inhoud Authentication is the key en Control en IAM - oplossing Een klantvoorbeeld www.thauco.com Versie 5 6-12-2010 The Authentication Company 1 Soorten: Identificatie: Wie ben jij? Verificatie: ben je wie je zegt dat je bent? Factoren: Kennis: Wachtwoorden, PIN, Bezit: sleutels, tokens (USB, OTP, calculators), kaarten (contactloos smartcards), Lichaam: vinger, iris, retina, hand, gezicht, vingerader, palmader, stem, schrijven, Betrouwbaarheid: Uitgifte Overdraagbaarheid Kopieerbaarheid 6-12-2010 Sterkte Lichaam + Bezit + Kennis Lichaam+ Bezit Lichaam + Kennis Bezit + Kennis Lichaam Bezit Kennis Sterke Standaard The Authentication Company 2 1
Het authenticatie probleem Veel organisaties vertrouwen nog steeds op wachtwoorden. Veel gebruikersfouten, -verwarring en irritatie Spanning tussen wachtwoordbeleid en gebruikersvriendelijkheid. Wachtwoordmanagement wordt een serieuze kostenpost (o.a. password resets). Veel verschillende authenticatie middelen naast elkaar (veel verschillende wachtwoorden, tokens, sleutels, kaarten, ) Vaak functionele i.p.v. persoonlijke authenticatie (groepen, vervanging, delegatie) Problemen met bewijzen compliance Gescheiden middelen voor fysieke en logische toegang (c) Authasas-confidential, 2010 3 Visie Goede authenticatie en access control wordt een steeds belangrijkere succesfactor in onze fysieke en virtuele wereldwijde samenleving/maatschappij! Waarom is adequate access control belangrijk? 1. Bescherm ing t egen diefst al van: Goederen, geld, informatie, enz. (alles van waarde) In de fysieke wereld, eigen (logische) netwerken, internet en off-line Externe en interne dreiging 2. Bescherm ing t egen fraude en vandalism e (o.a. hackers, terrorisme ) 3. Voldoen aan w et t elij ke eisen (o.a. privacy, compliance) 4. Laagdrempelig genoeg voor gebruikers (discipline) 5. Eenvoudig te beheren 6. Controleerbaarheid handelen (compliance) 7. Posit ieve business case voor organisatie 6-12-2010 The Authentication Company 4 2
De 4 A s 6-12-2010 The Authentication Company 5 De 4 A s, Ben je wie je zegt dat je bent 3 factoren: Bezit (pas, token, RFID-, smartcard) Kennis (PIN, wachtwoord) Biometrie (vinger, iris, hand, stem, ader) Sterke authenticatie PIN+pas Biometrie+pas Username/password+telefoon (SMS) 6-12-2010 The Authentication Company 6 3
De 4 A s, Wat mag je? (rechten) Classificatie informatie (en andere assets) Single sign-on (SSO), Reduced sign-on (RSO) Wie bepaalt dat dan? (lijnmanagement) Life cycle management Veelal veel vervuiling in ID-registers Compliance (controllers, AO/IC) 6-12-2010 The Authentication Company 7 De 4 A s, 4 domeinen: fysiek (gebouwen, terreinen, ruimtes) Logisch (bedrijfsnetwerken) Internet (remote, the world) Off line (laptops, memory sticks) wildgroei van oplossingen verdeelde verantwoordelijkheid Trend integratie fysiek en logisch 6-12-2010 The Authentication Company 8 4
De 4 A s, Audittrail Audittrail Logging Reporting (management, compliance) Accounting (verrekening) violations (patronen, steekproeven) Alarmen en escalaties 6-12-2010 The Authentication Company 9 IAM- leercurve 6-12-2010 The Authentication Company 10 5
leercurve voor IAM Governance Organische 6-12-2010 The Authentication Company 11 leercurve voor IAM Verbeteren authenticatie -Nadruk op gemak -Invoeren SSO en strong authentication -User life cycle management -Knelpunten access control oplossen -Positieve business case Iam Governance Organische 6-12-2010 The Authentication Company 12 6
leercurve voor IAM Verbeteren autorisatie en access -Nadruk op toegang en classificatie assets -Invoeren IAM - life cycle management -Geerde invoering IAM-systeem (groei) -> Neutrale business case -Voordeel voor beheerders IAm Governance Organische 6-12-2010 The Authentication Company 13 leercurve voor IAM Verbeteren governance - Nadruk op bewaken beheren en managen - control life cycle management -Geerde invoering RBAC -> Neutrale business case -Voordeel voor management en compliance IAM Governance Organische 6-12-2010 The Authentication Company 14 7
Mensen Gebruikers: gemak Beheerders: eenvoud Management: ROI Controllers/CISO: compliance rest of the world:???? impact Organisatie Beheerprocessen (4 A s) Heldere verantwoordelijkheden Voorlichting (WIIFM) Discipline ICT 6-12-2010 The Authentication Company 15 control architectuur Fysieke toegang, methoden (Authenticators) management systeem Audit & Security management systeem Single Sign- on Mgnt. systemen Logische Toegang (MS, SAP, Oracle,..), User Directories AD, LDAP, internet Toegang applicaties Gebruikers Anywhere Anytime Anyplace Provisioning & logistiek Identity Mgnt. Off line Toegang 6-12-2010 The Authentication Company 16 8
Een voorbeeld aanpak Centrale rol voor draaiboek (learning loop) Gebaseerd op best practises Gebaseerd op Prince-2 6-12-2010 The Authentication Company 17 Swiss army knife 6-12-2010 The Authentication Company 18 9
En verder.. Ombudsman: Heel tevreden klant Goeie referentie Wederzijds goeie deal Vragen?? 6-12-2010 The Authentication Company 19 Voorbeeld implementatie 10