lag små applikasjoner for å forenkle administrasjonen av finkornet autorisasjonsbemyndigelser og roller
Inkluder kostnaden for revisjoner i kostnadsbildet
Sørg for at utviklingen av nye applikasjoner bruker brukerforsyningen i hele virksomheten
Tenk tjenester IKKE produkt
Forankring i ledelsen
Start med å velge teknologi
Løs et taktisk problem når man kan løse et strategisk problem (eks. brukerforsyning)
Start alltid med et brukerforsyningsprodukt. Verktøy for IAM styring kan gjøre en bedre jobb med roller, arbeidsflyt for godkjenninger og rapportering
Vær kompis med leverandøren, uavhengig av forhold_ krev kundereferanser, PoC og rabatter
Prøv å integrere alle applikasjoner samtidig – ha en roadmap med prioriterte integrasjoner
Sikt på 100% bruker/rolle tildeling – 80% er godt nok
Kvitt deg med dine plattformspesifikke administrasjonsverktøy
Do’s! Don’ts!
www.steria.no
Beste praksis for IAM
Beste praksis starter med en kunnskap om at dette er et forretningsinitiativ,
og ikke et IT-prosjekt
For å oppnå en suksessrik, sikker og effektiv IAM innføring i hele
virksomheten må ikke prosjektet styres fra IT avdelingen
Hele virksomheten må inkluderes, og må styres fra et punkt som er høyt i
organisasjonen slik at mandatet er krystallklart. Dette prosjektinitiativet skal
gjennomføres!
Bryt prosjektet ned i mindre leveranser for å synliggjøre suksesser slik at
ledelsen fortsatt gir sin støtte som er en forutsetning for suksessen
Grundig planlegging og behovsanalyse
Følg en velprøvd metodikk, og implementer i mindre sprinter!
Tenk på å bygge IAM løsningen på lik linje som å bygge et stort hus eller et
kjøretøy. Løsningen består av mange uavhengige deler som sammen skal
fungere som en sømløs enhet.
På lik linje som at man ikke starter med taket på et hus, eller vindusviskere
på en bil, så er det viktig å designe og lage løsningen grundig.
Gjør erfaringer av andres feil og suksesshistorier15.09.2009 Konfidensiell - Navn på presentasjon.ppt22
www.steria.no
15.09.2009 Konfidensiell - Navn på presentasjon.ppt23
Spørsmål?