It-managers en security officers nemen de puinhoop die ontstaat in rechtenstructuur vaak voor lief. Tijden veranderen. In plaats van een jaarlijkse controle door een audit, en vervolgens een uitgebreide opschoonactie, zijn organisaties nu op zoek naar een oplossing om continu in controle te zijn over de identiteiten in hun netwerk, hun lifecycle en hun autorisaties. Waardoor komt deze veranderde vraag?
Wanneer ik in het verleden bij it-managers en security officers aan tafel mocht komen, was deze samenkomst vaak gedreven door een audit in de nabije toekomst of juist door een uitgevoerde audit waar een lijst van aanbevelingen uit voortkwam. In beide gevallen werd de audit gezien als iets dat lastig en vervelend is. Vaak werden de aanbevelingen die uit de audit voortkwamen genegeerd omdat ze niet verplicht waren. Zo kon het zijn dat de lijst met aanbevelingen nog identiek was aan de lijst van het afgelopen jaar. Het oplossen van de issues rondom autorisaties is namelijk zeer complex, kost veel resources en het ontbreekt organisaties aan de expertise om het voor elkaar te krijgen. It-managers en security officers nemen daarom de puinhoop die ontstaat in rechtenstructuur vaak voor lief.
Tijden veranderen en organisaties ondervinden intern nu veel hinder wanneer zij de rechtenstructuur niet goed op orde hebben. In plaats van een jaarlijkse controle door een audit, en vervolgens een uitgebreide opschoonactie, zijn organisaties nu op zoek naar een oplossing om continu in controle te zijn over de identiteiten in hun netwerk, hun lifecycle en hun autorisaties. Waardoor komt deze veranderde vraag?
Bredere informatie-ontsluiting
Deze vraag komt voort uit een recente ontwikkeling dat informatie steeds breder ontsloten moet worden. Naast personeelsleden moeten en willen ook steeds meer externe personen toegang hebben tot (delen van) informatie en informatiesystemen. Neem bijvoorbeeld een groothandel die een portal voor zijn klanten biedt om bestellingen te kunnen doen of facturen te kunnen downloaden. Bij lokale overheden bijvoorbeeld moeten burgers steeds vaker toegang kunnen hebben tot informatiesystemen van de gemeenten. En binnen de zorg hebben patiënten steeds meer de mogelijkheid om hun eigen medische gegevens in te zien.
Organisaties nemen de eerste stappen en bouwen naast hun Active Directory ook een LDAP-store op om brede toegang tot informatiesystemen mogelijk te maken. Dit betekent dat naast medewerkers nu ook externen bekend moeten worden gemaakt binnen het netwerk (provisioning). Er is een user ID nodig en mensen moeten zich authentiseren om toegang te krijgen tot de informatiesystemen.
Wanneer het gaat om informatievoorziening naar externe partijen zijn er twee zaken van belang. Ten eerste is de kwaliteit van de informatie zeer belangrijk. De informatievoorziening moet consistent en van hoogstaande kwaliteit zijn, het gaat tenslotte om klanten. Daarnaast geldt voor externen nog meer dan interne klanten dat de organisatie in controle is over de autorisaties.
Het is noodzakelijk om het user account van een interne medewerker tijdig te blokkeren wanneer hij de organisatie verlaat, zodat hij/zij geen toegang meer heeft tot gevoelige gegevens wanneer zij uit dienst zijn getreden. Wanneer het gaat om externe klanten is het belang nog groter, omdat er vaak een geldbedrag mee gemoeid is. Een klant die zijn betalingen niet voldoet, zou geen toegang (autorisatie) meer moeten hebben tot de service. Kortom, bij interne klanten gaat het om security, bij externe klanten om kosten.
Continue audits
Bredere informatie-ontsluiting is dus de voornaamste reden waarom organisaties meer in controle willen zijn over identiteiten, hun lifecycle en autorisaties. Maar hoe doe je dat nu? Hoe kun je als it-manager en security officer continu een audit uit laten voeren?
De tip en trend is om dit soort taken bij ict weg te halen en te verschuiven naar de organisatie. Laat de organisatie zichzelf continu auditen in plaats van een jaarlijkse audit door ict. Om dit te kunnen doen moeten organisaties een flinke slag slaan met het vertalen van ict-gerelateerde events naar business events. Die events kunnen aangeboden worden middels een self service dashboard, mits de events begrijpelijk en uitvoerbaar zijn.
Bijvoorbeeld, wanneer een manager op zijn dashboard ziet dat een nieuwe medewerker gisteren is toegevoegd aan een nieuwe AD-group, dan moet voor hem precies duidelijk zijn welke actie van hem wordt verwacht. De manager kan besluiten dat dit een wijziging betreft die een hoge risico-waarde met zich meebrengt en dat hij in het vervolg deze autorisaties eerst wil goedkeuren. Het kan ook zijn dat de manager de autorisatie over het algemeen prima vindt en in het vervolg de melding voor de eerstkomende drie maanden niet meer in zijn dashboard wil zien. Ook zou de manager kunnen beslissen dat de toewijzing ongedaan moet worden gemaakt of dat de autorisatie een bepaalde looptijd meekrijgt.
Self service
Hoe richt je nu zo’n self service portal in zodat het voor de business begrijpelijk is? Dat kan op een heel pragmatische manier. In de eerste stap identificeer je de meest voorkomende changes die binnenkomen op de service desk. Uit ervaring weet ik dat dat gaat om wachtwoord reset calls en een aanvraag voor logische (applicaties en systemen) of fysieke toegang. De eerste, wachtwoord reset calls, is vrij eenvoudig om self service aan te bieden. Er bestaat software waarbij eindgebruikers zelf hun eigen wachtwoord kunnen resetten nadat zij zich geauthentiseerd hebben met een aantal persoonlijke vragen.
Wanneer het gaat om aanvraag voor logische toegang is het mogelijk om dit verder uit te diepen. Voor welke applicaties of mappen wordt het vaakst rechten aangevraagd? Per applicatie kun je vervolgens een eigenaar aanwijzen. Bij applicaties met een hoog risico is akkoord van de financiële administratie nodig. Bij applicaties met hoge licentiekosten is dat misschien een licentiemanager. Zo verschuif je geleidelijk het eigenaarschap van het toekennen van autorisaties en beheren van identiteiten naar de organisatie. De organisatie heeft zo de mogelijkheid om continu zichzelf te auditen.
Ik denk dat iedereen de trend wel ziet dat zelfcontrole steeds belangtijker wordt dan het externe stempeltje. Zelfs randvoorwaardelijk als je het echt goed wilt doen. Het gaat steeds meer om kwaliteit en die moet je toch echt zelf borgen.
In het bovenstaande artikel is een praktisch voorbeeld gegeven van het inrichten van IAM en zelfcontrole. Ook boeiend is het te hebben over de organisatorische aspecten: hoe stuur je op bijvoorbeeld meer kwaliteit in code. Of in je beheeractiviteiten?
Uit de praktijk weet ik dat dat ook goed praktisch te maken is door amibities neer te zetten, deze praktisch te maken en hierop te sturen. Via zelf controles, interne controles en ook de externe audits. Combineer daarbij top-down sturing met bottom-up best practices.
Meer hierover? Zie: http://securitysander.wordpress.com/2014/02/27/audits-zelfcontrole/
Samenwerking met externe leveranciers en partners, informatievoorziening in de keten en automatiseren van (ict)processen zijn voorbeelden van onderwerpen die steeds voor je business en businessmodel belangrijker worden. Identity & Access Management (IDM/ AM)is in dit geval het sleutelwoord.
Het herinrichten van je werkprocessen voor een IDM / AM is niet altijd eenvoudig. Daarnaast is het ook zeer belangrijk om te kijken welke oplossing bij je past. Je gaat je businessprocessen flexibel maken maar als je IDM/AM product geen flexibiliteit in de toekomst biedt dan heb je er niks aan. Er zijn oplossingen die van buitenkant er mooi uitzien maar van binnen niks meer zijn dan een scripting-box die alleen maar extra werk voor je ict afdeling met zich meebrengen. Er zijn ook oplossingen die niet modulaire gebouwd zijn waardoor je met een desinvestering geconfronteerd wordt als je de functionaliteiten verder wilt uitbreiden.
Onderschat IDM/AM niet, je kunt er veel mee en je moet ook weten hoe je PvE op moet stellen om tot een juist product te komen.