Identity and Access Management Forum | dag 2

2008-04-16 Peter Gustafsson   Identity Management

Dags för dag två. Alla jag pratade med under gårdagen verkade mycket nöjda både med dragningarna och diskussionerna runt omkring.

Här finns noteringarna från dag 1.

Idag skall Inserve och Heimore hålla en presentation, men Anders hos oss har hunnit börja på Sun under tiden. Han skall jobba med identitetshantering i norra Europa. Synd att de snodde honom, men bra betyg för oss och vår plantskola. Bra också att vi kan fortsätta jobba tajt tillsammans.

Sami Mäkilä, Heimore, och Anders Askåsen, Inserve/Sun pratar om hur man kan öka värdet på IAM-investeringen genom Enterprise Role Management.

Hela presentationen här.

Role management är ett hett område. Burton Group säger att rollhantering är ett av de mest intressanta områdena att lägga krut på.

Vi skall försöka klarlägga begreppen kring identity- och access management. Sedan titta på varför man skall jobba med Enterprise Role Manager. Det finns många sätt att närma sig detta, och det finns antagligen blandade känslor bland er som tittat närmare på området.

Slutligen presenterar vi ett angreppssätt för hur man skall arbeta med livscykeln för en roll.

Access Management handlar framför allt om att hantera access till applikationer. Access eller Single Sign on är relativt enkelt att lösa och centralisera. Auktorisation däremot är betydligt svårare. Logiken ligger ju oftast i enskilda applikationer, och kräver ganska mycket anpassning för respektive applikation.

Effektmålen som man uppnår med AM

• Kortare utvecklingsprojekt
• Förenklad systemdrift och –förvaltning
• Förenklad revision
• Ökad säkerhet

Men effekterna på den löpande verksamheten kan vara begränsade.

Identity Management handlar oftast om att minska administrationen genom att få en Single Point of Administration. Här får man en direkt effekt. En annan drivkraft är delegerad administration, och ett naturligt nästa steg är så klart automatisering.

Effektmålen för Identity Management är

• Förenklad administration
• Förenklad revision
• Kortare ledtider
• Ökad säkerhet

Men det är lätt att man får ett komplext ramverk när man börjar implementera Identity Management. Men oftast finns det auktoritära källor med bra kvalitet på informationen (t.ex. HR-system) som kan vara grunden för en automatiserad process.

Varför är då roller så viktigt. Hur kopplar vi olika typer av roller med varandra?

Verksamhetsroller krävs för att kunna automatisera till hög grad identitets- och behörighetsadministrationen

Systemroller/behörigheter definieras inom respektive system för att definiera en användares privilegier. Identity Management-systemet finns där, och kan hantera en stor del av automatiseringen. Men man behöver någon form av modellering av roller, och ett verktyg för att hantera dessa.

Vi ser en klar länk mellan Identity Management och Enterprise Role Management.

Effektmålen är typiskt

• Administrera separation-of-duty policy
• Ha så få rättigheter som arbetet kräver
• Förenklad administration
• Förenklad revision
• Automatisering administration

Just roller är nyckeln till att uppnå en hög automatisering. Just definitionen av roller är en tung process, men det är lika bra att göra jobbet rätt från början.

De flesta har gjort nån typ av initiativ. Men antalet roller blir ohanterligt = rollexplosion. Ofta har man ett för statiskt sätt att närma sig problemet. Gäller att hitta dynamiken.

Hur många roller är lagom? Burton säger 1% av populationen. VAAU säger 6-8%.

”Alla rollprojekt misslyckas”

• Sätt rimliga mål, man kan inte få in alla användare, kanske 50% är ett rimligt första mål?
• Krav på att hantera undantag – 60/40

Etablera identitets- och rollförvaltning

• Verksamhet och IT
• Acceptans och mandat!

Genomtänkt metodik och strategi

• Från analys till verktyg

Varför misslyckas Role Management-projekt?
Top-down projekt?

• Workshoppande som inte resulterar i att effektmål uppnås handfast
• Pappersprodukt

Bottom-up projekt?

• Accepteras inte av verksamheten
• Kan inte automatisera provisioning

Ett möjligt angreppssätt för Role Lifecycle Management skulle kunna se ut som:

• Förberedelse (Prioritering, Hitta auktoritära källor, Verksamhetsanalys, IT-systemanalys, Datakvalitet)
• Etablering (Definition tröskelvärden, Definition regler, Definition associationer, Data loading, Role Mining)
• Konstruktion (Implementation IM, Implementation RM, Test)
• Överlämning (Driftsättning, Utbildning, Guidelines, Attestering, Certifiering, Role Refinement)

Många frågor längs vägen. Framförallt kring vem som äger, sponsrar och förvaltar? Verksamheten? IT? Precis som IDM, SOX, Y2K. Alla projekt är väl egentligen verksamhetsprojekten.

Diskussionen om verksamhet vs IT. Behövs språk och begrepp som överbrygga klyftan. Det börjar ju dyka upp Enterprise-arkitekter t.ex.

Man måste hantera och belysa diskrepansen mellan formella och informella roller. De senare borde man ju i vilket fall hantera då de är ett problem i verksamhet.

Vid slutet av dagen…

• Någon måste avgöra vilka association som är riktiga
• Inte någon exakt vetenskap
• Ett manuellt arbete
• Återanvänd kunskap och beprövade lösningarw

Mats Bohman plus någon mer från Nacka kommun:Så har Nacka kommun utvecklat och effektiviserat verksamheten genom säkrare Access Management.

Två man i en ballong över Skånska slätten. Sjönk ner mot marken och så frågande man en bonde som gick och påtade.
- Var är vi?
- Ni är 10 meter ovanför marken!
Sedan blåste ballongen iväg igen
- Hörrudu, vad var det där för person?
- Det var en kommunalbyråkrat!
- Hur kan du veta det?
- Jo jag har sett sådana där förut. Svaret var helt korrekt, men fullkomligt oanvändbart

Övergripande strategi:

• medborgarperspektiv – tänk utifrån och in
• öka andelen direkt värdeskapande aktiviteter (minskad administration, dra in medborgarna i värdeskapandet, ökad kundtid i produktionen)
• delar och helhet - organisation
• en väg via olika kanaler
• standardisera och effektivisera stödprocesser
• verka för strategiska allianser

Många tjänster finns bara på nätet. Jättepoppis att jämföra skolor. Felanmälan. Söka bygglov. Val av barnomsorg.

Grundbulten är att hantera roller på ett bra sätt. Exempelvis ”förälder”. Styr behov av behörighet, identifieringslösning, åtkomst av information och e-tjänster.

Utmaningarna är framförallt sekretess (men det har man ganska bra koll på, löses på system och roll-nivå), PUL är ett mycket större problem (måste lösas på dokumentnivå och går inte att automatisera) och skyddad identitet (får inte finnas i något system).

Tjänster framöver är dels en ny webportal (nacka.se med ”mina tjänster”), Intranät (KanalN, personifierad information, ”my site”) och ÄDIT (dokument- och ärendehantering med felanmälan/synpunkter, tillstånd, diarieföring, nämndhantering, tillsyn, m.m.). Anna-systemet (socialtjänst- och äldreomsorg), Skolportal (för elever, föräldrar och lärare innehållande frånvaro, resultat, dokument och gemensam abetsyta).

Frågor: hur kan man samarbeta mellan kommuner? Många tjänster är ju exakt samma oavsett kommun.

Här kan man bli mycket bättre! Finns samarbeten, t.ex. Gymnasievalet

Sveriges kommuner och landsting (SKL) driver en del nationella frågeställningar. Finns ett hopp att det kan hända saker.

Nordea, Rickard Lindell, affärsutvecklare. Hur omvandlar vi teknik till affärsnytta och effektivisering – så öppnar IAM för nya affärsmöjligheter

Rickard Lindell har under ett flertal år varit ansvarig för Nordeas e-ID tjänster. Han är numera strateg och partner åt Nordeas ledning och har tidigare varit med och tagit fram den nya säkerhetslösningen för Nordea Sveriges Internetbank.

Man rullar precis ut ett nytt säkerhetssystem och en ny nätbank.

Nordens största affärbank. 4.6 miljoner nätanvändare av 8 miljoner kunder. Både en utmaning och en möjlighet.

IAM har ingen egen affärsnytta. Ingen kommer till Nordea för att man har en bra lösning. Men många kan lämna om det funkar dåligt.

Vad är viktigt?

• Tillit! Eller bristen på tillit. Också hur det har hanterats i media
• Kostnaderna så klart
• Tillgänglighet, i olika kanaler (telefon, nätbank & kontor skall hänga ihop)
• Distribution
• Service
• Kundnöjdhet

Hur väl är IT kopplat till affärsutvecklingen? Hackets studie jämför de som kastar saker över staketet eller de som styr tillsammans. Uppsidan mycket stor genom att jobba tajt mellan verksamhet och IT.
Historiskt. Först fanns PKI, jättesäkert men ingen som orkade använda det. Engångskoderna kom 1999. De var enkla, tillräckligt säkra och användarvänliga. 2007 startade man man utrullning av ny säkerhetslösning.

Digitala identiteter

• Antalet tjänster som kräver det + användning ökar snabbt
• Antalet ”digitala” identiteter ökar för användarna
• Publika digitala ID-handlingar ökar i användning (e-legitimation, OpenID)
• Samtidigt ökar hot och krav på säkerhet

e-legitimation. Jättesäkert direktiv men inte särskilt användbart. Tolkas på lite olika sätt i olika länder. Laganpassningen har också gått relativt långsamt (går inte att göra en juridiskt hållbar signatur och lagra dokument på ett vettigt sätt). Vissa saker kan man ju göra utan lagstöd.

17 länder har statligt kontrollerade e-ID. Sverige har en samverkan mellan offentlig och privat sektor. Idag finns det 160 tjänster som använder e-ID. Vissa problem med minderåriga.

Nu tittar man på vad man kan göra internationellt. Bra idé, men det går mycket trögt… Nyttan finns inte heller riktigt, utan det finns mest att hämta nationellt.

Samtidigt utvecklas brottsligheten och ”Internetkriminalitet” blir allt mer organiserad. Mängden attacker ökar kontinuerligt, och vi ser mer riktade attacker mot vissa målgrupper (i stället för massmailing). Följer minsta motståndets lag och anpassar sig snabbt efter nya säkerhetslösningar.

Det finns inte någon lösning som är säker! Vad är tillräckligt säkert? Vem attackeras och hur?

Våra identiteter idag – hur säkra är dom? Hur säkra behöver de vara? Säkerheten måste vara anpassad till behörigheten. Hur uppfattas säkerheten av kunderna? Detta har varit problemet för Nordea. Kundernas uppfattning viktigare än den faktiska säkerheten och kostnaden för denna. Eller medias uppfattning och upplevelse av vad som är säkert.

Ingen har knäckt själva säkerhetslösningen. Utan man har attackerat kunden och kundens dator. 95% av alla attacker sker här.

Man kan jobba en del med användarhantering. Med kunskap om användarnas beteende så kan man identifiera konstiga transaktioner och lägga dessa i ”frysbox”. Hantera avvikelse istället för att hantera alla transaktioner. Detta tillvägagångssätt är vanligare t.ex. i England.

Dagen avslutades med Håkan Persson, chef för IT-staben på Arbetsförmedlingen: varför Arbetsförmedlingen jobbar med IAM ur ett Complianceperspektiv?

Sammanslagning av AMS och 21 länsarbetsnämnder. 10.500 anställda och 350 kontor. Samverkar med Skatteverket och Försäkringskassan. www.arbetsförmedlingen.se är Sveriges sjunde mest besökta webbplats. 150 olika IT-system, 1.200 servrar och 15.000 klienter.

Blev IT-säkerhetsansvarig 2006. Började med att ta fram en ny informationssäkerhetspolicy, byggde på BITS (Basnivå för Informationssäkerhet från Krisberedskapsmyndigheten). Här delegerar man ner ansvaret. Varje systemägares ansvar. Från årsskiftet skall alla myndigheter följa ISO 27000.
Compliance. BIS och ISO/IEC 27001:2006 kräver att man skall ”säkerställa behörig användares åtkomst och förhindra åtkomst till informationssystemen”. Behörig = ha rätt till.

PUL mycket viktigt. Systemägaren ansvarig för att lagar och regler följs. Men vad händer när information ”flyter iväg” på olika media.  Information kräver ju samma säkerhet oavsett media och system. Informationsägare? Är det en bättre benämning? Hur göra det?

Våra (klassiska) problem

• medarbetare slutar utan att alla behörigheter tas bort
• medarbetarna flyttar inom organisationen men har kvar sina gamla behörigheter
• många manuella rutiner och pappersblanketter
• många olika avdelningar inblandade
• flera olika källor
• svårt (omöjligt) att följa upp

I och för sig är man i sysselsättningsbranschen, men nån måtta får det vara.

Målbild

• HR styr alla intern identitetshantering
• Externa identiteter hanteras externt
• Automatisk koppling till roller
• Mycket självservice i behörighetshanteringen
• Gemensam inloggningsportal (PISA)

Vinster

• Större sannolikhet att rätt person har rätt behörighet
• Möjlighet till uppföljning
• Effektivt och enklare
• Rättsäkert

Vinst för alla i organsiationen, lätt att motivera…

Håkan Persson berättar förresten mer om sitt projekt i senaste UPTIME #9 som har identitetstema.

Technorati tags: