Samenvatting identiteiten- en autorisatiebeheer

Jump to: navigation, search

Oorspronkelijke artikel

Een referentie naar het oorspronkelijk aritkel staat in de tabel op pagina Artikelen over informatiebeveiliging.

Samenvatting

Door de toename van het gebruik van informatiesystemen en de groei van organisaties, is het identiteitenbeheer en autorisatiebeheer vaak niet op orde. Veel organisaties hebben het dan ook op de agenda staan. Er bestaan tegenwoordig goede technische hulpmiddelen om autorisatiebeheer te regelen. Toch verloopt de implementatie van verbeterd autorisatiebeheer erg moeizaam. In deze handreiking bieden we enkele aanknopingspunten om identiteitenbeheer en autorisatiebeheer op een effectieve manier te kunnen realiseren.

Autorisatiebeheer is een onderwerp dat leeft. Het Identity Management Forum 2004 werd druk bezocht door deelnemers vanuit het bedrijfsleven, de overheid, leveranciers en consultants. In dat forum kwam voor het eerst naar voren dat identity management niet alleen meer een theoretisch begrip is, een ideaalbeeld. Integendeel, er zijn succesvolle implementaties en eindelijk zijn ook de producten die het ondersteunen gewoon te koop.

Autorisatiebeheer moet ervoor zorgen dat mensen toegang krijgen tot de systemen die ze nodig hebben. Het verlenen van toegang moet goed geregeld zijn en is een proces waar alle belanghebbenden baat bij hebben: de gebruikers, het management en de beheerders. In kleine organisaties wordt het autorisatiebeheer proces vaak niet expliciet onderkend. Als iedereen elkaar kent wordt toegang tot systemen – als er al sprake is van meerdere systemen – vaak informeel geregeld op basis van mondelinge verzoeken. Hoe groter de organisatie en hoe meer systemen er in gebruik zijn, hoe belangrijker een formeel autorisatiebeheer proces wordt.

Dit proces moet wel effectief en efficiënt zijn. Gebruikers hebben nu verschillende toegangscodes voor de systemen die ze nodig hebben, ze moeten vaak onnodig lang wachten op een verzoek voor autorisatie, ze hebben vaak meer dan de benodigde autorisaties en daarnaast hebben ook de beheerders last van een complex en onduidelijk proces van autorisatieverlening.

Vanuit recente wet- en regelgeving is het verplicht om een recent overzicht te kunnen geven van de uitgegeven autorisaties en de verantwoording daarvan. Relevante wet- en regelgeving is in dit geval Basel II voor de financiële sector, Sarbanes-Oxleywet(SOX) in de V.S. en zaken als de code Tabaksblat in Nederland en de Wet op de Bescherming van Persoonsgegevens (WBP) De overzichten van de uitgegeven autorisaties zijn meestal nog wel te geven, maar deze overzichten zijn niet inzichtelijk en daarmee ook niet goed te verantwoorden.

Immers, deze overzichten worden gemaakt vanuit het technische perspectief van de autorisaties op het laagste niveau. Deze overzichten kunnen dan bijvoorbeeld uitdraaien zijn van toegekende CICS-transacties aan medewerkers. Dit overzicht geeft een weergave van de situatie, maar zal de meeste mensen niets zeggen. Het gevolg is, dat dit soort overzichten vaak blindelings worden getekend, terwijl deze handtekening dan niets meer zegt (je weet niet waarvoor je tekent).

Het mag duidelijk zijn, dat als managers hun verantwoording willen kunnen nemen, zij hiertoe wel in staat moeten worden gesteld. Dit heeft gevolgen voor hoe de autorisaties worden geadministreerd. Hierbij kan er onderscheid gemaakt worden tussen proceseigenaar en de systeemeigenaar. De proceseigenaar dient aan te geven hoe de bedrijfsprocessen zijn ingericht, zodat de kans op fraude geminimaliseerd wordt. De systeemeigenaar wil weten wie er toegang hebben tot het systeem en welke delen van het systeem gebruikt worden. Beiden hebben behoefte aan overzicht, maar wel vanuit een ander perspectief.

Gerelateerde IBpedia artikelen

Nederlandstalig:

Engelstalig:

Externe links

Nederlandstalig:

Engelstalig:

Gerelateerde IBpedia artikelen

Nederlandstalig:

Engelstalig: