“Identiteitsbeheer hoort aan de basis van je systeem te liggen en niet daar bovenop”, stelt Toffer Winslow, directeur product management van RSA Security. Verwarring over de definitie van identiteitsbeheer bemoeilijkt de invoering ervan, terwijl steeds strengere regelgeving juist zwaardere eisen stelt.
Volgens RSA Security is identiteitsbeheer geen nieuw modewoord maar dient het een duidelijke doel. Transparantie binnen de onderneming moet ook gaan gelden voor het brede scala aan zowel menselijke als digitale identiteiten.
“Het probleem met identiteitsmanagement is dat verschillende definities rondgaan”, zegt Winslow. “Vraag aan tien mensen uit het vak waar identiteitsbeheer over gaat en je krijgt elf verschillende antwoorden. Twee daarvan beslaan het werkelijke spectrum, want nog te vaak worden gebruikers- en identiteitsbeheer door elkaar gehaald. Bij identiteitsbeheer gaat het erom dat niet alleen gebruikers maar ook ‘devices’ en applicaties worden geauthenticeerd, geautoriseerd en gekoppeld aan andere applicaties, directories en databases.”
Beveiliging
Winslow gelooft dat de aandacht voor identiteitsbeheer breed moet zijn omdat de wetgever steeds zwaardere eisen stelt aan transparantie. Regelgeving als Sarbanes Oxley, Basel II en de Amerikaanse ‘antiterrorisme’ Patriot Act vereisen een actievere aanpak van beveiliging.
“In mijn optiek zijn naleving van regelgeving en beveiliging twee kanten van dezelfde munt. Neem de huidige wetgeving in Californië, die stelt dat wanneer je systemen zijn gecompromitteerd, je iedereen die van die systemen gebruik heeft gemaakt op de hoogte moet stellen. Binnen je eigen onderneming is dat geen probleem, maar het eigen netwerk maakt tegenwoordig deel uit van een groter geheel. Neem een bedrijf dat gebruik maakt van toeleveringsketenmanagement. Dan zijn ook al je toeleveranciers en klanten op jouw systeem aangesloten. Je moet dus weten wie wanneer waar is geweest. In Europa is die regelgeving nu nog niet zo strikt en zijn er veel nuanceverschillen met de Verenigde Staten. Toch gaat ook hier naleving van de regelgeving een grote rol spelen. Ondernemingen met enige omgang hebben simpelweg geen andere keus dan mee te gaan in die ontwikkeling.”
“Als we naar de markt kijken, hebben bedrijven als IBM en Oracle allemaal hun eigen raamwerk. Daar begint volgens ons dan ook het probleem. Van de veertien leveranciers en analisten die we hebben onderzocht, is het gros het erover eens dat identiteitsbeheer gaat over directories, databases en gebruikersbeheer. Er zijn echter maar een paar partijen die ook vinden dat autorisatie, authenticatie en applicatie-integratie daaronder vallen. We zien dat de suites die de verschillende leveranciers als identiteitsbeheer aanbieden slechts een deel van het totaal behelzen. Ons bedrijf meent juist dat het geheel moet worden meegenomen, anders ontbreken essentiële veiligheidsvraagstukken die uiteindelijk wel van belang zijn.”
Aan elkaar knopen
“We hoeven het wiel niet opnieuw uit te vinden,” zegt Winslow over de rol die zijn werkgever in deze markt wil spelen. “De wereld zit niet te wachten op weer een nieuwe oplossing. Het gaat erom dat er iemand is die oplossingen van andere partijen aan elkaar weet te knopen en daar eigen expertise aan toevoegt. Op de servers van een gemiddelde onderneming draaien meerdere oplossingen van verschillende leveranciers naast elkaar. Je kunt van bijvoorbeeld Sun, IBM of CA niet verwachten dat zij aansluiten op voor hen concurrerende systemen. Als je een .NET-omgeving hebt met een Oracle-backend, denk dan niet dat IBM de uitgelezen partner is voor identiteitsmanagement. Daar is een neutrale partij voor nodig die alles weet te integreren.”
Onlangs staakten Sun Microsystems en Microsoft hun jarenlange concurrentiestrijd door de specificaties van hun sso (single sign-on) vrij te geven. Winslow is vooralsnog sceptisch en denkt niet dat het al in de directe toekomst tot werkelijke samenwerking zal leiden. “Ik geloof dat het in dit stadium nog vooral gaat om mooie koppen in de vakpers. Echte samenwerking op dit vlak laat nog wel even op zich wachten. Ze zullen ongetwijfeld op bepaalde vlakken collaboreren, maar uiteindelijk zijn het toch concurrenten van elkaar.”
Winslow denkt ook niet dat er ooit een vaste, allesomvattende standaard komt. “Identiteitsbeheer is dermate breed georiënteerd dat ik niet geloof in een uniforme standaard. Er zullen altijd verschillende oplossingen blijven die verbonden moeten worden met saml (security assertion markup language, red) of andere, nog te ontwikkelen standaarden. Uiteindelijk moeten er voor fabrikanten namelijk manieren zijn om zich te onderscheiden. Het is helemaal niet in hun belang om van identiteitsbeheer een massaproduct te maken, al zou dat vanuit beveiligingsperspectief misschien wel wenselijk zijn.”
Mooie blauwe ogen
Volgens Winslow gaan it-managers bij de keuze voor een identiteitsbeheeroplossing nog te vaak af op brochureteksten en de ‘mooie blauwe ogen’ van hun leveranciers. “Identiteitsbeheer zet je niet op om het over een paar jaar te evalueren en dan te beseffen dat een andere oplossing misschien beter was geweest. Daarvoor grijpt het te diep in de organisatie in. Bedrijven zouden vaker moeten testen om in de praktijk te ondervinden of een aangedragen oplossing echt past bij hun onderneming en aansluit op alle applicaties en middleware.”
“Ik realiseer me dat dit een behoorlijke investering vergt, maar juist omdat identiteitsbeheer aan de basis van je systeem hoort te liggen en niet daar bovenop, is het die investering dubbel en dwars waard. We zien dat het gemakkelijker is geworden om directies daarvan te overtuigen. Het betreft niet langer de wens van het it-management om grondig te zijn. De wet en de aandeelhouders gaan hen die transparantie opleggen.”
