Identity & Access Management



Vergelijkbare documenten
Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1.

Meer Business mogelijk maken met Identity Management

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit

Advies. Advies over en ondersteuning bij het (initieel) inrichten/optimaliseren van de structuur van de(it Service Management)organisatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals. SIS finance

Business Impact Anlayses worden in de meeste organisaties eens per jaar of eens per halfjaar geactualiseerd en bevatten meestal beschrijvingen van:

Logische Toegangs Beveiliging

Business Risk Management? Dan eerst data op orde!

KIM. Slimme acties ondernemen

BEVEILIGINGSARCHITECTUUR

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Whitepaper. Ligt u s nachts ook wakker van alle commotie rondom nieuwe regelgeving of normering? Compliance Management

Factsheet SECURITY SCANNING Managed Services

Zou het niet iedeaal zijn

Single sign on kan dé oplossing zijn

BeheerVisie ondersteunt StUF-ZKN 3.10

Authentication is the key

Informatiebeveiliging voor gemeenten: een helder stappenplan

Identity Management Gebruikers en Rechten in Beheer (GRiB)

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

Tips & Tricks: Tip van de maand januari 2009

Van Samenhang naar Verbinding

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

NDERE KIJK OP ICT CONSULTANCY

VAN DUIZEND BLOEMEN NAAR EEN HORTUS BOTANICUS Het Portaal 21 januari 2010 sambo~ict Coen Free Faraday van der Linden Maarten van den Dungen

SIS FINANCE. voor professionals door professionals. consulting. interim management. finance professionals SIS. finance

Factsheet SECURITY CONSULTANCY Managed Services

Whitepaper implementatie workflow in een organisatie

Waarde creatie door Contract Management

I T S X. Informatiebeveiliging, IT Audit & Compliance, Security as a Service, Risicomanagement, Educatie

IAM en Cloud Computing

CIOT-bevragingen Proces en rechtmatigheid

RESULTAATGERICHT ORGANISEREN

ICT Management. Leerprocessen en hun invloed op de kwaliteit van IT-servicemanagement. Kortere terugverdientijd door het versnellen van het leerproces

ERP Testing. HP Nijhof. Testmanager. Testnet November 2005

ISO 27001:2013 INFORMATIE VOOR KLANTEN

ISO Informatiebeveiliging

Whitepaper ERP Vreemde ogen

AVG Routeplanner voor woningcorporaties

VORM GEVEN AAN VISIE

Factsheet SECURITY SCANNING Managed Services

Verklaring van Toepasselijkheid

Whitepaper. Hoe de kans op een succesvolle ERP-implementatie te vergroten. ..het effect van vreemde ogen.. VERTROUWELIJK.

Canon s visie op digitale transformatie van organisaties. you can

WHITE PAPER. Business Solutions

Factsheet Penetratietest Informatievoorziening

Rapportage Pizzasessie Functioneel-beheer.com Specialisten Managers Adviseurs Algemeen functioneel beheer applicatiebeheer informatiemanagement

Helpdesk; service management; ITSM; IT Service Management; RES; IT automation

WHO NEEDS ENEMIES WAAR DIENT U OP TE LETTEN? De BrainCheck is o.a.

Factsheet CONTINUOUS VALUE DELIVERY Mirabeau

MKB Cloudpartner Informatie TPM & ISAE

Portfoliomanagement software van Thinking Portfolio

Canon s visie op digitale transformatie van organisaties. you can

Agenda Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

Eén, twee of alle disciplines op weg naar één centraal self service portaal

Uitkomsten onderzoek Controle en Vertrouwen. 7 mei 2012

Registratie Data Verslaglegging

HOE DE KANS OP EEN SUCCESVOLLE ERP- IMPLEMENTATIE TE VERGROTEN

Dragon1 EA Tool. Business case webbased EA tool. Een webbased EA tool geschikt voor elke architectuurmethode!

Quick scan data kwaliteit. Andre Bal

Taakcluster Operationeel support

Professionalisering van Levensduurverlenging

87% Application Services. Verhoog de efficiëntie en de prestaties van uw bedrijfsactiviteiten. Optimaliseer uw informatiestromen

ICT EN INFORMATIEBELEIDSPLAN

IT-audit in vogelvlucht. Jeanot de Boer 24 april 2012

Historische informatie in een Spatial Dynamisch Data Warehouse. Wil de Jong Enterprise Architect

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Programma Borging veilige gegevensuitwisseling via Suwinet Implementatie gemeenten. Startbijeenkomsten 12 provincies september 2016

Business Control binnen de gemeente DATA GOVERNANCE. Gerrit Duits MSc. CPC Alisa Westerhof MSc. 22 maart 2016

0.1 Opzet Marijn van Schoote 4 januari 2016

5 GOUDEN TIPS VOOR HELDER ONLINE PROJECTMANAGEMENT IN HET MKB

Business Process Management

Technisch projectmedewerker

MKB ICT-onderzoek 2009

Management. Analyse Sourcing Management

Cloud services: aantrekkelijk, maar implementeer zorgvuldig

Meldplicht Datalekken: bent u er klaar voor?

Hoe u met e-hrm verzuimkosten aanpakt

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Volgende stap in identity en accessmanagement. Rick Ruumpol (ROC van Twente) - Red Spider Vereniging Hendri Boer (Aventus) Infrastructuur specialist

GOVERNANCE, RISK & COMPLIANCE WHITEPAPER

Enterprise Resource Planning. Hoofdstuk 1

BISL Business Information Services Library. Een introductie. Algemene informatie voor medewerkers van SYSQA B.V.

Factsheet SECURITY DESIGN Managed Services

Data-analyse in de praktijk D E T O E PA S S I N G B I J V I S S E R & V I S S E R A C C O U N TA N T S - B E L A S T I N G A D V I S E U R S

Factsheet DATALEKKEN COMPLIANT Managed Services

E-resultaat aanpak. Meer aanvragen en verkopen door uw online klant centraal te stellen

Zet de stap naar certificering!

Het Analytical Capability Maturity Model

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

Identify and mitigate your IT risk

Sourcing realiseert u onder andere met behulp van een van de volgende oplossingsrichtingen:

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

We helpen u security-incidenten te voorkomen

Identity Management. Risico s en kansen binnen het kader van de jaarrekeningcontrole. Drs. J. Visser Drs. M.P. Hof

OFFICE 365 REGIEDIENST. Onderdeel van de clouddiensten van SURF

De organisatorische (trein)reis naar een Shared Service Center bij de Nederlandse Spoorwegen

Een Information Security Management System: iedereen moet het, niemand doet het.

Transcriptie:

Identity & Access Management Whitepaper Rolf Emmens Information Consultant Security Deze whitepaper laat u de Inter Access visie op en de aanpak rondom de implementatie van Identity & Access Management zien. Koos Jennekens Information Consultant Beheertooling Paul de Koning Project Manager Peter Louwerse Technical Consultant Microsoft Karel van Oort Information Consultant Security Bettina Witteveen Information Consultant Service Mngt versie 2007 Inter Access 2007

Inhoudsopgave Voorwoord...3 1. Waarom Identity & Access Management?...4 1.1 Operational Efficiency (Efficiënte bedrijfsprocessen)...4 1.2 Cost Containment (Kostenbeheersing)...5 1.3 Risk Management (Risicobeheersing)...5 1.4 Business Facilitation (Ondersteuning/ faciliteren van de business)...5 1.5 Regulatory Compliance (Voldoen aan Wet- en Regelgeving)...6 2. Definitie...7 3. De Inter Access Methode voor Identity & Access Management...9 3.1 Think...9 3.2 Build... 10 3.3 Transform... 10 3.4 Operate... 11 4. Resources... 14 5. Conclusie... 15 2

De Inter Access Methode voor Identity & Access Management IAM voor IAM Whitepaper Voorwoord Kunt u een rapportage krijgen over de actuele stand van zaken van de autorisatie van uw medewerkers? Zo ja, neemt het aanleveren van rapportages met de actuele stand van zaken van de autorisaties van medewerkers meerdere dagen in beslag? Krijgt u hoofdpijn van alle wetten en regels waar uw organisatie aan moet voldoen? Ontstaat er een lichte paniek in uw organisatie als er een security audit voor de deur staat? Laat u een nieuwe medewerker ook wel eens een dag of twee onder andermans account werken, omdat het aanvragen van een nieuw account veel te lang duurt? Moet uw IT organisatie een periodieke opschoonactie uitvoeren om gebruikersaccounts te vergelijken met de in- en uitdienst meldingen van HR? Zijn er medewerkers binnen uw organisatie die beschikken over rechten die ze feitelijk niet (meer) nodig hebben? Besteedt de ICT helpdesk een groot percentage van calls aan het resetten van wachtwoorden of het corrigeren van onjuiste autorisaties? Klagen eindgebruikers in uw organisatie ook regelmatig over de veelheid aan accounts en wachtwoorden die ze moeten onthouden? MEDIA AANDACHT Diverse organisaties hebben even diverse redenen om aandacht te besteden aan Identity & Access Management (IAM). Met de toenemende aandacht in de media voor schrijnende lekken in informatie beveiliging (een USB stick van de politie die gevonden wordt, een laptop van een AIVD medewerker, tot aan de persoonlijke papieren van Hare Majesteit) worden organisaties zich steeds bewuster van de noodzaak tot informatiebeveiliging. Het implementeren van IAM hoeft echter niet altijd een pure security achtergrond te hebben, maar kan ook vanuit efficiëntie- en effectiviteitoogpunt geïmplementeerd worden. VISIE EN AANPAK Kort gezegd draait het bij IAM uiteindelijk maar om één ding; De juiste informatie toegankelijk voor de juiste personen. In deze whitepaper willen wij u graag de Inter Access visie op en de aanpak rondom de implementatie van Identity & Access Management toelichten. 3

1. Waarom Identity & Access Management? INFORMATIEBEVEILIGING EN COMPLIANCE BEDRIJFSKRITISCHE INFORMATIE BEDRIJFSVOORDELEN Identity & Access Management wordt vaak direct geassocieerd met informatiebeveiliging en compliance. Veel organisaties hebben te maken met wet- en regelgeving die hen verplicht om aan te tonen. Denk aan de Sarbanes-Oxley wet die van toepassing is op bedrijven die genoteerd zijn aan de Amerikaans beurzen of bedrijven die toeleverancier zijn van een in de VS genoteerd bedrijf. Deze, en andere wet- en regelgeving, verplicht bedrijven o.a. aan te kunnen tonen dat ze de logische toegangsbeveiliging tot hun ITsystemen onder controle hebben. Daarnaast blijkt uit onderzoek1 dat het merendeel van de problemen, als gevolg van ongeautoriseerde toegang tot bedrijfskritische informatie, zijn oorsprong vindt binnen de bedrijven zelf. Het gevaar komt dus in mindere mate van buiten en meer van binnen de organisatie. Maar wist u dat IAM ingezet kan worden om een veel breder scala aan voordelen te behalen? Gartner2 noemt onder andere de volgende bedrijfsvoordelen die een organisatie kunnen aanzetten tot de invoering van Identity & Access Management: Operational Efficiency; Cost Containment; Risk Management; Business Facilitation; Regulatory Compliance. Deze bedrijfsvoordelen worden hieronder toegelicht. 1.1 Operational Efficiency (Efficiënte bedrijfsprocessen) EFFICIËNTE BEDRIJFSPROCESSEN Door het automatiseren van arbeidsintensieve taken, zoals het aanmaken/wijzigen en verwijderen van accounts en bijbehorende autorisaties wordt de beheeromgeving ontlast. De werkzaamheden van de medewerkers die belast zijn met autorisatiebeheer verschuiven van uitvoerend naar controlerend. De huidige bezetting is beter in staat om de groei van de onderneming op te vangen. Hoewel Gartner deze efficiëntie een bedrijfsvoordeel op zich noemt, ziet Inter Access de efficiëntere manier van beheer niet als doel op zich, maar als middel, onder andere om te komen tot kostenreductie en beheersing. 4

1.2 Cost Containment (Kostenbeheersing) KOSTENBEHEERSING In onderstaande figuur worden een aantal voorbeelden gegeven van mogelijke besparingen door de invoering van Identity & Access Management. Figuur 1 Kostenbeheersing met Identity & Access Management 1.3 Risk Management (Risicobeheersing) RISICOBEHEERSING Gemiddeld 30-60% van de gebruikeraccounts zijn toegewezen aan medewerkers die niet meer in dienst zijn¹. Daarmee hebben zij mogelijk nog steeds toegang tot gevoelige informatie en kunnen zij deze informatie misschien zelfs nog muteren. Dit is slechts één voorbeeld van een risico dat u kunt voorkomen door de invoering van Identity & Access Management. Meer voorbeelden zijn dat: mensen toegang hebben tot verkeerde (niet voor hen bestemde) informatie; vertrouwelijke informatie op straat komt te liggen; medewerkers bij ontslag bedrijfsinformatie meenemen naar concurrenten; medewerkers wachtwoorden voor de diverse accounts opschrijven omdat ze zoveel moeten onthouden; medewerkers na afloop van inhuur, uitdiensttreding of ontslag nog geruime tijd een werkend account hebben. 1.4 Business Facilitation (Ondersteuning/ faciliteren van de business) Identity & Access Management heeft vaak nog een sterk ICT label en wordt in een adem genoemd met informatiebeveiliging. De faciliterende rol van IAM is nog onderbelicht. IAM kan de business direct faciliteren en ondersteunen door het terugdringen van de time-to-market van producten en medewerkers. 5

ONDERSTEUNING / FACILITEREN VAN DE BUSINESS Uit onderzoek¹ is gebleken dat het gemiddeld 12 dagen duurt voordat een nieuwe medewerker een account en de juiste toegangsrechten heeft en dus productief kan zijn. Met de steeds flexibeler wordende arbeidsmarkt betekent deze doorlooptijd een flinke (onzichtbare) kostenpost. Steeds vaker worden medewerkers op korte termijn ingezet. Als deze mensen vervolgens 12 dagen wachten op een account, verliest de organisatie daarmee 12 productieve dagen. Als alternatief wordt vaak gebruik gemaakt van andermans login gegevens, met alle beveiligingsrisico s van dien, want uit hetzelfde onderzoek blijkt dat 70% van fraude gevallen met betrekking tot klantgegevens afkomstig zijn van binnenuit. Door de processen te optimaliseren en deze met tooling te ondersteunen, worden aanvragen/wijzigingen van autorisaties sneller en accurater afgehandeld, waardoor gebruikers sneller productief zijn. Daarnaast kan IAM ook helpen de time-to-market van nieuwe diensten en producten te verkorten. Bij de invoering hiervan is het vaak een uitdaging om alle daaraan gerelateerde rollen (en gebruikersprofielen) binnen een organisatie aan te passen. Door centralisatie van de toegangscontrole tot applicaties wordt niet alleen het aantal accounts van gebruikers verminderd, maar kunnen nieuwe toepassingen die gebruik maken van deze centrale faciliteit ook sneller ingevoerd worden. 1.5 Regulatory Compliance (Voldoen aan Wet- en Regelgeving) VOLDOEN AAN WET- EN REGELGEVING Om aan te kunnen tonen dat uw organisatie voldoet aan de geldende wet- en regelgeving, is het nodig om rapporten snel en eenvoudig te kunnen produceren. In veel organisaties is dit nog niet zo eenvoudig en kan het soms weken duren om de gegevens uit diverse systemen te halen en deze te combineren tot een rapport. Wanneer Identity & Access Management (als basis voor de security maatregelen) niet is ingeregeld, hebben andere security maatregelen geen zin. Bedrijven moeten eerst de voordeur beveiligen en dan de achterdeur. Met IAM zorgt u er niet alleen voor dat u voldoet aan de gestelde normen voor wat betreft toegang tot informatie en informatie verwerkende faciliteiten, maar kunt u het ook nog eenvoudig aantonen. Dit betekent niet dat u een volledige set van geautomatiseerde en geïntegreerde IAM applicaties en hulpmiddelen geïmplementeerd hoeft te hebben. Wanneer de processen rond en de inhoud van de rechten niet op een A4-tje uitgelegd kunnen worden zullen tools enkel helpen de chaos te vergroten. 6

2. Definitie DEFINITIE Alvorens verder in te gaan op de Inter Access Methode voor IAM, is het belangrijk de Inter Access definitie van IAM vast te stellen. We hebben het met nadruk over de Inter Access definitie, omdat er uit een korte zoektocht op het internet blijkt dat er tot nu toe geen eenduidige definitie van bestaat. Inter Access definitie van Identity en Access Management: Het geheel aan beleid, verantwoordelijkheden, processen en hulpmiddelen dat organisaties in staat stelt om de toegang tot en het gebruik van systemen en informatie te faciliteren, beheren en controleren. De Inter Access definitie wordt weergegeven in onderstaand model. Gebruikersbeheer Rolbeheer Mandatering Rapportage Processen Authenticatie Autorisatie Toegangscontrole Monitoring & Logging Techniek & Architectuur Archiveren Autorisatie Matrix Audit Functie Scheiding Figuur 2 Het Inter Access model van Identity & Access Management SPOT De generieke benadering van Inter Access voor alle ICT vraagstukken is ook in dit model weer aanwezig. Inter Access plaatst ICT vraagstukken en oplossingen altijd in het kader van SPOT: Service, Processen, Organisatie en Technologie. 7

SERVICE Service: de ondersteunende diensten, waaronder ICT, zullen zo veel mogelijk in staat moeten zijn de primaire bedrijfsprocessen waarmee de onderneming zijn geld verdient te ondersteunen. Bij voorkeur zo effectief mogelijk en tegen minimale kosten. ORGANISATIE Organisatie: Centraal in het model staan; de mensen in een organisatie, de informatie die zij gebruiken om hun werk te kunnen doen, de applicaties die zij gebruiken om die informatie te genereren, te verzamelen, te bewerken, te raadplegen en te archiveren, en de onderliggende infrastructuur waar deze applicaties op draaien. Identity & Access Management raakt al deze aspecten. PROCESSEN Processen: De langs de linkeras genoemde processen vertalen de in het beleid vastgelegde afspraken naar werkwijzen. Rapportage over die processen helpt om knelpunten te signaleren, mogelijke risico s te identificeren en verbeteringen in gang te zetten. Waar mogelijk moet worden aangesloten op reeds vastgestelde interne of externe normenkaders of best practices zoals CobiT of ITIL. TECHNOLOGIE Technologie: Met de langs de rechteras genoemde technologische oplossingen kunt u bepaalde aspecten uit uw processen afdwingen. De techniek helpt om met name uw applicaties en infrastructuur te beveiligen en de juiste mensen toegang tot en (mutatierechten) op de juiste informatie te verschaffen. Daarnaast kunt u door middel van monitoring en logging en door gebruik te maken van een centrale repository, op elk gewenst moment controleren welke autorisaties iemand heeft en of deze autorisaties niet conflicterend zijn (verplichte functiescheiding). Ook kunt u achteraf controleren en verifiëren wie wanneer welke acties op uw systemen heeft uitgevoerd en welke beveiligingsincidenten zich hebben voorgedaan. Al deze maatregelen helpen u om in control te raken. AUTOMATISERING Door het steeds meer gedistribueerde karakter van bedrijfsnetwerken, het grote aantal webgebaseerde applicaties, het groeiend besef van het belang van beveiliging en door regelgeving als Sarbanes-Oxley en HIPAA, is automatisering van Identity Management een noodzaak geworden voor vrijwel elk bedrijf. De administratie en verantwoording langs de onderste as helpt u vooral om aan externe partijen aan te kunnen tonen dat u voldoet aan de voor u geldende wet- en regelgeving. De automatisering is hierin uiteraard een hulpmiddel. BELEID Dit alles wordt geplaatst binnenin het beleid. Het beleid wordt vertaald in diensten (Services, zoals eerder beschreven) die de ICT organisatie gaat leveren in het kader van Identity & Access Management. De processen, technologie, administratie en verantwoording moeten allen aansluiten op, of ondersteunend zijn aan, het gedefinieerde beleid en de daarvan afgeleide diensten. Inter Access legt in de definitie niet voor niets de nadruk op het geheel aan beleid, verantwoordelijkheden, processen en hulpmiddelen. Zonder goed beleid hebben de technologische, procesmatige en/of administratieve oplossingen en hulpmiddelen geen basis en zullen ze maar tijdelijk standhouden. 8

3. De Inter Access Methode voor Identity & Access Management IAM projecten worden veelal beschouwd als technische implementatieprojecten. Projecten in het algemeen, en Identity & Access Management projecten in het bijzonder, blijken beter te scoren wanneer deze als verandertrajecten worden begeleid. Whitepaper VERANDERTRAJECTEN Een logisch gevolg van de eerder genoemde definitie van Identity & Access Management is dat Inter Access IAM projecten niet als technische implementatie benadert. Door deze projecten als een organisatie verandering te benaderen, worden cultuur, bedrijfsvoering, processen en technologie geadresseerd. Hierbij hanteert Inter Access standaard de volgende vier fasen: Think, Build, Transform, Operate. Deze vier fasen worden hieronder nader toegelicht in het kader van IAM. 3.1 Think THINK De think fase heeft als doel de huidige situatie (Ist) en de gewenste situatie (Soll) in kaart te brengen. Deze fase is onderverdeeld in vier sub-fasen. Deze worden hieronder beschreven. IAM SCAN KERN VAN HET PROBLEEM (Quick)scan Door middel van een scan krijgen we inzicht in de problematiek en de risico s die een organisatie loopt. Of het gaat om een quickscan of een meer uitgebreide scan is afhankelijk van de eisen en wensen van de klant. Belangrijk onderdeel van een scan door Inter Access is observatie. Een IAM scan bestaat niet alleen uit een gesprek of een standaard set vragen, maar begint al op het moment dat Inter Access consultants bij u het terrein betreden, of eigenlijk zelfs al wanneer zij voor het eerst op uw website gaan kijken. Alles wat zij zien en horen wordt meegenomen bij de beeldvorming. Op basis van de scan wordt een bevindingenrapport opgesteld. De volgende stappen worden beschreven en Inter Access doet een aanbieding om deze volgende stappen met u door te lopen. Probleemstelling Op basis van de resultaten uit de scan wordt verder ingegaan op de probleemstelling. Hierbij is het belangrijk tot de kern van het probleem door te dringen en te achterhalen wat de klant wil, maar vooral wat hij daarmee beoogt te bereiken niet wat er wordt gezegd maar wat er wordt bedoeld. Wanneer een organisatie aangeeft Role Based Access Control te willen invoeren, kan de achterliggende reden daarvoor divers zijn. Inter Access medewerkers proberen de vraag terug te brengen naar een (of meerdere) van de bedrijfsvoordelen die eerder in dit document zijn genoemd. Role Based Access Control bijvoorbeeld, maar ook wetgeving als Sarbanes Oxley, is geen doel op zich, maar een middel om die bedrijfsvoordelen te realiseren. 9

Daarnaast brengen we in overleg de prioriteiten aan. Welk bedrijfsvoordeel is voor de organisatie het belangrijkst? Deze informatie wordt vooral verkregen uit interviews. De vervolgstappen die bij de scan op hoofdlijnen zijn aangegeven, worden in meer detail uitgewerkt en er wordt een Projectbrief opgesteld. HIGH LEVEL OPLOSSING High Level Oplossing In deze fase worden de resultaten van de scan verder uitgediept. De Ist situatie wordt grondig onderzocht op basis van reeds aanwezige documentatie, zoals IT Beleid, rapporten van eerder uitgevoerde audits en een risico analyse. Als deze informatie ontbreekt, voert Inter Access zelf een onderzoek uit. Ook hier speelt observatie weer een belangrijke rol. Op basis van de verkregen of onderzochte informatie en analyses wordt een architectuur document opgesteld met daarin een blauwdruk van de Soll situatie en een GAP (Good, Average, Poor) analyse van de 1st situatie ten opzichte van Soll. Daarnaast wordt een Project Initiatie Document opgesteld, waarin de oplossingsrichting(en) wordt beschreven. FUNCTIONEEL GEDETAILLEERD ONTWERP Detail Ontwerp Pas bij het Detail Ontwerp wordt de Soll situatie functioneel gedetailleerd beschreven. Hierbij wordt aandacht besteed aan zowel beleid, processen, technologie en administratie. Als het hele ontwerp klaar is en aansluit op elkaar en op de bedrijfsvoordelen, kan er gestart worden met de selectie en/of bouw van de oplossing. Uiteraard is het van levensbelang voor het slagen van het project dat het hoogste management van de onderneming, tenminste bij besluitvorming, maar bij voorkeur ook bij het functionele ontwerp van het geheel betrokken is. BUILD 3.2 Build De Build fase is kort te omschrijven, maar dat zegt niets over de impact en doorlooptijd van deze fase. Nu wordt immers alles voorbereid voor de implementatie. De ontworpen oplossingen worden samengesteld en getest, de benodigde middelen worden geselecteerd en aangeschaft en medewerkers (zowel beheerders als eindgebruikers) worden opgeleid. Bewustwording speelt in deze fase ook een belangrijke rol. De beheerders moeten niet alleen opgeleid worden in de nieuwe processen en technologie, maar moeten ook weten met welk doel die oplossingen zijn geselecteerd, zodat zij tijdens de Operate fase constant dit doel voor ogen houden en zelf tijdig signaleren en ingrijpen wanneer er bijgestuurd moet worden. Een goede voorbereiding tijdens de Build fase is het halve werk tijdens de transformatie fase (Transform). TRANSFORM 3.3 Transform De transformatie fase staat geheel in het teken van de verandering. Deze verandering is in veel gevallen ingrijpend. Het nadenken over, het beschrijven en het accorderen van bijvoorbeeld rollen en bijbehorende rechten (tijdens de Build fase) kost veel tijd, maar voelt nog niet als een echte verandering. Het staat immers alleen maar op papier. Pas wanneer een organisatie daadwerkelijk geconfronteerd wordt met een beperking van 10

rechten bijvoorbeeld, doet dit veel stof opwaaien. Gelukkig zal de organisatie ook snel genoeg de positieve effecten van de veranderingen gaan merken. Als vanaf het begin voldoende draagvlak is gecreëerd bij hoger management (CSO, CFO, CIO etc.) zullen naar verwachting alle inspanningen, die tot aan deze fase gedaan zijn, efficiënt samenvallen. Strakke regie, uitstekende communicatie en een ruime periode van nazorg zijn essentieel in deze fase. 3.4 Operate OPERATE En dan begint het pas echt. Alle oplossingen die gezamenlijk ontworpen en gebouwd zijn, staan als een huis. Het projectteam dat belast was met de invoering van Identity & Access Management wordt ontbonden. Het is nu aan uw eigen (beheer-)organisatie om door te gaan op de ingeslagen weg. De set van oplossingen kunt u optimaal gebruiken wanneer het beleid rondom IAM duidelijk is, bij iedereen bekend is en als dit belang duidelijk wordt uitgedragen door de hele organisatie. In onderstaande tabel worden de fasen puntsgewijs opgesomd. Fase Doel Activiteiten Deliverables (Quick) Scan Inzicht krijgen in de problematiek en de risico s. Quickscan uitvoeren. Observeren. SPROA rapport (Situatie, Probleem, Risico, Oorzaak, Aanbeveling). Next steps. Aanbieding. Design Probleemstelling Helder krijgen wat de organisatie wenst en wat hij daarmee wil bereiken. Wat zijn de Business Drivers, en welke zijn de belangrijkste. Detailleren vervolgstappen. Interviews: CSO / security office indien aanwezig; Bedrijfsbureau; Service Manager; (interne) Auditor; IT manager; Jurist; Autorisatie beheerders; Systeemeigenaren. Projectbrief Samenstellen Project Brief. 11

Fase Doel Activiteiten Deliverables High Level oplossing Inzicht krijgen in beleid, processen, technologie, administratie en verantwoording. Het vastleggen van de oplossingsrichting. Detailleren vervolgstappen. Opvragen documentatie: IT beleid, informatie plan; IB beleid; Audit rapporten; Controle organisatie; Classificatie; Risicoanalyse; Meest recente awareness programma. Architectuurdocument. PID incl. faseplan volgende fase. Onderzoek (indien geen/onvoldoende documentatie beschikbaar). Interviews: CSO / security office; IT Manager. Analyseren documentatie en interviews. Samenstellen architectuurdocument. Samenstellen Project Initiatie Document (PID). 12

Fase Doel Activiteiten Deliverables Detail ontwerp Duidelijk inzicht probleempunten (in detail). Vastleggen gekozen oplossingen. Detailleren vervolgstappen. Vaststellen probleempunten. Vaststellen evaluatiecriteria voor oplossingen. Inventariseren mogelijke oplossingen. Evalueren oplossingen. Technisch detail ontwerp(en). Faseplan volgende fase. Kiezen voor oplossingen. Vaststellen Beheermodel. Samenstellen detailontwerp. Samenstellen faseplan volgende fase. Build Doen Oplossingen gereed maken voor implementatie. Detailleren vervolgstappen. Oplossingen aanschaffen of bouwen. Oplossingen installeren/ parametriseren /configureren. Opleiden beheerders. Oplossingen klaar voor implementatie. Faseplannen volgende fasen. Opleiden gebruikers. Samenstellen faseplannen volgende fasen. Transform Invoeren = veranderen Oplossingen invoeren. Organisatieverandering vorm geven. Communicatie. Go-live. Nazorg. Oplossing ingevoerd. Operate Behouden Oplossingen opleveren. Afsluiten project. Overdragen aan beheer. Decharge. Oplossing onder beheer. Project decharge. 13

4. Resources NOODZAKELIJKE RESOURCES SPECIALISTISCHE KENNIS Het moge duidelijk zijn dat de invoering van Identity & Access Management meer is dan een technisch verhaal. Om deze invoering goed te laten verlopen zijn de volgende resources onontbeerlijk: Security consultants die risico analyses uitvoeren, mitigerende maatregelen voorstellen en ondersteunen bij het opstellen van het security beleid, en adviseren met betrekking tot IAM oplossingen; Projectmanagers die de implementatie van deze maatregelen managen; Service management consultants die organisatorische en procedurele kant van de oplossing implementeren; Implementatie specialisten en ontwikkelaars die de technische kant van de oplossing realiseren. LEVERANCIER KEUZE Voor de implementatie van IAM is sprake van noodzakelijke inzet van (zeer) specialistische kennis. Hiervoor kunt u uiteraard een beroep doen op Inter Access. Het is echter van even groot belang om de opgedane kennis over te dragen aan uw eigen beheerorganisatie. Inter Access adviseert een ratio van 70:30, externe kennis versus interne kennis. Daarnaast zal er een beroep gedaan worden op de inkoopafdeling of leveranciersmanagement bij het selecteren van de juiste partner op het gebied van de technologie. Veel leveranciers bieden een standaard oplossing die voor 80% aan de behoefte voldoet. Vaak is een combinatie van diverse best-of-breed onderdelen tot één passend geheel de enige manier om exact dat te bereiken wat nodig is. Inter Access is niet gebonden aan een specifieke leverancier dus kan u van onafhankelijk en onpartijdig advies voorzien ten aanzien van de ondersteunende technologieën. 14

5. Conclusie CONCLUSIE De Inter Access Methode voor Identity & Access Management is gebaseerd op de definitie dat IAM een geheel van beleid, processen, organisatie en hulpmiddelen is. Met name de nadruk op het woord geheel staat bij Inter Access als een paal boven water. Vanuit diverse invalshoeken wordt IAM benaderd, ontworpen en geïmplementeerd. Een dergelijk traject moet niet onderschat worden. De impact op uw eigen resources, organisatie en zelfs op de cultuur van uw organisatie is groot. Ervaren consultants en projectmanagers zijn nodig om een dergelijk traject te begeleiden. Dat Inter Access die ervaring in huis heeft blijkt uit onze referenties. REFERENTIES Van Lanschot Bankiers Rapportage autorisaties Inrichting RBAC Implementatie centraal autorisatiebeheersysteem Visa Europe Implementatie centraal autorisatiebeheersysteem Philips DAP Implementatie centraal autorisatiebeheersysteem AANVULLENDE INFORMATIE Wilt u aanvullende informatie over de Inter Access Methode voor Identity & Access Management? Stuur een e-mail naar IA.Identity.Access.Management@interaccess.nl of bel met Koos Jennekens op telefoonnummer +31(0)35 688 8015. 1 Bron: Gartnergroup, Meta Group en IBM 2 Five Business Drivers of Identity and Access Management, Roberta J. Witty, publicatiedatum 31 October 2003 15

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback