際際滷

際際滷Share a Scribd company logo

IAM itSMF

Download as PPT, PDF
Ronny Robinsson-Stavem
Ronny Robinsson-Stavem

Hva er behovet, hva er rollebasert tilgangskontroll, og hva er beste praksis? itSMF medlemsm淡te.

1 of 46
Downloaded 44 times
Identity & Access Management Hva er behovet, hva er rollebasert tilgangskontroll, og hva er beste praksis? _ > author Ronny Robinsson-Stavem ....verified > title Senior advisor ....verified > company Steria ....verified > identity matched > access granted >
Fokus 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Hva er prosessene og driverne for Identity & Access Management (IAM)? Hva mener vi med rollebasert tilgangskontroll? Beste praksis for innf淡ring av IAM
Identitetsforvaltning 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt
Identity & Access Management (IAM) 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt IAM Det er som et tau \ Det er et stort l淡vblad \ / Det er som en trestamme Det er som en slange /
ITIL v3 definisjon av Access Management 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt the process of granting authorized users the right to use a service, while preventing access to non-authorized users. It has also been referred to as Rights Management or Identity Management in different organizations. the process that enables users to use the services that are documented in the Service Catalogue
Vanlige definisjon 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Identity management is the set of business processes , and a supporting infrastructure , for the creation , maintenance , and use of digital identities
Identitetsprosesser Brukerst淡tte Tapt identifikasjon Password Reset Nye berettigelser Rapporortering Compliance Revisjon Sikkerhet Integrasjon Arbeidsflyt Ny bruker Opprette brukerid Utstede identifikasjon Tildele tilganger Endringer av brukerkonti Forfremmelser Overf淡ringer Nye arbeidsoppgaver Endringer av tilganger Passord admin Sterke passord Glemt passord Passord Reset Slette bruker Slette/Fryse brukerkonto Slette/Fryse bemyndigelser
IAM utfordringer Ansatte, Konsulenter, Vikarer OS Appls DB Sikkerhet systemer Kataloger Portals Andre ressurser Virksomhetsressurser Autentisering Hvem er jeg? Hvordan beviser jeg det? Har jeg flere identiteter i flere systemer? Autorisasjon Hva har jeg tilgang til? N奪r? Policies Hva sier forretningsreglene at jeg kan f奪 gj淡re? Relasjoner og kontekst Hvilken rolle har jeg? Hvilke organisasjonsenheter og grupper befinner jeg meg i? Kunder Leverand淡rer Samarbeidspartnere
Identitetsproblemet 1. Meta Group 2. Computer Security, Issues and Trends 3. FBI/CSI Computer Crime and Security Survey 4. IDC 5. International Security Forum Reportt 6. Calculated value Sikkerhet og risiko Kun 60% av brukernes tilganger blir fjernet n奪r en bruker slutter. Orphan accounts 淡ker risikoen for sikkerhetsbrudd med 23 %. 1 81% av sikkerhetsbrudd utf淡res av egne ansatte. 2 Svakheter ved insidesikkerhet koster 250K per hendelse. 3 Revisjon og compliance Kun 50% reviderer tilgangsrettigheter regelmessig. Opp mot 60% av tilgangsprofiler er ikke gyldige. 80% i bransjer der det er stor turn-over 4 Lovgivning (HIPAA, Basel II, Sarbanes-Oxley etc.) gj淡r revisjoner p奪budt Effektivitet og produktivitet 15-25% av tilganger/forsyninger m奪 gj淡res p奪 nytt grunnet feil. 5 27% av selskaper bruker med enn 5 dager p奪 奪 opprette/fjerne brukerkonti. 5 11% av interne brukere tilkaller brukerst淡tte m奪nedlig med problemer relatert til tilganger; 7% for problemer relatert til brukerprofil 1 Kostnader 40-60% av henvendelser til brukerst淡tte er grunnet glemte passord. 1 15% 奪rlige endringer p奪 brukerprofiler forbruker 29% av totale IT ressurser 1 Selskaper med 12 applikasjoner kan spare $3.5M and realisere 295% ROI over en 3 奪rs periode. 6 Brukeridentifikasjon for autentisering og autorisasjon Katalogtjener eller database Applikasjon Brukeridentifikasjon for autentisering og autorisasjon Katalogtjener eller database Applikasjon Brukeridentifikasjon for autentisering og autorisasjon Katalogtjener eller database Applikasjon Sluttbrukere Administratorer Administratorer Administratorer
IAM s淡rger for orden i kaoset Sentralisert, policy-basert administrasjon av tilgang og autorisasjon Raskere utvikling og produksjonssetting Sentralsiert revisjon og logging En kilde til sannheten Single Sign-On, med f脱rre passord Appliikasjoner Applikasjoner Applikasjoner Applikasjoner Sluttbrukere Administratorer Brukeridentifikasjon for autentisering og autorisasjon
IAM elementer NOS/Directories OS (Unix) Systemer & Kataloger Applikasjoner ERP CRM HR Mainframe Revisjon og Rapportering Arbeidsflyt og orchestration Ansatte IT personell SOA Applikasjoner Partnere Eksterne Delegert Admin SOA Applikasjoner Kunder Internal Identity Management Service Access Management Autentisering & SSO Autorisasjon & RBAC Identity Federation Katalogtjenester LDAP kataloger Meta-katalog Virtuell katalog Identity Provisioning Hvem, Hva, N奪r, Hvor, Hvorfor Regler & tilgang policies Integrasjonsrammeverk Identity Administration Delegert Administrasjon Selvregistering & Selvbetjening Bruker & Gruppe Management Overv奪king og Styring
Fokus p奪 forretningsverdi Identity management projects are much more than technology implementations they drive real business value by reducing direct costs, improving operational efficiency and enabling regulatory compliance.
IAM er forretningsstyrt 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Forretningskrav Reguleringskrav og lovverk Prosesser og roller Budsjetter Visjon og strategi Hardware/Software Stort behov for en IAM koordinator for Planer, Arkitektur, Integrasjon, and Ledelse 80% 20% Policy, Prosess, Planlegging, Politikk, Ledelse Teknisk Kataloger Brukeradministrasjon Autorisasjon Identifikasjon Integrasjon Policyer
Strategiske forretningsdrivere for IAM 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Kostnadskontroll Etterlevelse Risikostyring Smidighet Smidig organisasjon Tilgang eksterne brukere Tilpasning for ansatte SOA Outsourcing Oppkj淡p Etterlevelse SOX, Basel II Internrevisjon Eksterne revisjonsselskaper Omd淡mmekontroll Personvern Kostnadskontroll Reduserte kostnader Felles smidig arkitektur kt produktivitet Effektiv drift Forbedrede SLAer Forbedret brukeropplevelse kt produktivitet Risikostyring og sikkerhet Rapportering Reduksjonstiltak Etterlevelse av policies Orphan accounts kt sikkerhet Effektiv drift Ref. Burton Group
Skape verdier med IAM Implementeringsfokus Integrasjon Standardisering Fokus p奪 muligheter Grunnleggende sikkerhet og administrasjon Implementeringsfordeler kt kvalitet og effektivitet kt omsetning Reduserte kostnader Forbedret Sikkerhet Kostnad og kompleksitet Forretningsverdi Integrerte operasjoner og automatiserte prosesser Standardisere policyer, prosesser and teknologi Opprett m奪linger som gjenspeiler alvorligheten av potensielle trusler og s奪rbarheter Fult integrerte IAM l淡sninger krever anvendelse og integrasjon av standarder, teknologier og prosesser, som introduserer avveininger rundt risiko og muligheter Den virkelige gevinsten med IAM ligger i integrasjon og s淡rge for en sikker og tillitsfull samhandling p奪 tvers av milj淡er
Tilgangskontroll 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt
V奪re medarbeidere har tillit Selvf淡lgelig vil ikke dine ansatte misbruke sin tilgang til sensitive data 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt
Eller? 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt
RBAC standarden Brukere er medlemmer av roller Rettigheter tildeles roller Mange til mange bruker/rolle og rolle/rettighet relasjoner Rolle hierarki RBAC brukes for 奪 styre RBAC 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Fordeler: Autorisasjonsstyring Hierarkiske roller Minste privilegium Separation of Duties
Organisasjoner s淡ker etter bruker- og tilgangsstyring som er enkel, sikker og effektiv Lege akutten Overlege Sykepleier Intern Lab Tekniker Lab Radiologi Pasientjournal R淡ntgen MS Sharepoint RACF/ACF2/Top Secret Execute, Read, Update. Alter UNIX Read, Write Execute SAP/Oracle Alter, Delete, Execute, Index, Insert, Select LDAP/Active Directory Read, Write, Search Bruker Roller Tilganger Forretning IT Separation of Duties Monica Applikasjoner Sykepleier kan ikke ha rollen Overlege Sykepleier som medisinerer kan ikke bestemme dosering Tilgangssertifisering/autorisasjon Certification Triggers: SOX, HIPAA, SAS 70, Basel II, FISMA, etc.. Source: Gartner & IBM Compliant Rollestyring Bemyndigelsesstyring Privileged Identity Management Rollebasert tilgangsstyring
Rolledesign 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Organisasjons-struktur M奪l system Rolle- struktur Tilgangskontroll modell Regel + attributt Policy Provisioning Connector (IdM) Top down Role engineering Bottom up Role mining Virksomheten IT-teknisk Avstemming (reconsiliation)
Litt om dagens RBAC prosjekter I stor grad basert p奪 NIST RBAC F奪 referanser p奪 vellykkede prosjekter Undervurdering av omfang og tid IT fokusert og IT styrt uten involvering av hele bedriften For d奪rlig integrasjon mellom IdM og Rolleverkt淡y RBAC standarden ikke god nok i SOA milj淡er Rolleeksplosjon. Trend: attributtstyring p奪 roller Policybasert og bruk av Policy Decision Points F奪 etablerer forvaltningsorgan for rollearbeid med Role Life cycle styring Ikke dynamisk rollemodell, ofte knyttet opp mot organisasjon 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt
08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Beste praksis
Noen r奪d for IAM Grundig planlegging og behovsanalyse Beste praksis starter med en kunnskap om at dette er et forretningsinitiativ, og ikke et IT-prosjekt For 奪 oppn奪 en suksessrik, sikker og effektiv IAM innf淡ring i hele virksomheten m奪 ikke prosjektet styres fra IT avdelingen Hele virksomheten m奪 inkluderes, og m奪 styres fra et punkt som er h淡yt i organisasjonen slik at mandatet er krystallklart. Dette prosjektinitiativet skal gjennomf淡res! Bryt prosjektet ned i mindre leveranser for 奪 synliggj淡re suksesser slik at ledelsen fortsatt gir sin st淡tte som er en forutsetning for suksessen F淡lg en velpr淡vd metodikk, og implementer i mindre leveranser! Tenk p奪 奪 bygge IAM l淡sningen p奪 lik linje som 奪 bygge et stort hus eller et kj淡ret淡y. L淡sningen best奪r av mange uavhengige deler som sammen skal fungere som en s淡ml淡s enhet. Gj淡r erfaringer av andres feil og suksesshistorier 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt
Forskjellen mellom taktisk og strategisk IAM 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Sponset av IT Automatisering av brukerst淡tte Kun IT personell Kostnadsreduksjon Antall hoder Effektivitet og nyttighet Fokus p奪 avdeling Selvbetjening passord reset Plattformspesifikk: Windows gruppe administrasjon Datasynkronisering Sponset og forankret i ledelsen Endringer av forretningsprosesser HR er involvert Compliance & rapportering IAM styring Effektivitet og nyttighet Fokus p奪 hele virksomheten Bruker provisioning Virksomhetsroller Applikasjonsintegrasjon Ikke bare IT infrastruktur Delegering og selvbetjening Datasynkronisering Taktisk ! Strategisk ! Identity Management krever en taktisk og pragmatisk tiln脱rming for et strategisk resultat
De virkelige hindringene for strategisk verdi Taktiske IAM prosjekter vil begrense seg selv Suksessrike strategiske IAM prosjekter er sv脱rt vanskelige 奪 gjennomf淡re Vanskelig 奪 forsvare kostnader forbundet med sikkerhet fordi det i de tilfellene mangler m奪lbare suksesskriterier * Mange IT sikkerhetssjefer er ikke synlige og ofte uten myndighet og ledelsen forst奪r ikke problemstillingene og konsekvensene * Tidligere initiativ har feilet, delvis fordi leverand淡rer lover noe de ikke kan levere * Ledelsen tror informasjonssikkerhet er et IT problem 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt * = referanse Forrester 2008
Oppsummert: Verdiskapning med IAM 11/08/09 Kostnader Sikkerhet Vekst Compliance Produktivitet Interne sikkerhetsbrudd, p奪litelighet og offentlig omd淡mme, personvern Vit hvem brukerne dine er. Identifiser, verifiser og autoriser dem. Automatisert selvbetjening, passord administrasjon, tjeneste tilgang and oppfyllelse av foresp淡rsler Redusert kost med ulike systemer for tilgangskontroll og brukerkataloger. integrasjoner og endringsledelse Muliggj淡r sikkerhets即-samarbeid med kunder, partnere og forbrukere HP Proprietary; NDA Use Only
IAM - Security as a business enabler 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt It is not the strongest of the species that survives, nor the most intelligent that survives. It is the one that is the most adaptable to change. - Charles Darwin
08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Takk for oppmerksomheten
08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Ekstra slider
Price of doing nothing ref Burton Group
A common perception is that by avoiding IAM strategies, companies save money. In reality, avoiding IAM results in significant costs arising from inefficiencies and loss of productivity. There is a price for doing nothing: The Price of Doing Nothing ref CA November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Adding more help desk & IT personnel in the future. Wasting more time on integration of future applications. Incurring cost of trying to prove compliance to regulations through manual and un-integrated processes. Taking the risk of a security breach, which can be tremendously expensive to the organization. Incurring potential damage to your reputation. Lagging behind other companies.
Many midsized companies wont consider identity management, because they think it is too difficult to deploy, too expensive to purchase and implement, and too complicated to administer and maintain. The problem is that its precisely when companies grow to mid-market ($150 million to $1 billion) that user accounts seem to multiply like rabbits. Postponing an investment in some form of unified account or identity management often proves to be one of the most common and costly mistakes in security today. The Price of Doing Nothing November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA David Piscitello, Network World, 08/28/06
Each company has its own estimates for these input figures. A certain section of Return on Negligence can affect one company more than another it is customizable. It is difficult to capture future benefits of an IAM solution. Companies tend not to buy into external calculations. It is an overwhelming calculation that is difficult to prove. Financial Drivers Challenges November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA It is the only way to get CFO endorsement. Despite the credibility challenges, financial justifications must be developed and managed. A critical failure point can be avoided by managing the promised RON past the initial purchase to ensure capturing all the promised financial rewards. During project design, a financial manager should join the team to monitor progress and results.
Return-On-Negligence (RON) on IAM Avoidance - Overview November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Annual Potential for Cost Avoidance Related to IAM Solutions Potential IT Cost Avoidance Related to User Provisioning $290,649 Potential Lost Productivity Costs Avoidance Related to User Provisioning $220,027 Total Potential for Cost Avoidance Related to User Provisioning $510,676 Potential Lost Productivity (Due to Multiple Login Sessions) Cost Avoidance Related to SSO $673,828 Potential Lost Productivity (Due to Trial & Error) Cost Avoidance Related to SSO $485,156 Potential Help Desk Passwords Resets Cost Avoidance Related to SSO $354,883 Total Potential for Cost Avoidance Related to SSO $1,513,867 Potential Application Development Cost Avoidance Related to Web Access Control $135,000 Potential Security Audits Cost Avoidance Related to Web Access Control $20,000 Potential Extranets Help Desk Cost Avoidance Related to Web Access Control $195,186 Potential Downtime Cost Avoidance Related to Web Access Control $30,000 Total Potential for Cost Avoidance Related to Web Access Control $380,186 Please note that potential Help Desk Cost Avoidance alone amounts to $550,068 Per Year Total Cost of Negligence per Year $2,404,729 Total Cost of Negligence for 3 Years $7,214,187
RON for Typical Identity Management Tool Basic Input November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Company Details Number of Internal Users (employees) 3,000 Number of External Users (partners and customers) 10,000 Rate of growth per year (% of users) 10% Turnover rate per year (% of users) 10% Rate of Moves, Adds and Changes (MACs) 15% Annual Fully-Burdened Salary for IT Staff Member (Salary +15%) $90,850 Average Fully-Burdened Employee Salary (Salary + 15%) $90,850 Number of Work Hours Per Year 1920
RON for Identity Management Industry Standard Assumptions November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Assumptions 油 Number of Hours to Set up a New User 3 Number of Hours to Handle Moves, Changes (MACs) 1 Number of Hours to Delete Obsolete User 0.75 Number of Hours From Request Through Resolution (for New Account) 10 Number of Hours From Request Through Resolution for Moves/Changes (MACs) 14
RON for Single Sign-On Basic Assumptions November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Company Details Number of Internal Users (employees) 3,000 Average Number of Accounts per Internal User (Employee) 4 Annual Fully-Burden Salary for IT Staff Member (Salary +15%) $90,850 Average Fully-Burden Employee Salary (Salary + 15%) $69,000 Number of Work Hours Per Year 1920
RON for Single Sign-On Industry Standard Assumptions November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Assumptions 油 Time Spent to Login to a Single Account (Minutes) 0.50 Average % of Total Logins that Are Incorrect Out of Total Logins 10% Average % of Incorrect Logins to be Solved by Trial and Error 80% Average Time to Trial and Error Forgotten Password Per User (minutes) 2 Average Length of Help Desk Call (Minutes) 10.0
RON for Single Sign-On Avoidance Impact November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Calculations Results Lost User Productivity Cost Due to Multiple Login Sessions Login Sessions Per User Per Year 1,000 Number of Hours Spent on Login Sessions Per Internal User Per Year 8 Hourly Cost of Typical Employee $36 Cost of Lost Productivity (Due to Multiple Login Sessions) $898,438 % Lost User Productivity Cost Savings Provided by Single Sign-On 75% Potential Lost Productivity Costs Avoidance Related to SSO $673,828 Lost User Productivity Cost Due to Trial & Error of Forgotten Password Total Number of Incorrect Logins Per User Per Year 100 Total Number of Incorrect Logins Solved by Trial & Error per User 80 Total Number of Incorrect Logins Solved by Help Desk Assistance Per User 20 Time Spent on Trial & Error Per User Per Year (hours) 3 Time Spent on Help Desk Calls Per User Per Year (hours) 3 Total Cost of Lost Productivity (Due to Trial & Error of Forgotten Password) $646,875 % Lost User Productivity Cost Savings Provided by Single Sign-On 75% Potential Lost Productivity (Due to Trial & Error) Costs Avoidance Related to SSO $485,156
RON for Web Access Basic Input November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Company Details Number of External Users (partners and customers) 10,000 Rate of Growth per Year (% of users) 10% Turnover Rate Per Year (% of users) 10% Number of New Extranet Applications Per Year 15 Number of Security Audits Per Year 10 Annual Fully-Burdened Salary for IT Staff Member (Salary +15%) $90,850 Number of Work Hours Per Year 1920
RON for Web Access Industry Standard Assumptions November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Assumptions 油 Average Access Control Development Cost Per Extranet/intranet Application $12,000 Average Cost of Security Audit $4,000 Average Number of Help Desk Calls Per User per Year 11 Average % Help Desk Activity Related to Passwords 30% Average Length of Help Desk Call (Minutes) 10.0 Average Application Downtime Cost Per Hour (Due to Security Breach) $30,000 Average Number of Downtime Hours Per Year (Due to Security Breach) 2
RON for Avoidance Impact Web Access November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Calculations Results Cost of Application Development Time Associated with Access Control Cost of Hard-Coding Access Control $180,000 % Application Development Cost Savings Provided by Web Access Control 75% Potential Application Development Costs Avoidance Related to Web Access Control $135,000 Cost of Security Audits per Year Cost of Security Audits per Year $40,000 % Security Audits Cost Savings Provided by Web Access Control 50% Potential Security Audits Costs Avoidance Related to Web Access Control $20,000
RON for Avoidance Impact Web Access CONTINUED November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Calculations Results Cost of Help-Desk (not using Self-Registration and Self-Service) Number of Help Desk Calls Per Year 110,000 Number of Help Desk Calls Related to Passwords Per Year 33,000 Total Time Spent by Help Desk staff on Passwords Related Calls Per Year (Hours) 5,500 Cost of IT Labor Per Hour $47 Cost of Help Desk Related to Extranets $260,247 % Extranets Help Desk Cost Savings Provided by Web Access Control 75% Potential Extranets Help Desk Costs Avoidance Related to Web Access Control $195,186 Cost of Downtime Due to Attacks Caused by Unauthorized Access Cost of Downtime $60,000 % Downtime Cost Savings Provided by Web Access Control 50% Potential Downtime Costs Avoidance Related to Web Access Control $30,000 Total Potential for Cost Avoidance Related to Web Access Control $380,186
RON for Identity Management Avoidance Impact November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA User Account Management Cost油 Number of New Users Per Year 1300 Number of MACs per Year 1950 Number of Account Terminations Per Year 1300 Total Time Spent Annually on User Account Management (Hours) 6825 Cost of IT Labor Per Hour $47 Annual Cost of User Account Management by IT $322,943 % IT Cost Savings Provided by User Provisioning 90% Potential IT Cost Avoidance Related to User Provisioning $290,649
RON for Identity Management Avoidance Impact CONTINUED November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Lost User Productivity (Due to Account Management) Cost Number of New Internal Users/Employees Per Year 300 Number of MACs per Year for Internal Users (Existing Employees) 450 Hourly Cost of Typical Employee $47 Cost of Lost Productivity For New Employees $141,953 Cost of Lost Productivity For Existing Employees $298,102 Total Lost Productivity Costs Per Year (Due to Account Management) $440,055 % Lost User Productivity Cost Savings Provided by User Provisioning 50% Potential Lost Productivity Cost Avoidance Related to User Provisioning $220,027 Total Potential for Cost Avoidance Related to Admin $510,676

Recommended

Introduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access ManagementIntroduksjon til Strategisk Identity and Access Management
Introduksjon til Strategisk Identity and Access Management
Ronny Robinsson-Stavem
Slik Lykkes Man Lykkes Med Identitetsforvaltning
Slik Lykkes Man Lykkes Med IdentitetsforvaltningSlik Lykkes Man Lykkes Med Identitetsforvaltning
Slik Lykkes Man Lykkes Med Identitetsforvaltning
Ronny Robinsson-Stavem
Introduksjon til business intelligence
Introduksjon til business intelligenceIntroduksjon til business intelligence
Introduksjon til business intelligence
Lars Rinnan
Ola Krohn-Fagervoll 110929
Ola Krohn-Fagervoll 110929Ola Krohn-Fagervoll 110929
Ola Krohn-Fagervoll 110929
Norsk Styrenettverk
Funksjonsspesifikasjon og Leverand淡Rer
Funksjonsspesifikasjon og Leverand淡RerFunksjonsspesifikasjon og Leverand淡Rer
Funksjonsspesifikasjon og Leverand淡Rer
hallstein
Bouvet innsikt samhandling
Bouvet innsikt samhandlingBouvet innsikt samhandling
Bouvet innsikt samhandling
Bouvet ASA
Bouvet innsikt samhandling
Bouvet innsikt samhandlingBouvet innsikt samhandling
Bouvet innsikt samhandling
Morten Ludvigsen
It driftsperson fra mekaniker til kartleser og sj奪f淡r
It driftsperson fra mekaniker til kartleser og sj奪f淡rIt driftsperson fra mekaniker til kartleser og sj奪f淡r
It driftsperson fra mekaniker til kartleser og sj奪f淡r
Simen Sommerfeldt
SharePoint Migrering unng奪 fallgruver
SharePoint Migrering unng奪 fallgruverSharePoint Migrering unng奪 fallgruver
SharePoint Migrering unng奪 fallgruver
Knut Relbe-Moe [MVP, MCT]
IT-tjenester som str淡m i veggen
IT-tjenester som str淡m i veggenIT-tjenester som str淡m i veggen
IT-tjenester som str淡m i veggen
ErgoGroup
Monolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - staccMonolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - stacc
Jon Solheim
Et datadrevet nav uninettdagene 20191112
Et datadrevet nav uninettdagene 20191112Et datadrevet nav uninettdagene 20191112
Et datadrevet nav uninettdagene 20191112
Tommy Jocumsen
Ta styringen!
Ta styringen!Ta styringen!
Ta styringen!
Bouvet ASA
Ibe250 3
Ibe250 3Ibe250 3
Ibe250 3
periho
Dashboard Til Linked In.Com
Dashboard Til Linked In.ComDashboard Til Linked In.Com
Dashboard Til Linked In.Com
guest1f7d7e
Transcendent Group Internrevisjon
Transcendent Group InternrevisjonTranscendent Group Internrevisjon
Transcendent Group Internrevisjon
Anders J. Klereborg
IBM Tivoli - Enhetlig styrning av 奪tkomstkontroll p奪 norska skattemyndigheten
IBM Tivoli - Enhetlig styrning av 奪tkomstkontroll p奪 norska skattemyndighetenIBM Tivoli - Enhetlig styrning av 奪tkomstkontroll p奪 norska skattemyndigheten
IBM Tivoli - Enhetlig styrning av 奪tkomstkontroll p奪 norska skattemyndigheten
IBM Sverige
Feide s淡knad og godkjenningsprosess
Feide s淡knad og godkjenningsprosessFeide s淡knad og godkjenningsprosess
Feide s淡knad og godkjenningsprosess
Synneve Bottolfs
It lederkonferansen 2010 - slideshare
It lederkonferansen 2010 - slideshareIt lederkonferansen 2010 - slideshare
It lederkonferansen 2010 - slideshare
Ledelse 2.0
Steffen_Dahl_NAAR_TEKNOLOGIEN_ROTER_TIL_ARBEIDSDAGEN_IT-tinget_2014
Steffen_Dahl_NAAR_TEKNOLOGIEN_ROTER_TIL_ARBEIDSDAGEN_IT-tinget_2014Steffen_Dahl_NAAR_TEKNOLOGIEN_ROTER_TIL_ARBEIDSDAGEN_IT-tinget_2014
Steffen_Dahl_NAAR_TEKNOLOGIEN_ROTER_TIL_ARBEIDSDAGEN_IT-tinget_2014
Conference_by_EVRY
IT-Drift
IT-DriftIT-Drift
IT-Drift
Per Arne Godejord
Kvalitetssikring av feideforvaltningen i eget hus 13102015
Kvalitetssikring av feideforvaltningen i eget hus 13102015Kvalitetssikring av feideforvaltningen i eget hus 13102015
Kvalitetssikring av feideforvaltningen i eget hus 13102015
Senter for IKT i utdanningen, redaksjon
Presentasjon av ny LMS
Presentasjon av ny LMSPresentasjon av ny LMS
Presentasjon av ny LMS
Martin Morfjord
Medlemsnytt_3_2015_side4_5
Medlemsnytt_3_2015_side4_5Medlemsnytt_3_2015_side4_5
Medlemsnytt_3_2015_side4_5
Kristian Hjelseth
Norsk UH-sektor og 淡kosystemer for identitet og integrasjoner i skyen
Norsk UH-sektor og 淡kosystemer for identitet og integrasjoner i skyenNorsk UH-sektor og 淡kosystemer for identitet og integrasjoner i skyen
Norsk UH-sektor og 淡kosystemer for identitet og integrasjoner i skyen
Andreas kre Solberg
Tdc
TdcTdc
Tdc
Safurudin Mahic II
Pc Ware Datasenter L淡Sninger 2009
Pc Ware Datasenter L淡Sninger 2009Pc Ware Datasenter L淡Sninger 2009
Pc Ware Datasenter L淡Sninger 2009
siggen64
IPnett Contact Center Solutions - WORKSHOP OSLO 4thDec 2013
IPnett Contact Center Solutions - WORKSHOP OSLO 4thDec 2013IPnett Contact Center Solutions - WORKSHOP OSLO 4thDec 2013
IPnett Contact Center Solutions - WORKSHOP OSLO 4thDec 2013
Egil S淡gaard

More Related Content

Similar to IAM itSMF (20)

SharePoint Migrering unng奪 fallgruver
SharePoint Migrering unng奪 fallgruverSharePoint Migrering unng奪 fallgruver
SharePoint Migrering unng奪 fallgruver
Knut Relbe-Moe [MVP, MCT]
IT-tjenester som str淡m i veggen
IT-tjenester som str淡m i veggenIT-tjenester som str淡m i veggen
IT-tjenester som str淡m i veggen
ErgoGroup
Monolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - staccMonolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - stacc
Jon Solheim
Et datadrevet nav uninettdagene 20191112
Et datadrevet nav uninettdagene 20191112Et datadrevet nav uninettdagene 20191112
Et datadrevet nav uninettdagene 20191112
Tommy Jocumsen
Ta styringen!
Ta styringen!Ta styringen!
Ta styringen!
Bouvet ASA
Ibe250 3
Ibe250 3Ibe250 3
Ibe250 3
periho
Dashboard Til Linked In.Com
Dashboard Til Linked In.ComDashboard Til Linked In.Com
Dashboard Til Linked In.Com
guest1f7d7e
Transcendent Group Internrevisjon
Transcendent Group InternrevisjonTranscendent Group Internrevisjon
Transcendent Group Internrevisjon
Anders J. Klereborg
IBM Tivoli - Enhetlig styrning av 奪tkomstkontroll p奪 norska skattemyndigheten
IBM Tivoli - Enhetlig styrning av 奪tkomstkontroll p奪 norska skattemyndighetenIBM Tivoli - Enhetlig styrning av 奪tkomstkontroll p奪 norska skattemyndigheten
IBM Tivoli - Enhetlig styrning av 奪tkomstkontroll p奪 norska skattemyndigheten
IBM Sverige
Feide s淡knad og godkjenningsprosess
Feide s淡knad og godkjenningsprosessFeide s淡knad og godkjenningsprosess
Feide s淡knad og godkjenningsprosess
Synneve Bottolfs
It lederkonferansen 2010 - slideshare
It lederkonferansen 2010 - slideshareIt lederkonferansen 2010 - slideshare
It lederkonferansen 2010 - slideshare
Ledelse 2.0
Steffen_Dahl_NAAR_TEKNOLOGIEN_ROTER_TIL_ARBEIDSDAGEN_IT-tinget_2014
Steffen_Dahl_NAAR_TEKNOLOGIEN_ROTER_TIL_ARBEIDSDAGEN_IT-tinget_2014Steffen_Dahl_NAAR_TEKNOLOGIEN_ROTER_TIL_ARBEIDSDAGEN_IT-tinget_2014
Steffen_Dahl_NAAR_TEKNOLOGIEN_ROTER_TIL_ARBEIDSDAGEN_IT-tinget_2014
Conference_by_EVRY
IT-Drift
IT-DriftIT-Drift
IT-Drift
Per Arne Godejord
Kvalitetssikring av feideforvaltningen i eget hus 13102015
Kvalitetssikring av feideforvaltningen i eget hus 13102015Kvalitetssikring av feideforvaltningen i eget hus 13102015
Kvalitetssikring av feideforvaltningen i eget hus 13102015
Senter for IKT i utdanningen, redaksjon
Presentasjon av ny LMS
Presentasjon av ny LMSPresentasjon av ny LMS
Presentasjon av ny LMS
Martin Morfjord
Medlemsnytt_3_2015_side4_5
Medlemsnytt_3_2015_side4_5Medlemsnytt_3_2015_side4_5
Medlemsnytt_3_2015_side4_5
Kristian Hjelseth
Norsk UH-sektor og 淡kosystemer for identitet og integrasjoner i skyen
Norsk UH-sektor og 淡kosystemer for identitet og integrasjoner i skyenNorsk UH-sektor og 淡kosystemer for identitet og integrasjoner i skyen
Norsk UH-sektor og 淡kosystemer for identitet og integrasjoner i skyen
Andreas kre Solberg
Tdc
TdcTdc
Tdc
Safurudin Mahic II
Pc Ware Datasenter L淡Sninger 2009
Pc Ware Datasenter L淡Sninger 2009Pc Ware Datasenter L淡Sninger 2009
Pc Ware Datasenter L淡Sninger 2009
siggen64
IPnett Contact Center Solutions - WORKSHOP OSLO 4thDec 2013
IPnett Contact Center Solutions - WORKSHOP OSLO 4thDec 2013IPnett Contact Center Solutions - WORKSHOP OSLO 4thDec 2013
IPnett Contact Center Solutions - WORKSHOP OSLO 4thDec 2013
Egil S淡gaard
SharePoint Migrering unng奪 fallgruver
SharePoint Migrering unng奪 fallgruverSharePoint Migrering unng奪 fallgruver
SharePoint Migrering unng奪 fallgruver
Knut Relbe-Moe [MVP, MCT]
IT-tjenester som str淡m i veggen
IT-tjenester som str淡m i veggenIT-tjenester som str淡m i veggen
IT-tjenester som str淡m i veggen
ErgoGroup
Monolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - staccMonolitter og byggeklosser jon erik solheim - stacc
Monolitter og byggeklosser jon erik solheim - stacc
Jon Solheim
Et datadrevet nav uninettdagene 20191112
Et datadrevet nav uninettdagene 20191112Et datadrevet nav uninettdagene 20191112
Et datadrevet nav uninettdagene 20191112
Tommy Jocumsen
Ta styringen!
Ta styringen!Ta styringen!
Ta styringen!
Bouvet ASA
Ibe250 3
Ibe250 3Ibe250 3
Ibe250 3
periho
Dashboard Til Linked In.Com
Dashboard Til Linked In.ComDashboard Til Linked In.Com
Dashboard Til Linked In.Com
guest1f7d7e
Transcendent Group Internrevisjon
Transcendent Group InternrevisjonTranscendent Group Internrevisjon
Transcendent Group Internrevisjon
Anders J. Klereborg
IBM Tivoli - Enhetlig styrning av 奪tkomstkontroll p奪 norska skattemyndigheten
IBM Tivoli - Enhetlig styrning av 奪tkomstkontroll p奪 norska skattemyndighetenIBM Tivoli - Enhetlig styrning av 奪tkomstkontroll p奪 norska skattemyndigheten
IBM Tivoli - Enhetlig styrning av 奪tkomstkontroll p奪 norska skattemyndigheten
IBM Sverige
Feide s淡knad og godkjenningsprosess
Feide s淡knad og godkjenningsprosessFeide s淡knad og godkjenningsprosess
Feide s淡knad og godkjenningsprosess
Synneve Bottolfs
It lederkonferansen 2010 - slideshare
It lederkonferansen 2010 - slideshareIt lederkonferansen 2010 - slideshare
It lederkonferansen 2010 - slideshare
Ledelse 2.0
Steffen_Dahl_NAAR_TEKNOLOGIEN_ROTER_TIL_ARBEIDSDAGEN_IT-tinget_2014
Steffen_Dahl_NAAR_TEKNOLOGIEN_ROTER_TIL_ARBEIDSDAGEN_IT-tinget_2014Steffen_Dahl_NAAR_TEKNOLOGIEN_ROTER_TIL_ARBEIDSDAGEN_IT-tinget_2014
Steffen_Dahl_NAAR_TEKNOLOGIEN_ROTER_TIL_ARBEIDSDAGEN_IT-tinget_2014
Conference_by_EVRY
IT-Drift
IT-DriftIT-Drift
IT-Drift
Per Arne Godejord
Kvalitetssikring av feideforvaltningen i eget hus 13102015
Kvalitetssikring av feideforvaltningen i eget hus 13102015Kvalitetssikring av feideforvaltningen i eget hus 13102015
Kvalitetssikring av feideforvaltningen i eget hus 13102015
Senter for IKT i utdanningen, redaksjon
Presentasjon av ny LMS
Presentasjon av ny LMSPresentasjon av ny LMS
Presentasjon av ny LMS
Martin Morfjord
Medlemsnytt_3_2015_side4_5
Medlemsnytt_3_2015_side4_5Medlemsnytt_3_2015_side4_5
Medlemsnytt_3_2015_side4_5
Kristian Hjelseth
Norsk UH-sektor og 淡kosystemer for identitet og integrasjoner i skyen
Norsk UH-sektor og 淡kosystemer for identitet og integrasjoner i skyenNorsk UH-sektor og 淡kosystemer for identitet og integrasjoner i skyen
Norsk UH-sektor og 淡kosystemer for identitet og integrasjoner i skyen
Andreas kre Solberg
Tdc
TdcTdc
Tdc
Safurudin Mahic II
Pc Ware Datasenter L淡Sninger 2009
Pc Ware Datasenter L淡Sninger 2009Pc Ware Datasenter L淡Sninger 2009
Pc Ware Datasenter L淡Sninger 2009
siggen64
IPnett Contact Center Solutions - WORKSHOP OSLO 4thDec 2013
IPnett Contact Center Solutions - WORKSHOP OSLO 4thDec 2013IPnett Contact Center Solutions - WORKSHOP OSLO 4thDec 2013
IPnett Contact Center Solutions - WORKSHOP OSLO 4thDec 2013
Egil S淡gaard

IAM itSMF

  • 1. Identity & Access Management Hva er behovet, hva er rollebasert tilgangskontroll, og hva er beste praksis? _ > author Ronny Robinsson-Stavem ....verified > title Senior advisor ....verified > company Steria ....verified > identity matched > access granted >
  • 2. Fokus 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Hva er prosessene og driverne for Identity & Access Management (IAM)? Hva mener vi med rollebasert tilgangskontroll? Beste praksis for innf淡ring av IAM
  • 3. Identitetsforvaltning 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt
  • 4. Identity & Access Management (IAM) 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt IAM Det er som et tau \ Det er et stort l淡vblad \ / Det er som en trestamme Det er som en slange /
  • 5. ITIL v3 definisjon av Access Management 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt the process of granting authorized users the right to use a service, while preventing access to non-authorized users. It has also been referred to as Rights Management or Identity Management in different organizations. the process that enables users to use the services that are documented in the Service Catalogue
  • 6. Vanlige definisjon 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Identity management is the set of business processes , and a supporting infrastructure , for the creation , maintenance , and use of digital identities
  • 7. Identitetsprosesser Brukerst淡tte Tapt identifikasjon Password Reset Nye berettigelser Rapporortering Compliance Revisjon Sikkerhet Integrasjon Arbeidsflyt Ny bruker Opprette brukerid Utstede identifikasjon Tildele tilganger Endringer av brukerkonti Forfremmelser Overf淡ringer Nye arbeidsoppgaver Endringer av tilganger Passord admin Sterke passord Glemt passord Passord Reset Slette bruker Slette/Fryse brukerkonto Slette/Fryse bemyndigelser
  • 8. IAM utfordringer Ansatte, Konsulenter, Vikarer OS Appls DB Sikkerhet systemer Kataloger Portals Andre ressurser Virksomhetsressurser Autentisering Hvem er jeg? Hvordan beviser jeg det? Har jeg flere identiteter i flere systemer? Autorisasjon Hva har jeg tilgang til? N奪r? Policies Hva sier forretningsreglene at jeg kan f奪 gj淡re? Relasjoner og kontekst Hvilken rolle har jeg? Hvilke organisasjonsenheter og grupper befinner jeg meg i? Kunder Leverand淡rer Samarbeidspartnere
  • 9. Identitetsproblemet 1. Meta Group 2. Computer Security, Issues and Trends 3. FBI/CSI Computer Crime and Security Survey 4. IDC 5. International Security Forum Reportt 6. Calculated value Sikkerhet og risiko Kun 60% av brukernes tilganger blir fjernet n奪r en bruker slutter. Orphan accounts 淡ker risikoen for sikkerhetsbrudd med 23 %. 1 81% av sikkerhetsbrudd utf淡res av egne ansatte. 2 Svakheter ved insidesikkerhet koster 250K per hendelse. 3 Revisjon og compliance Kun 50% reviderer tilgangsrettigheter regelmessig. Opp mot 60% av tilgangsprofiler er ikke gyldige. 80% i bransjer der det er stor turn-over 4 Lovgivning (HIPAA, Basel II, Sarbanes-Oxley etc.) gj淡r revisjoner p奪budt Effektivitet og produktivitet 15-25% av tilganger/forsyninger m奪 gj淡res p奪 nytt grunnet feil. 5 27% av selskaper bruker med enn 5 dager p奪 奪 opprette/fjerne brukerkonti. 5 11% av interne brukere tilkaller brukerst淡tte m奪nedlig med problemer relatert til tilganger; 7% for problemer relatert til brukerprofil 1 Kostnader 40-60% av henvendelser til brukerst淡tte er grunnet glemte passord. 1 15% 奪rlige endringer p奪 brukerprofiler forbruker 29% av totale IT ressurser 1 Selskaper med 12 applikasjoner kan spare $3.5M and realisere 295% ROI over en 3 奪rs periode. 6 Brukeridentifikasjon for autentisering og autorisasjon Katalogtjener eller database Applikasjon Brukeridentifikasjon for autentisering og autorisasjon Katalogtjener eller database Applikasjon Brukeridentifikasjon for autentisering og autorisasjon Katalogtjener eller database Applikasjon Sluttbrukere Administratorer Administratorer Administratorer
  • 10. IAM s淡rger for orden i kaoset Sentralisert, policy-basert administrasjon av tilgang og autorisasjon Raskere utvikling og produksjonssetting Sentralsiert revisjon og logging En kilde til sannheten Single Sign-On, med f脱rre passord Appliikasjoner Applikasjoner Applikasjoner Applikasjoner Sluttbrukere Administratorer Brukeridentifikasjon for autentisering og autorisasjon
  • 11. IAM elementer NOS/Directories OS (Unix) Systemer & Kataloger Applikasjoner ERP CRM HR Mainframe Revisjon og Rapportering Arbeidsflyt og orchestration Ansatte IT personell SOA Applikasjoner Partnere Eksterne Delegert Admin SOA Applikasjoner Kunder Internal Identity Management Service Access Management Autentisering & SSO Autorisasjon & RBAC Identity Federation Katalogtjenester LDAP kataloger Meta-katalog Virtuell katalog Identity Provisioning Hvem, Hva, N奪r, Hvor, Hvorfor Regler & tilgang policies Integrasjonsrammeverk Identity Administration Delegert Administrasjon Selvregistering & Selvbetjening Bruker & Gruppe Management Overv奪king og Styring
  • 12. Fokus p奪 forretningsverdi Identity management projects are much more than technology implementations they drive real business value by reducing direct costs, improving operational efficiency and enabling regulatory compliance.
  • 13. IAM er forretningsstyrt 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Forretningskrav Reguleringskrav og lovverk Prosesser og roller Budsjetter Visjon og strategi Hardware/Software Stort behov for en IAM koordinator for Planer, Arkitektur, Integrasjon, and Ledelse 80% 20% Policy, Prosess, Planlegging, Politikk, Ledelse Teknisk Kataloger Brukeradministrasjon Autorisasjon Identifikasjon Integrasjon Policyer
  • 14. Strategiske forretningsdrivere for IAM 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Kostnadskontroll Etterlevelse Risikostyring Smidighet Smidig organisasjon Tilgang eksterne brukere Tilpasning for ansatte SOA Outsourcing Oppkj淡p Etterlevelse SOX, Basel II Internrevisjon Eksterne revisjonsselskaper Omd淡mmekontroll Personvern Kostnadskontroll Reduserte kostnader Felles smidig arkitektur kt produktivitet Effektiv drift Forbedrede SLAer Forbedret brukeropplevelse kt produktivitet Risikostyring og sikkerhet Rapportering Reduksjonstiltak Etterlevelse av policies Orphan accounts kt sikkerhet Effektiv drift Ref. Burton Group
  • 15. Skape verdier med IAM Implementeringsfokus Integrasjon Standardisering Fokus p奪 muligheter Grunnleggende sikkerhet og administrasjon Implementeringsfordeler kt kvalitet og effektivitet kt omsetning Reduserte kostnader Forbedret Sikkerhet Kostnad og kompleksitet Forretningsverdi Integrerte operasjoner og automatiserte prosesser Standardisere policyer, prosesser and teknologi Opprett m奪linger som gjenspeiler alvorligheten av potensielle trusler og s奪rbarheter Fult integrerte IAM l淡sninger krever anvendelse og integrasjon av standarder, teknologier og prosesser, som introduserer avveininger rundt risiko og muligheter Den virkelige gevinsten med IAM ligger i integrasjon og s淡rge for en sikker og tillitsfull samhandling p奪 tvers av milj淡er
  • 16. Tilgangskontroll 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt
  • 17. V奪re medarbeidere har tillit Selvf淡lgelig vil ikke dine ansatte misbruke sin tilgang til sensitive data 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt
  • 18. Eller? 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt
  • 19. RBAC standarden Brukere er medlemmer av roller Rettigheter tildeles roller Mange til mange bruker/rolle og rolle/rettighet relasjoner Rolle hierarki RBAC brukes for 奪 styre RBAC 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Fordeler: Autorisasjonsstyring Hierarkiske roller Minste privilegium Separation of Duties
  • 20. Organisasjoner s淡ker etter bruker- og tilgangsstyring som er enkel, sikker og effektiv Lege akutten Overlege Sykepleier Intern Lab Tekniker Lab Radiologi Pasientjournal R淡ntgen MS Sharepoint RACF/ACF2/Top Secret Execute, Read, Update. Alter UNIX Read, Write Execute SAP/Oracle Alter, Delete, Execute, Index, Insert, Select LDAP/Active Directory Read, Write, Search Bruker Roller Tilganger Forretning IT Separation of Duties Monica Applikasjoner Sykepleier kan ikke ha rollen Overlege Sykepleier som medisinerer kan ikke bestemme dosering Tilgangssertifisering/autorisasjon Certification Triggers: SOX, HIPAA, SAS 70, Basel II, FISMA, etc.. Source: Gartner & IBM Compliant Rollestyring Bemyndigelsesstyring Privileged Identity Management Rollebasert tilgangsstyring
  • 21. Rolledesign 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Organisasjons-struktur M奪l system Rolle- struktur Tilgangskontroll modell Regel + attributt Policy Provisioning Connector (IdM) Top down Role engineering Bottom up Role mining Virksomheten IT-teknisk Avstemming (reconsiliation)
  • 22. Litt om dagens RBAC prosjekter I stor grad basert p奪 NIST RBAC F奪 referanser p奪 vellykkede prosjekter Undervurdering av omfang og tid IT fokusert og IT styrt uten involvering av hele bedriften For d奪rlig integrasjon mellom IdM og Rolleverkt淡y RBAC standarden ikke god nok i SOA milj淡er Rolleeksplosjon. Trend: attributtstyring p奪 roller Policybasert og bruk av Policy Decision Points F奪 etablerer forvaltningsorgan for rollearbeid med Role Life cycle styring Ikke dynamisk rollemodell, ofte knyttet opp mot organisasjon 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt
  • 23. 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Beste praksis
  • 24. Noen r奪d for IAM Grundig planlegging og behovsanalyse Beste praksis starter med en kunnskap om at dette er et forretningsinitiativ, og ikke et IT-prosjekt For 奪 oppn奪 en suksessrik, sikker og effektiv IAM innf淡ring i hele virksomheten m奪 ikke prosjektet styres fra IT avdelingen Hele virksomheten m奪 inkluderes, og m奪 styres fra et punkt som er h淡yt i organisasjonen slik at mandatet er krystallklart. Dette prosjektinitiativet skal gjennomf淡res! Bryt prosjektet ned i mindre leveranser for 奪 synliggj淡re suksesser slik at ledelsen fortsatt gir sin st淡tte som er en forutsetning for suksessen F淡lg en velpr淡vd metodikk, og implementer i mindre leveranser! Tenk p奪 奪 bygge IAM l淡sningen p奪 lik linje som 奪 bygge et stort hus eller et kj淡ret淡y. L淡sningen best奪r av mange uavhengige deler som sammen skal fungere som en s淡ml淡s enhet. Gj淡r erfaringer av andres feil og suksesshistorier 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt
  • 25. Forskjellen mellom taktisk og strategisk IAM 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Sponset av IT Automatisering av brukerst淡tte Kun IT personell Kostnadsreduksjon Antall hoder Effektivitet og nyttighet Fokus p奪 avdeling Selvbetjening passord reset Plattformspesifikk: Windows gruppe administrasjon Datasynkronisering Sponset og forankret i ledelsen Endringer av forretningsprosesser HR er involvert Compliance & rapportering IAM styring Effektivitet og nyttighet Fokus p奪 hele virksomheten Bruker provisioning Virksomhetsroller Applikasjonsintegrasjon Ikke bare IT infrastruktur Delegering og selvbetjening Datasynkronisering Taktisk ! Strategisk ! Identity Management krever en taktisk og pragmatisk tiln脱rming for et strategisk resultat
  • 26. De virkelige hindringene for strategisk verdi Taktiske IAM prosjekter vil begrense seg selv Suksessrike strategiske IAM prosjekter er sv脱rt vanskelige 奪 gjennomf淡re Vanskelig 奪 forsvare kostnader forbundet med sikkerhet fordi det i de tilfellene mangler m奪lbare suksesskriterier * Mange IT sikkerhetssjefer er ikke synlige og ofte uten myndighet og ledelsen forst奪r ikke problemstillingene og konsekvensene * Tidligere initiativ har feilet, delvis fordi leverand淡rer lover noe de ikke kan levere * Ledelsen tror informasjonssikkerhet er et IT problem 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt * = referanse Forrester 2008
  • 27. Oppsummert: Verdiskapning med IAM 11/08/09 Kostnader Sikkerhet Vekst Compliance Produktivitet Interne sikkerhetsbrudd, p奪litelighet og offentlig omd淡mme, personvern Vit hvem brukerne dine er. Identifiser, verifiser og autoriser dem. Automatisert selvbetjening, passord administrasjon, tjeneste tilgang and oppfyllelse av foresp淡rsler Redusert kost med ulike systemer for tilgangskontroll og brukerkataloger. integrasjoner og endringsledelse Muliggj淡r sikkerhets即-samarbeid med kunder, partnere og forbrukere HP Proprietary; NDA Use Only
  • 28. IAM - Security as a business enabler 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt It is not the strongest of the species that survives, nor the most intelligent that survives. It is the one that is the most adaptable to change. - Charles Darwin
  • 29. 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Takk for oppmerksomheten
  • 30. 08.11.09 Konfidensiell - Navn p奪 presentasjon.ppt Ekstra slider
  • 31. Price of doing nothing ref Burton Group
  • 32. A common perception is that by avoiding IAM strategies, companies save money. In reality, avoiding IAM results in significant costs arising from inefficiencies and loss of productivity. There is a price for doing nothing: The Price of Doing Nothing ref CA November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Adding more help desk & IT personnel in the future. Wasting more time on integration of future applications. Incurring cost of trying to prove compliance to regulations through manual and un-integrated processes. Taking the risk of a security breach, which can be tremendously expensive to the organization. Incurring potential damage to your reputation. Lagging behind other companies.
  • 33. Many midsized companies wont consider identity management, because they think it is too difficult to deploy, too expensive to purchase and implement, and too complicated to administer and maintain. The problem is that its precisely when companies grow to mid-market ($150 million to $1 billion) that user accounts seem to multiply like rabbits. Postponing an investment in some form of unified account or identity management often proves to be one of the most common and costly mistakes in security today. The Price of Doing Nothing November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA David Piscitello, Network World, 08/28/06
  • 34. Each company has its own estimates for these input figures. A certain section of Return on Negligence can affect one company more than another it is customizable. It is difficult to capture future benefits of an IAM solution. Companies tend not to buy into external calculations. It is an overwhelming calculation that is difficult to prove. Financial Drivers Challenges November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA It is the only way to get CFO endorsement. Despite the credibility challenges, financial justifications must be developed and managed. A critical failure point can be avoided by managing the promised RON past the initial purchase to ensure capturing all the promised financial rewards. During project design, a financial manager should join the team to monitor progress and results.
  • 35. Return-On-Negligence (RON) on IAM Avoidance - Overview November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Annual Potential for Cost Avoidance Related to IAM Solutions Potential IT Cost Avoidance Related to User Provisioning $290,649 Potential Lost Productivity Costs Avoidance Related to User Provisioning $220,027 Total Potential for Cost Avoidance Related to User Provisioning $510,676 Potential Lost Productivity (Due to Multiple Login Sessions) Cost Avoidance Related to SSO $673,828 Potential Lost Productivity (Due to Trial & Error) Cost Avoidance Related to SSO $485,156 Potential Help Desk Passwords Resets Cost Avoidance Related to SSO $354,883 Total Potential for Cost Avoidance Related to SSO $1,513,867 Potential Application Development Cost Avoidance Related to Web Access Control $135,000 Potential Security Audits Cost Avoidance Related to Web Access Control $20,000 Potential Extranets Help Desk Cost Avoidance Related to Web Access Control $195,186 Potential Downtime Cost Avoidance Related to Web Access Control $30,000 Total Potential for Cost Avoidance Related to Web Access Control $380,186 Please note that potential Help Desk Cost Avoidance alone amounts to $550,068 Per Year Total Cost of Negligence per Year $2,404,729 Total Cost of Negligence for 3 Years $7,214,187
  • 36. RON for Typical Identity Management Tool Basic Input November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Company Details Number of Internal Users (employees) 3,000 Number of External Users (partners and customers) 10,000 Rate of growth per year (% of users) 10% Turnover rate per year (% of users) 10% Rate of Moves, Adds and Changes (MACs) 15% Annual Fully-Burdened Salary for IT Staff Member (Salary +15%) $90,850 Average Fully-Burdened Employee Salary (Salary + 15%) $90,850 Number of Work Hours Per Year 1920
  • 37. RON for Identity Management Industry Standard Assumptions November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Assumptions 油 Number of Hours to Set up a New User 3 Number of Hours to Handle Moves, Changes (MACs) 1 Number of Hours to Delete Obsolete User 0.75 Number of Hours From Request Through Resolution (for New Account) 10 Number of Hours From Request Through Resolution for Moves/Changes (MACs) 14
  • 38. RON for Single Sign-On Basic Assumptions November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Company Details Number of Internal Users (employees) 3,000 Average Number of Accounts per Internal User (Employee) 4 Annual Fully-Burden Salary for IT Staff Member (Salary +15%) $90,850 Average Fully-Burden Employee Salary (Salary + 15%) $69,000 Number of Work Hours Per Year 1920
  • 39. RON for Single Sign-On Industry Standard Assumptions November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Assumptions 油 Time Spent to Login to a Single Account (Minutes) 0.50 Average % of Total Logins that Are Incorrect Out of Total Logins 10% Average % of Incorrect Logins to be Solved by Trial and Error 80% Average Time to Trial and Error Forgotten Password Per User (minutes) 2 Average Length of Help Desk Call (Minutes) 10.0
  • 40. RON for Single Sign-On Avoidance Impact November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Calculations Results Lost User Productivity Cost Due to Multiple Login Sessions Login Sessions Per User Per Year 1,000 Number of Hours Spent on Login Sessions Per Internal User Per Year 8 Hourly Cost of Typical Employee $36 Cost of Lost Productivity (Due to Multiple Login Sessions) $898,438 % Lost User Productivity Cost Savings Provided by Single Sign-On 75% Potential Lost Productivity Costs Avoidance Related to SSO $673,828 Lost User Productivity Cost Due to Trial & Error of Forgotten Password Total Number of Incorrect Logins Per User Per Year 100 Total Number of Incorrect Logins Solved by Trial & Error per User 80 Total Number of Incorrect Logins Solved by Help Desk Assistance Per User 20 Time Spent on Trial & Error Per User Per Year (hours) 3 Time Spent on Help Desk Calls Per User Per Year (hours) 3 Total Cost of Lost Productivity (Due to Trial & Error of Forgotten Password) $646,875 % Lost User Productivity Cost Savings Provided by Single Sign-On 75% Potential Lost Productivity (Due to Trial & Error) Costs Avoidance Related to SSO $485,156
  • 41. RON for Web Access Basic Input November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Company Details Number of External Users (partners and customers) 10,000 Rate of Growth per Year (% of users) 10% Turnover Rate Per Year (% of users) 10% Number of New Extranet Applications Per Year 15 Number of Security Audits Per Year 10 Annual Fully-Burdened Salary for IT Staff Member (Salary +15%) $90,850 Number of Work Hours Per Year 1920
  • 42. RON for Web Access Industry Standard Assumptions November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Assumptions 油 Average Access Control Development Cost Per Extranet/intranet Application $12,000 Average Cost of Security Audit $4,000 Average Number of Help Desk Calls Per User per Year 11 Average % Help Desk Activity Related to Passwords 30% Average Length of Help Desk Call (Minutes) 10.0 Average Application Downtime Cost Per Hour (Due to Security Breach) $30,000 Average Number of Downtime Hours Per Year (Due to Security Breach) 2
  • 43. RON for Avoidance Impact Web Access November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Calculations Results Cost of Application Development Time Associated with Access Control Cost of Hard-Coding Access Control $180,000 % Application Development Cost Savings Provided by Web Access Control 75% Potential Application Development Costs Avoidance Related to Web Access Control $135,000 Cost of Security Audits per Year Cost of Security Audits per Year $40,000 % Security Audits Cost Savings Provided by Web Access Control 50% Potential Security Audits Costs Avoidance Related to Web Access Control $20,000
  • 44. RON for Avoidance Impact Web Access CONTINUED November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Calculations Results Cost of Help-Desk (not using Self-Registration and Self-Service) Number of Help Desk Calls Per Year 110,000 Number of Help Desk Calls Related to Passwords Per Year 33,000 Total Time Spent by Help Desk staff on Passwords Related Calls Per Year (Hours) 5,500 Cost of IT Labor Per Hour $47 Cost of Help Desk Related to Extranets $260,247 % Extranets Help Desk Cost Savings Provided by Web Access Control 75% Potential Extranets Help Desk Costs Avoidance Related to Web Access Control $195,186 Cost of Downtime Due to Attacks Caused by Unauthorized Access Cost of Downtime $60,000 % Downtime Cost Savings Provided by Web Access Control 50% Potential Downtime Costs Avoidance Related to Web Access Control $30,000 Total Potential for Cost Avoidance Related to Web Access Control $380,186
  • 45. RON for Identity Management Avoidance Impact November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA User Account Management Cost油 Number of New Users Per Year 1300 Number of MACs per Year 1950 Number of Account Terminations Per Year 1300 Total Time Spent Annually on User Account Management (Hours) 6825 Cost of IT Labor Per Hour $47 Annual Cost of User Account Management by IT $322,943 % IT Cost Savings Provided by User Provisioning 90% Potential IT Cost Avoidance Related to User Provisioning $290,649
  • 46. RON for Identity Management Avoidance Impact CONTINUED November 8, 2009 Building Your Roadmap: Successful Identity and Access Management (IAM) Copyright 息 2007 CA Lost User Productivity (Due to Account Management) Cost Number of New Internal Users/Employees Per Year 300 Number of MACs per Year for Internal Users (Existing Employees) 450 Hourly Cost of Typical Employee $47 Cost of Lost Productivity For New Employees $141,953 Cost of Lost Productivity For Existing Employees $298,102 Total Lost Productivity Costs Per Year (Due to Account Management) $440,055 % Lost User Productivity Cost Savings Provided by User Provisioning 50% Potential Lost Productivity Cost Avoidance Related to User Provisioning $220,027 Total Potential for Cost Avoidance Related to Admin $510,676

Editor's Notes

  • #2: 際際滷 Presentasjon av foredragsholder. Ronny Robinsson-stavem Seniorr奪dgiver R奪dgivingsavdelingen, Informasjonssikkerhet og risikostyring Steria AS
  • #3: 際際滷 Det er ikke bare nyttig 奪 kunne kontrollere og styre hvilken tilgang brukerne skal ha i dine systemer - det er n奪 mer enn noen gang forretningskritisk! Det blir stadig st淡rre press p奪 effektivitet, sikkerhet og regulatorisk etterlevelse (compliance), og IAM blir mer og mer n淡dvendig. Frykten for 奪 innf淡re IAM kan v脱re stor siden det p奪virker hjertet av linjeorganisasjonen og IT ledere. Det er ikke overraskende at IAM prosjekter har rykte p奪 seg for 奪 v脱re komplekse og kostbare, og det kan ogs奪 v脱re vanskelig 奪 oppn奪 de m奪lsetningene man 淡nsker. Men med ved 奪 gj淡re de riktige tingene i riktig rekkef淡lge vil IAM prosjekter gi betydelige fordeler, inkludert reduserte kostnader, forbedret sikkerhet, bedre compliance og 淡kt produktivitet og brukeropplevelse. I denne presentasjonen skal jeg gi en oversikt over hva IAM er og hva som er beste praksis for en vellykket innf淡ring av IAM. Alle organisasjoner er avhengig av en effektiv Identity and Access Management l淡sning for 奪 beskytte viktig informasjon og utvikle smidige og effektiv prosesser.油
  • #4: Det f淡rste steget mot en vellykket innf淡ring av IAM er 奪 forst奪 det grunnleggende av IAM, som sv脱rt ofte blir missforst奪tt. Selv om det potensielt kan bli komplekst, s奪 er selve essensen av IAM forholdsvis rett fram. Nemlig 奪 avgj淡re hvem dine brukere er, hvem som skal ha tilgang til hvilke applikasjoner og ressurser (ogs奪 hvem som ikke skal ha det) i henhold til forretningsregler. Noen bedrifter tenker ofte p奪 digital identiteter som sikkerhet og p奪litelighet i stedet for identitet og muligheter. Dette er ikke s奪s tor forskjell p奪 slik man tenkte i gamle dager da man hadde murer og vollgraver rundt byene. Vakter var plassert ut ved portene og stoppet alle p奪 vei ut og p奪 vei inn for 奪 f奪 avklart hva som var hensikten med visitten. P奪 samme tid var markedene i disse byene. Man kan jo selv tenke seg hvilket kaos det var for kj淡pmennene 奪 frakte varene sin in og ut. Disse murene var jo en begrensing for salget, men den gangen var man jo happy med at det var slik. Vi kan jo sammenligne mange av dagens bedrifter som de innmurede byene fra den gang, der man sitter bak brannmurer og pr淡ver 奪 beskytte seg mot angrep. Det man i realiteten gj淡r er 奪 begrense muligheter og smidighet. N奪 er det jo heldigvis ikke mulig 奪 sammenligne ny og gammel tid helt p奪 denne m奪ten. Men det er n奪 slik at mye av aktiviteten ang奪ende digitale identiteter er forretningsfokusert. Press p奪 奪 v脱re konkurransedyktig samtidig som man m奪 holde kostnader nede, tvinger bedrifter til 奪 integrere sine forretningsprosesser og IT i stor skala. Jeg liker 奪 si at Identity & Access Management er Security as a business enabler. 際際滷
  • #5: Siden IAM betyr forskjellige ting avhengig av hvem man snakker med er det ofte vanskelig 奪 se helheten. Sp淡rsm奪let er hvordan skal man spise hele elefanten? Svaret er bit for bit. Siden IAM best奪r av s奪 mange forskjellige komponenter og teknologier kan de v脱re p奪 sin plass 奪 komme opp med noen definisjoner for 奪 etablere en plattform som kan gi en felles forst奪else av hva dette handler om. 際際滷
  • #6: 際際滷 ITIL versjon 3 innf淡rte en ny prosess, Access Management. Denne dekker ogs奪 identitetsforvaltning, men definisjonen av Access Management gj淡r det fort vanskelig og komplekst 奪 forst奪. Det er andre og bedre definisjoner som beskriver dett mer forst奪elig.
  • #7: 際際滷 Gartner og Burton Group er godt kjent som seri淡se analyseselskaper, og som dessuten har jobbet med identitets- og tilgangskontroll i mange 奪r. Deres definisjoner om hva Identity & Access Management er brukes ofte i presentasjoner og forklaring av emnet. Andre definisjoner baserer seg i st淡rre grad p奪 noen av disse. IAM fokuserer alts奪 p奪 prosessene, underliggende infrastruktur og systemer, for 奪 opprette, administrere, og bruke digitale identiteter, samt h奪ndhevelsen av sikkerhetsrelaterte forretnings-policyer.
  • #8: Hvilke prosesser har vi n奪r det gjelder 奪 h奪ndtere identiteter til brukerne? Livssyklusen for brukeradministrasjon er prosesser for 奪 opprette og slette brukerne, h奪ndtering av brukerkonti og endringer av bemyndigelser (entitlements), og sporing og verifisering av etterlevelse av policyer. Ny bruker Opprette brukerid Utstede identifikasjon Tildele tilganger Integrate identity creation and business processes Broad directory, database & system connectivity Provision other types of resources Endringer av brukerkonti Forfremmelser Overf淡ringer Nye arbeidsoppgaver Endringer av tilganger Continuous monitoring for identity changes Intelligent handling of re-orgs & renames Streamline privilege changes & requests Slette bruker Slette/Fryse brukerkonto Slette/Fryse bemyndigelser Auditable, automated deletion of identities Rapid entitlement & privilege revocation Ongoing management of retired accounts Password admin Sterke passord Glemt passord Passord Reset Empower end-users to help themselves Automate requests for new entitlements Tools to reduce the burden on the Helpdesk Rapporortering Compliance Audit Security Secure collection of audit events Identity lifecycle reporting Automate identity time-to-live Brukerst淡tte Tapt identifikasjon Password Reset Nye berettigelser Reduce the # of calls for forgotten passwords Change passwords across systems from one tool Tools to reduce the burden on the Helpdesk
  • #9: Tradisjonelt s奪 har har de eneste brukerne som har hatt tilgang til informasjon i en virksomhet v脱rt egne ansatte og medarbeidere, konsulenter og vikarer. Men dette milj淡et endrer seg konstant. Nye forretningsmodeller, nye m奪ter 奪 jobbe mer effektivt med samarbeidspartnere, nye tjenester for kunder, nye kommunikasjonskanaler, nye verdikjeder med leverand淡rer etc har trigget kravene for ulike type brukere, som kunder, Leverand淡rer og samarbeidspartnere til 奪 f奪 tilgang til din applikasjoner og informasjon i din virksomhet. S奪 informasjon i organisasjonen er ikke lenger bare aksessert inneform brannmurene, men ogs奪 ekponert gjennom ekstranet, portaler for kundetjenester, leverand淡rportaler etc til brukere som organisasjonen tidligere ikke trengte 奪 h奪ndtere. Dette f淡rer jo til en del nye sp淡rsm奪l og bekymringer: Hva er kostnaden forbundet med 奪 h奪ndtere den, etterhvert, 淡kende antall ulike brukere? Hvilken risiko er forbundet med 奪 奪pne opp virksomhetens infrastruktur og informasjon til eksterne parter? Hvordan h奪ndhever vi en uniform tilgangspolicy for alle de ulike ressursene virksomheten har? Hvordan kan vi tilby en fullstendig revisjon og rapportering rundt tilgangser i et slik scenario? Spesielt med tanke p奪 stadig st淡rre press og krav om reguleringer og lover man m奪 forholde seg til. Dette forsyner oss med noen interessante problemstillinger for 奪 styre hver brukers tilgang til virksomhetens ressurser. [Klikk] F淡r vi i det hele tatt tildeler brukere tilgang til informasjon og ressurser m奪 vi: Avgj淡re hvem den brukeren faktisk er, og bestemme oss for hvordan vi 淡nsker de skal bevise det. Avgj淡re hvilket tilgangsniv奪 man skal tildele brukeren, og til hvilke systemer avhengig av deres profil H奪ndheve virksomhetens policyer p奪 tvers av de ulike applikasjonene og deres respektive tilgangskanaler Avgj淡re hva som er brukerens relasjon og kontekst for tilgang. F.eks. Kan en ansatt ogs奪 v脱re en kunde, en kunde kan v脱re en partner etc. Disse kravene burde ikke v脱re nyheter i dag, fordi det er slik vi h奪ndhever tilgangskontroll i dag.
  • #10: Som nevt tidligere s奪 er det en del problemer med dagens praksis med identitetsforvaltning og tilgangskontroll Sikkerhet og risiko Kun 60% av brukernes tilganger blir fjernet n奪r en bruker slutter. Orphan accounts 淡ker risikoen for sikkerhetsbrudd med 23 %. 1 81% av sikkerhetsbrudd utf淡res av egne ansatte. 2 Svakheter ved insidesikkerhet koster 250K per hendelse. 3 Revisjon og compliance Kun 50% reviderer tilgangsrettigheter regelmessig. Opp mot 60% av tilgangsprofiler er ikke gyldige. 80% i bransjer der det er stor turn-over 4 Lovgivning (HIPAA, Basel II, Sarbanes-Oxley etc.) gj淡r revisjoner p奪budt Effektivitet og produktivitet 15-25% av tilganger/forsyninger m奪 gj淡res p奪 nytt grunnet feil. 5 27% av selskaper bruker med enn 5 dager p奪 奪 opprette/fjerne brukerkonti. 5 11% av interne brukere tilkaller brukerst淡tte m奪nedlig med problemer relatert til tilganger; 7% for problemer relatert til brukerprofil 1 Kostnader 40-60% av henvendelser til brukerst淡tte er grunnet glemte passord. 1 15% 奪rlige endringer p奪 brukerprofiler forbruker 29% av totale IT ressurser 1 Selskaper med 12 applikasjoner kan spare $3.5M and realisere 295% ROI over en 3 奪rs periode. 6 際際滷
  • #11: N奪r IAM implementeres ordentlig vil l淡sningene la deg svare p奪 f淡lgende sp淡rsm奪l: Hvem har tilgang og hvordan autentiserer de seg for 奪 f奪 tilgang? Hvordan styrer vi oppretting og fjerning av identiteter, og deres roller? Hva trenger de tilgang til, og hvordan, og hvem har godkjent den tilgangen?
  • #13: 際際滷
  • #14: Et IAM-prosjekt har sv脱rt liten mulighet for 奪 lykkes hvis det utelukkende fokuseres p奪 teknologi. Erfaringsmessig b淡r 80 prosent av fokus v脱re p奪 organisasjon og prosesser, og kun 20 prosent p奪 teknologi. Innf淡ring av IAM er en kompleks oppgave som trenger strategisk planlegging for 奪 lykkes. Ofte blir IAM implementert helt eller delvis uten at det har blitt foretatt skikkelige analyser. Ikke sjelden har implementeringen v脱rt basert p奪 krav og 淡nsker fra kun deler av organisasjonen. Resultatet er at det ikke finnes noen helhetlig infrastruktur som kan h奪ndtere identitetsforvaltningen. Dette kan f淡re til sikkerhetsutfordringer, og begrenser etter hvert utviklingsmulighetene i it-infrastrukturen, systemene og forretningsprosessene. 際際滷
  • #15: Hvilke drivere har vi for IAM? There are five main business drivers for an IAM solution some more applicable for one aspect of the solution than another. Smidig organisasjon: The organizational structure for security administration activities must match that of the enterprise at large some are centralized, others are decentralized and others are pushing self-service for both internal and external users. The IAM solution must be capable of handling all models. Kostnadskontroll: With the growing volume of users, current staffing volume cannot accommodate the enterprises needs. In an economic downturn, enterprises are looking for cost-cutting measures. In addition, user information can be leveraged in many business processes that provide a consistent and more secure access control infrastructure. Effektiv drift: Achieving an access request turnaround time of 24 hours or less is only doable via automation. Risikostyring og sikkerhet: The ability to prove the security of the enterprises access control infrastructure is an important requirement for maintaining customers, as well as obtaining them. In addition, easing the electronic data processing (EDP) audit process is of prime concern to many enterprises. Etterlevelse/Compliance: Financial services, healthcare, pharmaceuticals and the energy industries require the establishment of a secure access control infrastructure. Sarbanes-Oxley is causing all U.S. public companies to address their internal control infrastructure of which information security is a part. 際際滷
  • #16: 際際滷
  • #17: Tilgangskontroll, eller autorisasjon, i sin videste betydning, har eksistert som et konsept s奪 lenge vi mennesker har hatt verdier som det er verdt 奪 beskytte. En de fundamentale konseptene i verden av digitale identiteter er tilgangskontroll. Tilgangskontroll er som nevnt prosessen med 奪 gi visse subjekter tilgang til visse objekter og nekte tilgang til andre objekter. Selv om forestillingen av 奪 gi tilgang er, i mange tilfeller, for grovkornet, er vi n淡dt til 奪 kontrollere hvilke aktiviteter noen f奪r lov til 奪 utf淡re p奪 gitte ressurser. Eksempler: Alle medarbeidere skal f奪 tilgang til sin egen email, men ikke andres email. Email administratorer kan f奪 tilgang til alles emailer. Banken gir meg tilgang til min egen bankkonto, men bare p奪 bestemte m奪ter. Jeg kan bare ta ut et max bel淡p i minibanken. Bankansatte har tilgang kun i visse situasjoner. Tilgangskontroll er f淡rst og fremst et sp淡rsm奪l om policy. Tilgangskontroll teknologi er designet for 奪 automatisk h奪ndheve disse policyene. Policyer m奪 v脱re en refleksjon av sikkerhets- og forretningsm奪l som er satt i sammenheng med andre policyer i organisasjonen. 際際滷
  • #18: I dagens IT handler som sagt autorisasjon p奪 mange m奪ter om hvilke brukere/medarbeidere kan f奪 tilgang til hvilke systemer og informasjon. Eller sagt p奪 en annen m奪te; Hvem kan gj淡re hva? Fra et forretningsperspektiv har tilgangskontroll potensial til 奪 s淡rge for optimal deling og utveksling av ressurser, men det har ogs奪 potensial til 奪 frustrere brukere, p奪legge h淡ye administrasjonskostnader, og avsl淡ringer av uautoriserte tilgang til informasjon og misbruk, det v脱re seg tilsiktet eller utilsiktet. Men noe slikt skjer vel ikke hos oss? Hensikt og grunnprinsipper for tilgangsstyring Hver gang en bruker logger p奪 et system h奪ndheves en eller annen form for tilgangsstyring. For 奪 etablere en felles forst奪elsen av hensikten med tilgangsstyring er det hensiktsmessig 奪 se p奪 risiko forbundet med informasjonssystemer. Risiko relatert til informasjonssikkerhet kan deles opp i f淡lgende tre kategorier: Konfidensialitet . Behovet for 奪 holde informasjon sikkert og privat. Integritet . Konseptet for 奪 beskytte informasjon fra 奪 bli urettmessig forandret eller endret av uautoriserte brukere. Tilgjengelighet . Forestillingen om at informasjon er tilgjengelig til bruk n奪r det er behov for det. 際際滷
  • #19: Som vist er her s奪 er AIM definitivt ikke bare om teknologi Det handler om omd淡mme og rykte Det handler om risikovurderinger Det handler om juridisk ansvar Det handler om 奪 beskytte sensitive data Det handler om 奪 h奪ndtere andre virksomheter Det handler om 奪 str淡mlinje lifssyklusen p奪 brukere Det handler om revisjonsrapportering og regulatorisk compliance Og sist men ikke minst, aller mest om forretningsprosesser. 際際滷
  • #20: Rollebasert tilgangskontroll (RBAC) baserer seg p奪 tanken at brukere f奪r tildelt rettigheter via hvilken eller hvilke roller de har i virksomheten. Tilgangsstyring basert p奪 roller skal f淡lge noen viktige prinsipper. Alle brukere tilegnes en eller flere roller. Brukere som ikke tilegnes roller skal heller ikke ha tilgang til informasjon eller funksjonalitet F淡r en bruker kan f奪 en rolle m奪 rollen autentiseres for den brukeren. En bruker kan kun f奪 tilgang til informasjon eller funksjonalitet dersom funksjonaliteten eller informasjonen er autorisert for den gitte autentiserte rollen til den aktuelle brukeren. Rollene skal struktureres i et hierarki for 奪 gjenspeile organisasjonens tjenestevei for ansvar og autoritet. 際際滷
  • #21: Eksempel Ref IBM
  • #22: Rolledesign er prosessene for 奪 finne fram til virksomhetsroller. Tre mulige varianter: Top down Bottom up Hybrid 際際滷
  • #23: Noen utfordringer med rollearbeid 際際滷
  • #28: Presentation Title
  • #36: Where did the numbers from from for the RON? What is the source?
AboutCopyright
息 2025 際際滷