‘Zeg me wie u bent’

Gedegen kennis over wie toegang heeft tot applicaties, opslaggebieden of servers is een belangrijke basis voor een goede informatiebeveiliging. Dat lijkt vanzelfsprekend. Door de complexe ict-infrastructuur bij veel organisaties is dat in de praktijk echter nog niet zo.

Bij de gemiddelde organisatie lopen tientallen tot duizenden mensen rond die voor hun werk afhankelijk zijn van toegang tot webservers en applicaties. Voor iedere gebruiker geldt dat hij vaak maar een beperkte toegang heeft tot de beschikbare resources. De receptioniste moet tenslotte niet dezelfde bestanden in kunnen kijken als de financieel directeur. Het beheren van die gebruikers en hun toegang op de systemen wordt identity management (idm) genoemd. Dat lijkt simpel, maar de term kent nogal wat verschillende definities, waardoor de discussie soms wat vertroebeld raakt. “Dat is absoluut waar”, lacht Rob Greuter, senior adviseur informatiebeveiliging van NedSecure. “Identity management kan je zo breed of smal definiëren als je zelf wilt, maar feitelijk is het niets anders dan het geheel aan mensen, middelen en processen dat binnen de organisatie wordt ingezet om het beheer van identiteiten en daarmee de toegang tot informatie effectief te regelen gedurende de hele levenscyclus van zo’n identiteit.”

De leveranciers geven echter hun eigen specifieke invulling aan idm. “Als je naar de definities van de fabrikanten kijkt, blijken de verschillende idm-oplossingen op essentiële delen toch van elkaar te verschillen. Deze interpretaties zijn voor een belangrijk deel gelieerd aan wat een fabrikant kan waarmaken. Soms bedoelen ze het beheer van toegangsmiddelen, soms gaat het alleen over het beheer van hulpmiddelen voor toegang en bij anderen is het beperkt tot het beheer van gebruikers en hun wachtwoorden. Daardoor wordt het lastig om ze naast elkaar te leggen.”

Organisatieverandering

“In feite is identificatie het vaststellen van de identiteit van de gebruiker volgens het Zeg-me-maar-wie-je-bent-principe”, legt Greuter uit. “Vervolgens is er een aantal verschillende manieren hoe je daarmee om kan gaan. Op dit moment ligt de focus van idm misschien nog erg op de gebruiker zelf, maar uiteindelijk gaan we volgens mij veel meer richting een focus gebaseerd op de rol die iemand in de organisatie vervult. Daarmee wordt de beheerinspanning namelijk enorm gereduceerd. In plaats dat je bij een grote organisatie tienduizenden gebruikers moet identificeren, kan je volstaan met misschien een paar honderd profielen op basis van functieomschrijvingen. Als iemand de organisatie binnenkomt als inkoopmedewerker, dan hoef je slechts het profiel Inkoopmedewerker te pakken en daar alleen nog maar de gebruiker aan te koppelen.” Op deze manier kan er bij elke idm-implementatie veel aandacht besteed worden aan de menselijke factor. Greuter: “Daar gaat ook verreweg het meeste werk inzitten. Dat begint al bij de communicatie. Als je zo’n project, waar je toch al snel een paar jaar in moet steken, aanpakt, moet je zorgvuldig naar de organisatie communiceren wat je van plan bent en waarom je dat doet. Als je dat duidelijk weet te maken en iedereen begrijpt wat de bedoeling is, valt in één klap de weerstand weg. Weerstand zul je hier namelijk altijd krijgen. Werknemers hebben bij de invoering van idm altijd eerst het idee dat hun beweegruimte wordt ingeperkt. Bij ‘identity management’ komt ontzettend veel technologie kijken. Uiteindelijk is het echter voor zeker zeventig procent een organisatieverandering.”

Er is nog veel te doen

Volgens Arjen van Zanten van KPMG Information Risk Management is idm nu misschien een modewoord, maar zijn bedrijven er in feite al jaren mee bezig. Van Zanten vertelt dat hij tijdens presentaties regelmatig een dia laat zien met allemaal kreten rond idm. “Als ik de zaal vervolgens vraag of ze met één of meer van deze dingen bezig zijn, dan steekt vrijwel iedereen z’n hand op. Bizar is wel dat wanneer je daarna vraagt of zij een overzicht hebben van welke mensen binnen hun organisatie toegang hebben tot specifieke bronnen een behoorlijk deel daar geen antwoord op kan geven. Dat men dit niet weet, laat zien dat er nog veel te doen is. Dat wordt met de toenemende vraag naar ketenintegratie alleen nog maar sterker, want dan krijgen ook werknemers van buiten de eigen organisatie de sleutels tot de belangrijke bronnen van de onderneming. Met Security Assertion Markup Language (SAML) gaan we daar vanuit technologisch oogpunt overigens wel een behoorlijke slag in maken. Het is dus belangrijk dat organisaties al hun losse projecten op dit vlak binnen één overkoepelend programma brengen, zodat er een geïntegreerde eenheid ontstaat. Idm is nu nog te vaak een it-feestje, terwijl autorisatie puur een businessproces is.”

Geen periodieke keuring

Volgens Van Zanten hebben veel bedrijven het lastig met hun veiligheidsvraagstukken. “De risico’s die een organisatie loopt zijn simpelweg nog niet bekend genoeg. In een onlangs door ons gehouden onderzoek bleek dat 47 procent van de ondervraagde bedrijven niet beschikten over een risicoanalyse. Dat is een fors aantal. Dit betekent dat het flink schort op het gebied van beleid, terwijl daar nu juist bepaald wordt aan welke onderdelen nog gewerkt moet worden. Zo krijg je dat er verschillende eilanden binnen een organisatie ontstaan die zich met verschillende onderdelen van informatiebeveiliging bezighouden. Hierdoor ontbreekt de samenhang en er ontstaan grote risico’s. Uit ons onderzoek bleek bijvoorbeeld dat maar één op de tien bedrijven de autorisaties in één systeem geregistreerd had. Men had gemiddeld een week nodig om een nieuwe medewerker de juiste autorisaties te geven.” Opvallend in het onderzoek is verder dat bijna de helft van de organisaties deze autorisaties in z’n geheel niet of niet periodiek beoordeelt op juistheid.