gestructureerde wijze een effectief identiteiten- en toegangsbeheer op te zetten. Het Identity and Access Management Model heeft, ontdaan van al zijn kinderziektes, eindelijk het volwassen stadium bereikt!

Introductie IAM3

Beheer van identiteiten en toegang in organisaties

Personen, zoals werknemers in organisaties, zijn bevoegd om bepaalde acties uit te voeren op informatie. Informatie die tegenwoordig bijna altijd is opgeslagen in digitale informatie systemen. Bijvoorbeeld een klant van een bank die een bankrekening heeft en zich heeft ingeschreven voor online bankieren. Deze klant heeft de bevoegdheid om transacties uit te voeren in het online bankier systeem, omdat hij of zij de gemachtigde is van de bankrekening. Een ander voorbeeld is een werknemer die bepaalde informatiesystemen mag gebruiken, zoals email of boekhoudsoftware, omdat deze werknemer -gezien zijn functie- bevoegd is om functionaliteit en informatie in deze systemen te gebruiken.

Voor veel organisaties is informatie een van de grootste waarden binnen het bedrijf en worden digitale informatie systemen gebruikt om informatie te verwerken en op te slaan. De organisatie is sterk afhankelijk geworden van informatiesystemen en er moeten dus eisen worden gesteld aan deze systemen. Functionaliteit en informatie moeten beschikbaar zijn als het nodig is, moeten alleen toegankelijk zijn voor bevoegde personen, functionaliteit moet naar verwachting werken en informatie moet correct zijn.

Toegangsbeheer is een maatregel die, indien effectief uitgevoerd, onmisbaar is om aan deze eisen te kunnen voldoen. Toegangsbeheer houdt in dat bevoegdheden worden gedefinieerd en toegewezen aan personen die met informatiesystemen moeten werken. De bevoegdheden worden vervolgens ingesteld op de informatiesystemen, zodat de toegang tot de functionaliteit en informatie die nodig is om de bevoegdheid uit te oefenen daadwerkelijk beschikbaar is voor de aangewezen personen. Uiteraard worden de bevoegdheden ook weer ingetrokken als deze niet meer nodig zijn.

Enkele voorbeelden van hoe effectief toegangsbeheer kan helpen om aan de bovengenoemde eisen te voldoen zijn:

1. -Functionaliteit en informatie zijn beschikbaar, indien de toegang op de systemen is ingesteld. Wanneer deze systeemtoegang niet tijdig is ingesteld, kan er niet gewerkt worden en is er geen beschikbaarheid. Het klinkt triviaal, maar in organisaties kan het weken duren voordat een werknemer zijn functie volledig kan uitvoeren.
   

2. -Functionaliteit en informatie zijn toegankelijk voor de juiste personen, indien de toegang op de systemen correct is ingesteld. Onjuiste instellingen kunnen tot gevolg hebben dat onbevoegden toegang hebben.
   

3. -Het garanderen van correcte informatie is ook gerelateerd aan toegangsbeheer. Wie heeft de bevoegdheid om de informatie te wijzigen? Zijn er bewuste of onbewuste wijzigingen uitgevoerd op de informatie in de systemen?
   
   De praktijk

   

   
   

Organisaties zijn sterk afhankelijk van informatiesystemen en stellen dus eisen. Effectief toegangsbeheer helpt om aan deze eisen te voldoen. Effectief houdt in, dat op het niveau van de informatiesystemen altijd de volgende vragen snel en nauwkeurig beantwoordt moet kunnen worden: Wie heeft toegang om wat te doen met welke informatie en waarom?

In praktijk blijkt dit ideaal beeld moeilijk te behalen, vanwege complexiteit en verandering van mensen, processen en systemen. Dit heeft negatieve gevolgen voor het behalen van de gestelde eisen, bijvoorbeeld:

1. -Het duurt lang voordat de benodigde toegang tot systemen is ingesteld. Hierdoor stagneert arbeid.
   

2. -Accounts met systeemtoegang worden niet structureel opgeruimd. Deze accounts kunnen worden misbruikt door onbevoegden om toegang te krijgen tot informatie of functionaliteit.
   

3. -De toegang op de systemen komt niet overeen met de bevoegdheden, zoals die bedoeld zijn door de leidinggevenden. Hierdoor kan er niet gewerkt worden of bestaat het risico dat onbevoegden toegang hebben tot functionaliteit of informatie en daar misbruik van maken.
   

4. -Met het wisselen van functies binnen een organisatie krijgt een werknemer alleen maar meer toegang tot systemen, omdat systeemtoegangen behorende bij zijn vorige functies niet worden afgesloten.
   

5. -Het is onduidelijk welke accounts behoren tot welke gebruikers en of de accounts nog wel nodig zijn.
   

6. -Het is onduidelijk wie de goedkeuring heeft verleend om accounts en systeemtoegang aan te maken en met welke reden.
   
   

Samengevat komt het er op neer dat de organisatie onvoldoende controle heeft op wie toegang heeft tot de informatie en functionaliteit.

Hindernissen doorzien

Effectief beheer van identiteiten en toegang betreft beheerprocessen en techniek. De techniek is nodig om bijvoorbeeld identiteiten te registreren, bevoegdheden te definiëren, bevoegdheden al dan niet automatisch toe te wijzen aan identiteiten en om accounts met systeemtoegang aan te maken op de aangesloten systemen. De beheerprocessen bevatten activiteiten als beheren van identiteitsinformatie, definiëren en wijzigen van bevoegdheden, toewijzen en intrekken van bevoegdheden en het controleren van en rapporteren over toegewezen, gewijzigde en ingetrokken bevoegdheden.

Het inrichten van de techniek en processen is niet een op zichzelf staande activiteit, het tegenovergestelde is waar. Accounts en systeemtoegang bevinden zich in zeer heterogene systemen die onder beheer staan van verschillende interne of externe partijen. De systemen worden gebruikt in zeer heterogene bedrijfsprocessen die ook weer beheerd worden door verschillende interne of externe partijen. Deze heterogene systemen en bedrijfsprocessen laten samenwerken met een centraal identiteiten- en toegangsbeheer proces is zowel technisch als politiek een uitdaging.

Vragen over het eigenaarschap, onderhoud en betrouwbaarheid van de informatie zullen beantwoord moeten worden. En technische vraagstukken, zoals het koppelen van informatiebronnen, opschonen van data, bepalen van gezamenlijke interfaces en standaardisatie zullen opgelost moeten worden. Vanuit de bedrijfsprocessen moeten bevoegdheden gedefinieerd kunnen worden, in functionele en systeem onafhankelijke termen. Vaak zijn deze bevoegdheden binnen een afdeling of bedrijfsproces niet expliciet benoemd en veranderlijk.

Uit de bovenstaande opsomming wordt al duidelijk dat een identiteiten- en toegangsbeheer proces zeer veel afhankelijkheden heeft met andere processen en systemen binnen een organisatie. Bijvoorbeeld het HR proces dat vaak gebruikt wordt als bron voor de identiteiten registratie of als bron voor het afleiden van bevoegdheden op basis van de functieomschrijving. Een Security Management proces, dat de risico’s moet beheersen die ontstaan doordat informatie en functionaliteit worden opengesteld voor gebruikers. Een Change Management proces dat in een zeer heterogene omgeving waarin alles samenwerkt, moet zorgen dat wijzigingen in processen en systemen geen negatieve impact hebben op het functioneren van aangesloten processen en systemen. Een Help Desk die ingericht moet zijn op het ondersteunen van de gebruikers achter de identiteiten. En zo zijn er nog veel afhankelijkheden te noemen.

Uit de praktijk is gebleken dat problemen die voortkomen uit gebrek aan inzicht in alle afhankelijkheden tussen de verschillende actoren, processen en systemen, de effectiviteit van het identiteiten- en toegangsbeheer proces sterk kunnen beperken. Sterker nog dan de technische hindernissen die overwonnen moeten worden. Toch ligt de aandacht vaak bij de techniek. Oorzaken zijn bijvoorbeeld product leveranciers die een technisch product als totaaloplossing verkopen, zonder aandacht te schenken aan de organisatorische aspecten. Of de niet uit te roeien opvatting dat beveiliging en toegang tot systemen toch vooral iets technisch is, terwijl een onmisbare voorwaarde een management is wat zich verantwoordelijk voelt voor het beheersen van risico’s en het benoemen van bevoegdheden.

IAM3: Doelstellingen bepalen, meten en verbeteren

Het inzicht in de hele structuur van afhankelijkheden tussen de verschillende actoren, processen en systemen kan alleen opgebouwd worden door praktijk ervaring. Maar, door deze praktijkervaring te generaliseren en vast te leggen in een model of raamwerk, wordt de kennis overdraagbaar en kan deze worden toegepast op nieuwe implementaties of projecten ter verbetering. Het zou veel uitgaven en vertragingen voorkomen als we van te voren kunnen beoordelen wat er gerealiseerd moet worden binnen processen als HR, Security Management en Change Management om identiteiten- en toegangsbeheer effectief te kunnen laten functioneren. Daarnaast hebben we een methode nodig om de effectiviteit van het identiteiten- en toegangsbeheer proces te kunnen meten en erover te rapporteren. Het Identity and Access Management Maturity Model (IAM3) is precies met deze gedachte ontwikkeld.