Identity Access Management

Optimaal inspelen op de wensen van de eindgebruikers, maar wel zo veilig mogelijk. Dit staat steeds hoger op de prioriteitenlijst van de IT-afdeling. Op het gebied van Identity Access Management (IAM) wordt de groep die toegang moet krijgen steeds groter. Dit maakt de uitdaging om de snelheid van dienstverlening te combineren met veiligheid steeds groter. Maar wat is AIM precies? Waarom is het belangrijk en wat zijn de voordelen van IAM?  Al de antwoorden op deze vragen, vind je op deze pagina bij elkaar.

Wat is IAM?

IAM is de afkorting voor Identity Access Management. In het Nederlands vertaald staat IAM voor identiteit- en toegangsbeheer. Volgens bureau Gartner draait IAM om de processen die gebruikt worden om de juiste individuen toegang te geven tot de juiste bronnen op het juiste moment en om de juiste redenen.

Waarom is IAM belangrijk?

Bij IAM wordt vaak direct gedacht aan informatiebeveiliging en compliance. Door wet- en regelgeving zijn bedrijven verplicht om aan te kunnen tonen dat ze grip hebben op de toegangsbeveiliging van hun IT-systemen.

IAM functioneert als het ware als smeerolie in een complexe organisatie. Wanneer een organisatie samenwerkt met bijvoorbeeld verschillende externe organisaties en daarnaast ook intern een complexe organisatorische indeling heeft, zal het regelen van toegang en rechten volgens de traditionele wijze (handmatig) tot chaos leiden. Gezien het risico op menselijke fouten en bijkomende kosten, is het veiliger en effectiever om te kiezen voor een IAM oplossing.

Naast efficiëntie en kostenreducering noemt Gartner nog enkele voordelen van invoeren van IAM;

• Risicobeheersing;
• Faciliteren;
• Compliance.

Waarvoor gebruiken we IAM?

Zoals eerder beschreven draait IAM om de processen die gebruikt worden om de juiste individuen toegang te geven tot de juiste bronnen op het juiste moment en om de juiste redenen.

Zo moet een nieuwe collega snel kunnen inloggen en moeten de toegangsrechten van een vertrekkende werknemer per direct worden ingetrokken. Daarnaast moet er ook adequaat gehandeld worden op bijvoorbeeld interne overdracht van werkzaamheden en de daarbij behorende toegangsrechten. Om dit alles gestroomlijnd te laten verlopen, heeft een organisatie een flexibele identiteits- en toegangsbeheer oplossing nodig. Oftewel een IAM.

IAM is gebaseerd op authenticatie, autorisatie en accounting. Ook wel AAA of triple-A genoemd;

• Authenticatie kun je zien als een soort grenscontrole. Door middel van verificatie wordt de identiteit van de gebruiker vastgesteld.
• Autorisatie gaat over taken en toegangsrechten. Afhankelijk van bijvoorbeeld je functie, relatie of locatie wordt de toegang, alsmede de rechten, tot verschillende onderdelen bepaald.
• Accounting draait om monitoring. Er wordt geregistreerd hoe de gebruiker het netwerk gebruikt. Denk aan de identiteit van de gebruiker, welke dienst is gebruikt en in welk tijdsbestek. Dit kan waardevolle informatie zijn voor o.a. het management, planning, financiële afdeling en bij het afnemen van audits.

Wat zijn de voordelen van IAM?

Eerder in dit artikel hebben we kort de voordelen van IAM aangekaart. Deze voordelen worden hieronder toegelicht.

IAM verhoogt de efficiëntie
Door het automatiseren van taken als aanmaken/wijzigen en verwijderen van accounts en bijbehorende rechten, krijgen de medewerkers meer een controlerende dan uitvoerende rol.  Zo verdwijnt het risico op menselijke fouten en is men daarnaast beter in staat de eventuele groei van de onderneming op te vangen. Wat weer bijdraagt aan de kosten- en risicobeheersing.

IAM draagt bij aan kostenbeheersing
Zonder gecentraliseerde IAM oplossing heeft het IT-personeel het beheer over zowel de authenticatie én autorisatie van diverse accounts. Een arbeidsintensief en foutgevoelige functie. Wanneer gebruikt gemaakt wordt van een gecentraliseerde IAM oplossing, worden exploitatie en onderhoudskosten gereduceerd. Daarnaast kan het veel werk besparen.

IAM draagt bij aan risicobeheersing
Uit onderzoek van Gartner Group, Meta Group en IBM blijkt dat 30-60% van de gebruikersaccounts nog gekoppeld zijn aan oud-medewerkers. Dit betekent dat zij nog steeds toegang hebben tot bedrijfsgevoelige informatie. Zo bestaat het risico dat bedrijfsgevoelige informatie op straat komt te liggen of men de informatie bewust verandert. Met een flexibele identiteits- en toegangsbeheer oplossing, oftewel IAM, kunt u deze risico’s voorkomen.

IAM faciliteert
In deze flexibele arbeidsmarkt worden medewerkers steeds vaker op korte termijn ingezet. Deze nieuwe collega moet uiteraard snel in kunnen loggen. Gemiddeld duurt het zo’n 12 dagen voordat een nieuwe medewerker beschikt over een persoonlijk account met de daarbijbehorende toegangsrechten. Dit blijkt uit onderzoek van Gartner Group, Meta Group en IBM. Door deze handelingen te automatiseren en ondersteunen met behulp van IAM, kunnen aanvragen en wijzigingen sneller en correct worden afgehandeld.  Dit heeft onder andere ook effect op het wachtwoord management. Een groot percentage van de helpdesk telefoontjes gaat over een wachtwoord reset. Door IAM ook te implementeren in het wachtwoord management, kan het aantal wachtwoord resets aanzienlijk worden verminderd.

IAM voldoet aan wet- en regelgeving
Wanneer een organisatie moet voldoen aan wet- en regelgeving zullen zij hierop getoetst worden door middel van audits. Zo zal men aan moeten tonen dat financiële overzichten en klantinformatie veilig worden bewaard. Het is aan te raden te investeren in IAM. Met IAM worden alle activiteiten gelogd. Op het moment van een audit heeft u de juiste informatie binnen handbereik.

Wat is de impact als ik IAM niet inregel?

Waar hackers vroeger via de achterdeur of een openslaand raam binnen kwamen, zien we dat ze tegenwoordig steeds vaker aan de voordeur kloppen. Deze achterdeuren en openslaande ramen zijn zodanig aangepakt dat men andere ingangen zoekt.

Volgens Verizon DBIR 2017 is er bij 81% van alle hackpogingen sprake van gekaapte accounts door zwakke of gestolen wachtwoorden. Hackers worden niet meer buiten gehouden met een wachtwoord. Het is verstandig te investeren in een geavanceerde IAM oplossing waarbij gebruik gemaakt wordt van multi-factor authenticatie, eenmalige wachtwoorden, federated identities en eenmalige inlogs. Zo zorgt u er niet alleen voor dat u aan wet-en regelgeving voldoet maar kunt u het ook aantonen.

Waar moet ik op letten bij de software selectie van IAM?

Wanneer gekozen wordt voor IAM zijn er verschillende mogelijkheden; IAM as-a-service; extern bij een broker of  IAM on-premise; in huis.

• IAM as-a-service is een externe dienst bij een broker. De IAM software draait dan buiten het datacenter, op het internet. De broker is verantwoordelijk voor de interactie tussen het datacenter en de overige cloudleveranciers.  Ook cloudleveranciers als Microsoft en Google, bieden naast hun product IAM als dienst aan. Pas hierbij wel op voor zaken als vendor lock-in!

 

• Met IAM on-premise wordt IAM intern behouden en binnen het datacenter geïmplementeerd. Indien nodig kan het remote beheerd worden.

De keuze voor IAM as-a-service of IAM on-premise is afhankelijk van de strategie, wensen, behoefte en architectuur van de organisatie. De locatie waar bedrijfsapplicaties draaien speelt ook een rol. Is dit intern, extern bij een relatie of SaaS-leverancier of een combinatie van intern en extern? In het laatste geval kan gekozen worden voor een hybride vorm van IAM.

Daarnaast heeft regelgeving ook effect op de keuze. Wellicht is het wettelijk niet toegestaan dat accountnamen en wachtwoorden extern gehost worden. Verder spelen SLA en kosten uiteraard ook een rol in het keuzeproces.

Hoe ziet een implementatie traject voor IAM eruit?

Implementatie van een IAM project kent verschillende fases;

1. Funtioneel ontwerp

De eerste fase is een beschrijving van de uitkomst van het project. Hierin wordt beschreven wat de verwachtingen zijn van het project. Vaak gebeurt dit op basis van:

• Must have
• Should have
• Could have
• Has not

Het gehele proces wordt doorlopen zodat alle facetten duidelijk op papier staan. Laten we als voorbeeld ingaan op de processen van een school. Denk hierbij aan hoe een leerling student of medewerker op school komt (onboarding). Welke veranderingen tijdens de loopbaan van de student of medewerker doorlopen worden.

Een medewerker komt binnen bij de HR afdeling. Hier worden de gegevens in  het HR systeem ingevoerd. Deze gegevens worden gebruikt als basis voor de digitale identiteit. Wat zijn de effecten van bijvoorbeeld trouwen (invloed op de naam), ontslag nemen/krijgen, overlijden en andere functies op deze processen? Al die processen worden voor elk type persoon doorgenomen. Dit gebeurt ook voor eventuele groepen. Wanneer dit op papier staat en is goedgekeurd, is de eerste fase afgerond.

2. Technisch ontwerp

De tweede fase draait om het omzetten van het functioneel ontwerp van AIM naar een technisch ontwerp van AIM. Dit technisch ontwerp vertelt exact wat er met data gebeurt binnen het AIM systeem. Hieruit kunnen conclusies worden getrokken. Bijvoorbeeld dat er in een bronsysteem nog een aanpassing gemaakt moet worden. Of dat er een extra veld uit het bronsysteem moeten worden opgehaald en een extra veld in een doelsysteem moeten worden toegevoegd.

3. Bouwfase

De IAM omgeving wordt volgens de specificaties van het technisch ontwerp opgebouwd en geheel doorgetest.

4. Acceptatiefase

In deze fase accepteert de klant de IAM omgeving.

5. Productiefase

Het IAM systeem wordt in productie genomen.

Wat zijn de grootste spelers op het gebied van IAM?

Er zijn diverse spelers op het gebied van IAM. De verschillen liggen met name in details als functionaliteit, het gebruiksgemak en de prijs. Het is daarom belangrijk vooral de eigen situatie te onderzoeken. Over het algemeen betaalt men een vast bedrag per gebruiker per maand.

Okta Identity Management
Uit testen komt Okta als beste en meest complete IAM oplossing. Okta is integreerbaar met o.a. Microsoft Active Directory, Google Apps en Workday. Het betreft een platform in de categorie IAM as-a-service. Medewerkers hebben met één inlog toegang tot alle andere bedrijfssoftware. Okta is beschikbaar voor pc en device. Zo is Okta altijd binnen handbereik, maar wel op een veilige manier. Okta bevat een aantal interessante extra’s zoals ondersteuning van Mobile Device Management. Zo is eenvoudig te zien of devices voldoen aan de beveiligingseisen. Ook is het mogelijk om bepaalde IP-adressen en locaties uit te sluiten.

OneLogin
Een van de populairste IAM tools. Onelogin is te integreren met andere systemen zoals HR-apps. Maar ondersteunt ook verschillende directory-types als Microsoft Active Directory, Google Apps en Workday. Binnen OneLogin zijn er verschillende security-policy’s in te stellen. Daarnaast wordt single sign on ondersteund. Zo heeft men eenvoudig toegang tot applicaties in de cloud en achter de firewall.

Ping Identity
Ook Ping Identity biedt ondersteuning aan diverse Google-apps en directory-types als Microsoft Active Directory. De prijs per gebruiker is erg gunstig. Echter voor multifactor-authenticatie dient extra betaald te worden. Daarnaast is Ping Identity niet de beste keuze wanneer het op diepgaande analyses en gebruikersbeheer aankomt.

Centrify Identity Service
Met Centrify heeft de  IT-manager nog meer controle over wat gebruikers wel en niet mogen doen. Er kunnen namelijk permissies ingesteld worden voor SaaS-applicaties van derden. Daarnaast biedt de dienst provisioning-workflows en gedetailleerde rapportages. Nadelig aan de service is dat er een flinke technische kennis nodig is om het optimaal te gebruiken. Daardoor is Centrify minder geschikt voor kleinere bedrijf zonder uitgebreide IT-afdeling.

Microsoft Azure Active Directory
Deze service heeft een goede integratie met Microsoft Active Directory en Office 365. Integratie met directory’s en SaaS-platforms van derden werkt echter niet altijd optimaal. Er zijn uitgebreide tools beschikbaar voor het beheer van identiteiten en cloud-apps. Daarnaast wordt multifactor-authenticatie ook ondersteund.

Oracle Identity Governance
Deze service is geschikt voor alle enterprise resources, binnen en buiten de firewall en in de cloud. Daarnaast biedt het schaalbare oplossingen voor identificatie, toegangsbeheer en directory services. Daarmee is Oracle Identity Governance vooral geschikt voor grotere organisaties.

IBM Security Identity Governance and Administration
Naast ondersteuning van provisioning en autorisatie, legt IBM ook de nadruk op compliance management, audits en risk management. Met behulp van periodieke reviews wordt o.a. voorkomen dat gebruikers toegangsrechten krijgen die niet noodzakelijk zijn.

IDentacle
Naast standaard installatie biedt IDentacle een pakket aan uitbreidingen, waarmee on-en offboarding organisatiebreed mogelijk is via SQL databases of CSV bestanden. Het is mogelijk per product te kiezen voor een gewenste view en installatiemethode. Daarbij is het mogelijk deze installatie voor een vast tarief af te nemen. Daarnaast wordt ook voorzien in de behoefte voor ‘Password Self Service’. Rapportages bestaan uit een voortgangsanalyse en een prognose voor de komende doelstellingen. Ook geeft de financiële rapportage weer hoe het project er financieel voor staat. Mochten er toch specifieke wensen zijn, dan is maatwerk ook mogelijk.