www.everett.nl www.everett.nl

Workshop Universiteit Twente Identity & Access Management Thomas van Vooren <thomas.van.vooren at everett.nl>

Wat is identiteit?

3

Wat is identiteit?

▶  Ben je je eigenschappen? §  Leeftijd, lengte, geslacht, …

▶  Ben je je relatie(s)? §  Student, werknemer, inwoner, bezoeker, …

▶  Volgens wie eigenlijk? §  Jezelf? De universiteit? De overheid?

▶  Wat willen we eigenlijk wat men van ons weet? §  Alles? Niets? Sommige dingen? Is dit eigenlijk wel altijd hetzelfde?

▶  En hoe drukken we delen van onze identiteit uit? §  Geboorte datum, leeftijd of …?

Waarom is identiteit eigenlijk belangrijk?

5

Wat is Identity & Access Management?

7

Wat is Identity & Access Management?

▶  Het verhogen van de personalisatie, efficiency en beveiliging van de ICT-dienstverlening door compleet ‘life cycle’-beheer van identiteiten;

▶  Het bepalen wie wanneer, waar en hoe toegang mag krijgen tot bepaalde informatie(systemen) en diensten, op een veilige, betrouwbare, transparante en gebruikersvriendelijke manier.

8

Identity & Access Management verder ontleed

▶  Identity Management – beheren van de identity life cycle van je gebruikers (wie ken ik en wat weet ik van ze)? §  Wie zijn mijn klanten? Wie zijn mijn medewerkers?

▶  Autorisatie Management – beheren van je autorisatie schema (wat mag iemand?) §  Welke rollen en rechten? Is er toestemming gegeven? Zijn er

conflicterende rechten? Tot wanneer mag hij dat doen?

▶  Access Management – de toegangslaag (wie klopt er op de

deur en mag hij binnen?) §  Nu? Hier? Vanaf welk device of locatie? Hoe zeker weet ik dat hij

het is?

9

Wat is Identity & Access Management

▶  Monitoring en rapportage – loggen en reageren: §  Is alles wat het zou moeten zijn? Wat gebeurt er met de toegang tot

mijn informatie?

Waarom is identiteit IAM belangrijk?

11

Waarom Identity & Access Management?

▶  Efficientie en kostenbesparing: §  IAM zorgt er voor dat iemand op de eerste werkdag kan werken;

§  IAM zorgt er voor dat iemand maar één keer hoeft in te loggen of maar één wachtwoord hoeft te onthouden;

§  IAM zorgt er voor dat een beheerder maar 3 minuten bezig om toegang te regelen in plaats van 3 uur;

§  IAM zorgt er voor dat mensen zelf hun accounts kunnen beheren in plaats van dure helpdeskcalls te maken;

§  IAM zorgt er voor dat geldt bespaart kan worden op externe auditors;

§  …

12

Waarom Identity & Access Management?

▶  Business enablement: §  IAM zorgt er voor dat de implementatie van een informatiesysteem

sneller kan; §  IAM zorgt er voor dat een bedrijf sneller een ander bedrijf kan

opkopen en integreren (of juist afstoten);

§  IAM zorgt er voor dat mensen sneller nieuwe taken kunnen uitvoeren;

§  IAM zorgt er voor dat medewerkers, klanten het gebruik van je informatiesystemen en diensten prettiger vinden;

§  IAM zorgt dat je concurrentievoordeel behaalt;

§  …

13

Waarom Identity & Access Management?

▶  Security, Compliance en Risk Management: §  IAM zorgt dat de beslissing over toegang tot informatie door de

juiste mensen gemaakt wordt; §  IAM zorgt er voor dat elke handeling naar een natuurlijk persoon

herleid kan worden;

§  IAM zorgt er voor dat je zeker weet dat alleen bevoegde personen bij informatie kunnen komen;

§  IAM zorgt er voor dat je kan rapporteren over autorisaties;

§  IAM zorgt er voor dat beveiliging passend wordt gemaakt op de gevoeligheidsgraad van informatie;

§  …

14

Hoe hangt dit allemaal samen?

Identity

Preventief: • Identiteitenbeheer • Autorisatiebeheer

Uitvoerend/correctief: •  Provisioning •  Access Management

Detectief §  Security Event & Incident Management §  Soll-Ist rapportages §  Compliance dashboards

15

Hoe ziet IAM er dan uit?

Aan de slag!

17

Opdracht: Rabobank

▶  Profiel: Rabobank is een internationale financiële dienstverlener actief op het gebied van retailbanking, wholesalebanking, vermogensbeheer, leasing, vastgoed en verzekeren. Haar klantengroep varieert van particulier tot zakelijk, van studenten tot Quote 500. Ze werkt actief samen met andere bedrijven (dochters of derden) voor het aanbod van financiele diensten.

▶  Vragen: §  Bedenk 5 redenen/situaties waarom de Rabobank iets met identiteit

zou willen (kansen) en hoe zij IAM in kunnen zetten;

§  Bedenk 5 redenen/situaties waarom/wanneer de Rabobank iets met identiteit zou moeten (bedreigingen) en hoe zij IAM in kunnen zetten.

18

Opdracht: Société Générale (1/2)

▶  Profiel: Société Générale is de derde zakenbank van Europa. Er werken in totaal ongeveer 120.000 mensen, waarvan 75.000 in Europa. De bank is actief in 80 landen.

▶  Situatie/Probleem: In 2009 verloor Société Générale in totaal €4.9 miljard op de beurs doordat een trader in zijn loopbaan (van controle-afdeling tot trading floor) zoveel kennis van het systeem en rechten had opgebouwd dat hij gemakkelijk kon frauderen / transacties kon verbergen.

19

Opdracht: Société Générale (2/2)

▶  Vragen: §  Met welke IAM voorzieningen had SG de root-cause van dit

probleem kunnen voorkomen? §  Waar zou de inrichting van deze voorzieningen met name aan

moeten voldoen? Noem minimaal 5 aspecten.

§  Wat heeft SG nodig om continu in controle te zijn?