Digital ID World 2009 | dag 3

2009-09-18 Peter Gustafsson   Identity Management

IAM-affärens en statuskontroll

Charles Kolodgy från IDC konstaterade att som följd av den säkerhetsmedvetenhet som just nu finns och riskerna som osäker IA-hantering ger har inneburit att marknaden för IAM har ökat med 6% under 2008 har varit ungefär plusminus noll under 2009 och kommer att växa igen under 2010.

Charles förklarade att 85% av investeringarna under 2008 har kommit ur lagstiftnings- eller revisionskrav. Han menar att det är viktigt att bygga IAM-lösningar där man inte enbart tittar på hur man kan lösa problemen så att IT-revisorer och lagstiftare inte slår ner på lösningen. Lösningen blir väldigt mycket bättre om man samtidigt kan se till at den stödjer affärsprocessen.

Syftet med varje IAM-lösning måste vara att rätt personer skall ha tillgång till rätt resurser av rätt skäl vid rätt tillfälle. Rätt skäl är något som många glömmer när man bygger lösningen, men det blir viktigt när problem upptäcks. Exemplen är många som när sjukvårdspersonal av nyfikenhet har studerat journaler utan att vara inblandade i vården av den aktuella patienten.

Charles förklarar att de största områdena i IAM just nu i USA är provisioning och Single Sign On (SSO) för externa web-lösningar.

Slutligen menar Charles att i tillägg till de stora områdena idag så kommer SIEM (en käck akronym som handlar om att spåra onormala och oönskade beteendemönster, jämför Jeff Jonas Tid-rum-resandemönster) att bli ett viktigt instrument för att verifiera att det inte finns skäl att tro att en individ som uppger sig ha en viss identitet gör något av fel skäl. Ett enkelt exempel på hur denna typ av problem kan hittas är om man kopplar ihop inpassering med inloggning på en dator. Om du har en starkt inpasseringskontroll så finns det anledning att fundera på hur en person kan logga på det interna datornätet från en plats som fysiskt är innanför inpasseringskontrollen. Med ett SIEM-system som varnar för denna typ av anomalier, så kan man undvika risker.

Breddat utnyttjande av användaridentiteter över hela webben

Luke Shepard talade om hur Facebook verifierar att individer är de som de utger sig för att vara. I företagsvärlden är det ju rimligt vanligt att verifikation sker genom att den som skall identifieras visar upp ett myndighetscertifierat dokument av något slag (Pass, körkort eller liknande). För Facebook med flera används istället initialt en självverifiering, men allt eftersom så verifieras en kontohavares fysiska identitet av dess kontaktnät. Det är ganska svårt att bygga upp ett stort nätverk av vänner när man uppger sig för att vara någon annan än den man är, inte omöjligt men svårt. Det innebär att även Facebooks metod är i sitt sammanhang en tillräckligt säker metod.

Framåt skulle Facebook vilja att man kan ta med sig sitt nätverk även till andra ställen på nätet. Ett exempel på ett sammanhang där detta har skett är herr Obamas presidentvalskampanj. CNN hade en hemsida från vilka filmer relaterade till Obama kunde visas. Det gick att kommentera filmerna på vanligt sätt. Den som var medlem i Facebook kunde dessutom kommentera filmerna enbart tillgängligt för sitt nätverk. Anledning till att det kan vara intressant är för att få en respektfullare och intressantare debatt som följd av att alla är del av samma nätverk.

Idealt sätt skulle Facebook vilja skapa denna typ av relationer också med företag. Då kommer frågan om huruvida deras verifiering av vem som ligger bakom ett konto tillbaka som ett brev på posten.

En diskussion som Inserve förde med Luke efteråt var hur de tänker kring att det mycket väl kan finnas legitima skäl att dela upp sitt nätverk i flera som inte ser varandra, av för individen mycket legitima skäl. Luke konstaterade att diskussionen finns men i väldigt liten skala. Det finns i hans grupp liten förståelse för att det skulle kunna skapa problem med att denna möjlighet inte finns. Han bekräftade också att det är i Europa som denna diskussion röner störst intresse. Han frågade specifikt om vi kände till någon som har skrivit om ämnen som knyter ihop stora sociala nätverk med integritetsdiskussionen. Om någon känner till uppsatser, white papers eller andra texter om detta så uppmuntras ni att skicka information om det till Inserve.

Sammanfattningsvis

Det blev efter en lite trög start en väldigt intressant konferens. Säkerhet som ingång till IAM området är i USA mycket tydligt. Tekniker som diskuteras just nu handlar mycket om att placera ut mer av företagens IT-verksamhet i molnet, men beskriver också då problemen som därmed kan uppstå och den oro som delvis kanske är obefogad kring denna utveckling. Federering eller inte, Software as a Service (SaaS), flerfaktorautentisering var ämnen som alla var heta på denna konferens.

Kul sammanfattning på Mark Dixons blog: “top ten final thoughts about the conference”:

1. Most Stimulating Information. Jeff Jonas’ discussion about using data analytics to discover space-time-travel characteristics of individuals was both challenging and disturbing.
2. Newest Identity Concept. Phil Windley’s proposal to enable contextualized, purpose-based user experiences using the web browser as a point of integration triggers lots of new thoughts about extracting value from the Internet.
3. Most Reinforced Notion. The Identity Management market is maturing. Companies are seeking to learn best practices for getting the most out of their investments.
4. Biggest Question in my Mind. How much validity should we place in Symplified’s claim that “Federation is Dead. Long Live the Federation Fabric?”
5. Most Enjoyable Networking Moments. Meeting folks in person I have only met virtually beforehand. In person wins every time.
6. Most-asked Question. Nearly everyone whom I spoke with asked me something about the Oracle acquisition of Sun. That happened to be the easiest question for me to answer: “Until the deal closes, we are independent companies. We must wait until then for details.”
7. Best Trade Show Giveaway. An LED flashlight from Novell. Incandescent bulb flashlights seem to be quickly joining buggy whips in the dustbins of history (except for special cases).
8. Biggest Pet Peeve. No power strips or WIFI were provided for attendees. This severely limited note taking and real-time blogging.
9. Most Entertaining Event. No, not the parties. It was the Chinese guy who drove my taxi to the airport. He chattered non-stop for the whole trip about technology, Maryland, California, Utah, Idaho, Micron, Sun Microsystems, Oracle, potato chips, microchips, stock trading, traffic and dishonest taxi drivers. What a hoot!
10. Biggest Disappointment. The show seems to get smaller each year – both in the number of attendees and participating vendors. Will it survive?

Technorati tags: