Gartner Identity & Access Management Summit 2009
Gartner | dag 1
Gartner, låter inte bara ordet som nånting främmande och kanske lite skrämmande… Som Nasdaq för Björndata AB eller Euro Corp XX för Smålands IT AB. Dessa var mina förutfattade meningar när jag trädde in på Gartner IAM Summit 2009 i London. Glatt överaskad blev jag av att finna att Sveriges närvaro på platsens var stor; Nordic Edge, PortWise och Axiomatics. Omkring en fjärdedel av utställarna numerärt, kanske inte volymmässigt i antal hanterade konton eller hur man nu ska räkna IAM-providers storlek.
Gartner är ju företaget som ska spå i framtiden genom att analysera nutiden och veta trenderna. Jag har ju varit med om ”nutiden” i form av hypen inom IDM med att kunna provisionera konton centralt, göra rapporter på konton och rättigheter i olika system mm. Detta är nu gårdagen enligt Gartner. Vi har klarat av Sox mm krav, men vi hann aldrig med att förbättra processen, effektivisera ”the life of odeol” (odeol är ett kontonamn). Vi sitter fortfarande och skickar 100-tals ärenden till IT-support angående kontons skapande, ändringar eller avslut. Snarare har ärendena ökat pga regelverk som kräver att konton avslutas eller begränsas efter behov. Vad göra?
Lite lustigt är det att höra att det som var ”selling pitches” 2006, automatiseringar och förenklade processer, nu är det som ska ske efter ”compliance” under 2009 enligt analytikerna på Gartner. Men de gör det med en viss självironi då det öppnade med ett sitat från Henry Ford: ”I see no progress in this industry. These clocks are no faster then the one they made 100 years ago”. Vägen till förenklade processer och automatisering är fortfarande svår och inbegriper rollifiering, klassifisering av åtkomster och liknande för att möjligöra ett betsälla/utföra scenario i hanteringen. Kommer vi att kunna nå dit? Den frågan svarade inte Gartner på, men väl många leverantörer av olika lösningar för ändamålet. Ska man sammanfatta dag 1 av konferensen så tror jag det görs bäst genom denna uppställning:
SOX hypen är över, de som behövde klara dessa krav klarar dem nu.
Automatisering och effektivitetshöjande åtgärder är missat, gör det nu!
Ta hjälp av verktyg och standarder för rollifiering, försök inte uppfinna dem själv.
IDM är en självklar del av affärsprocessen, inte något som läggs till efteråt.
Gartner | dag 2
Om essensen av gårdagen var att ”det är dags att automatisera konto- och rättighetshanteringen” så var det naturligt att denna dag skulle ge lite ljus på hur det skulle kunna gå till, -hur har andra gjort?
En stor del av dagen ägnades åt att låta olika företag berätta sina success-stories (det är väl svårt att få någon att berätta om ”det totala misslyckandet”, men den som hade vågat det hade nog fått fullt hus), sina lärdomar och om hur de undvek ”andras” fallgropar (för de gick ju inte i några själva). Som IDM arkitekt händer det ibland att jag kommer till ett företag som har ett mer eller mindre ordnat kaos vad gäller IAM. De vet knappt vilka konton som används, de vågar inte avsluta konton eftersom de kanske används som applikationskonton, de betalar licenser i onödan och de skruvar på sej besvärat när ordet säkerhet kommer på tapeten.
Flertalet av talarna berättade kända saker som ”Det är viktigt att sätta målen, kunna mäta dem, ha ledning, HR- och IT-folk involverade och informerade och sist men inte minst att slutföra projekten och påvisa de uppnådda målen”. Det är ju allmänna sanningar för alla IT-projekt, kanske vikten av företagsledningens medverkan är extra betydelsefull för ett IAM-projekt då det kommer att påverka alla företagets processer och för det krävs det mandat.
Stephan Vinsot från Evidian berättade en intressant och nyttig historia om hur de gjorde när de skulle implementera IAM i ett kaos som ovan beskrivet; deras plan var grovt:
* Definiera de mätbara målen
* Definiera vem som får göra vad, när och från var
* Skapa ett mindre antal roller som täcker flertalet (UK_Sales_Person, Employee, Home_Worker,…)
De började med att införa ett SSO system som gjorde att alla kunde komma åt sina applikationer enklare. Därmed fick IAM-projektet ett positivt bemötande från alla och envar. SSO-systemet fick gå ett par månader och från loggarna kunde de sen se vilka konton som användes, när och varifrån de användes. Den informationen användes för att definiera rollerna som behövdes och rollmedlemmarna kunde hittas på samma sätt. SSO systemet kunde därmed populeras med roller och policies som var tagna ur verkligheten. Det som saknades nu var en möjlighet att provisionera konton (läsa, skapa, ändra och ta bort) med dessa rolldefinitioner, men det finns det ju många IDM lösningar som hanterar. Jag tycker denna historia var intressant eftersom de gjorde lite tvärtom mot vad de flesta andra gör; de började med SSO och roller och avslutade med IDM. Min erfarenhet är att motsatsen är det vanligaste.
Finns det något spännade nytt runt hörnet som Gartner pekar på undrar ni kanske?
Jo, vad är det vi ger access till egentligen i vårt IAM system? En server, en applikation, en disk. Det intressanta är datat i filer och databaser. Idag klassificerar vi det genom att säga att ”här är Finance-disken, på den ligger Finance-data och tillgång till den har man om man är ekonom”. Det duger inte, det finns inget som säger att allt på Finance-disken är ekonomirelaterat eller att det inte finns ekonomirelaterade saker på andra ställen (inklusive mail systemet). IAM lösningarna måste bli ”content-aware”, klassificeringen att en fil hör till Finance måste ske pga dess innehåll, inte i vilken mapp någon har lagt den i. Det tar nog en tag innan våra IAM system klarar detta, men det är en intressant tankeställare.
