Identity and Access Management Forum | dag 1

Äntligen en bra svensk konferens om Identittetshantering!

Kom just hem från första dagen av Ability Partners konferens, Identity and Access Management Forum (hela agendan här).

Mycket bra program med många kundcase. Deltagare från SEB, Nordea, Swedbank, Handelsbanken, SKF, H&M m.fl. och många myndigheter, verk och kommuner. De flesta hade kommit en bit på väg (några längre än andra) och det skedde mycket bra nätverkande och erfarenhetsutbyte både på själva konferensen och i minglet.

Det är helt klart att mognaden på det här området har ökat väsentligt sista åren. När vi började pratade om IDM 2005 var det många som inte förstod vad vi pratade om. Också intressant är att erfarenheterna från skarpa projekt är precis desamma som alla har predikat hittills (det kan löna sig att lyssna på de som varit med ett tag):

  • få med verksamhet och ledning
  • dela upp projektet på ett vettigt sätt
  • hitta en bra lokal implementationspartner
  • tänk stort – börja smått!

Dessutom var de stora leverantörerna på plats med Sun, Oracle, IBM, CA och Novell i spetsen. Vi var guld-sponsor tillsammans med Sun och Heimore och hade också en talarslot. Kul också att det börjar bli tydligt vilka lokala systemintegratörer som har kompetens på området.

Jag hoppas att detta kan bli ett årligt återkommande arrangemang. Till nästa år skall man väl fundera på hur man får med fler medelstora företag.

Nedan har jag försökt sammanfatta några av presentationerna.

Lars Dykert, som är moderator, inleder med att säga att IAM är nyckeln till god informationssäkerhet. Under två dagar skall vi gå igenom området ganska noga!

Det skall hända saker innan man agerar. Nu har ledningen en större insikt än tidigare. Tre ledord eller nyckelbegrepp: riskanalys, governance & compliance. Brister ofta i tillämpning och uppföljning av reglerna, och avståndet mellan styrelsen och ledning och vad som egentligen händer är ibland väldigt stort.

Ann-Marie Eklund Löwinder, kvalitets- och säkerhetschef .SE

.SE har administration och teknisk drift av domänen .SE. 720.000 domännamn. 40 anställda, 200 ombud. Pengarna från domännamnen skall finansiera Internets utveckling. Säkerhet är så klart högt på agendan.

Vint Cerf har sagt att 20-25% av alla datorer förväntas vara kapade och ingå i Botnets. Tillsammans med Kirei gjorde man en undersökning på alla domäner. 23% allvarliga fel. 64% andra brister. Skulle ganska enkelt kunna åtgärdas.

Man måste skilja på behörighet och befogenhet. För att det skall bli hanterbart så måste man få till rollbaserade behörigheter. Beslut och administration måste hanteras på ett korrekt sätt.

Ställ höga krav på lösenords styrka. Skaffa tekniska styrmedel för att hjälpa folk välja rätt lösenord. Tvinga folk att ha separata lösenord för webmail och annat som används på offentliga maskiner.

Användare är som barn… visa dem hur det går om man inte gör rätt.

Finns behov av IAM-verktyg. Ja!

Vad vill jag att det skall göra? För mycket fokus på signering och för lite på identifiering. Om jag fick önska vad jag ville:

  • Automatisk skapa & ta bort konton med hjälp av profiler
  • Synkronisering av kontoinformation mellan olika system
  • Kiosklösning för bortglömda lösenord
  • Policyhantering
  • Enkelt att använda
  • Anpassningsbart gränsnitt
  • Utnyttja befintlig infrastruktur & resurser
  • Snabb implementation
  • Inte kräva kostsamma investeringar
  • Vara flexibelt

Ganska intressanta frågor. Vem bär ansvaret för informationssäkerhet? Måste starta i verksamheten. Inte en IT-fråga egentligen. På .SE ligger det på linjechefer.

Händer väldigt lite nationellt? Varje kommun gör nu samma misstag. .SE har ett område som heter elektronisk identifiering som tittar på dessa frågor.

Andra länder har kommit längre? Estland, Finland, Danmark, … Mycket handlar om finansiering. Sverige valde att göra en egen standard i stället för X.509. E-legitimation funkar bra. Men hur skall vi utanför statsförvaltningen kunna använda detta. Titta vad som finns, använd det.

Ulf Södergren, säkerhetsexpert på CA, pratade mycket om varför man skulle ha identitets- och accesskontroll.

Massor av exempel då det hade gått snett de sista åren, men inte så många nya… Känns som om alla i publiken faktiskt förstod behoven och varför man behövde IAM, och snarare ville veta hur.

Det pratades också mycket arkitektur. Man vill gärna få ihop helheten till en serviceorienterad arkitektur.

Hur kan man synka efterlevnad av många olika regler samtidigt. Köra en uppsättning tester som omfattar rätt kombination av regelverk, i stället för att köra en uppsättning tester för varje.

Hur uppnå kontinuerlig compliance? IT governance. Portfolio Planning.

Tips & råd. Gartner hade 19 råd, men vi nöjer oss med några få. Vad krävs för lyckade projekt.

Erfarenheter från misslyckade projekt…

  • Förankra vision och mål hos verksamhet & ledning
  • Bra plan och roadmap, dela upp i mindre delmål och kontinuerliga leveranser (60-90 dagar)
  • Tänk kundorienterat
  • Automatisera arbetskrävande processer
  • Access kontroll viktigare än provisionering?

Fråga om olika branscher och många regelsystem. Vi kommer att se fler och fler internationella direktiv, generella och branschspecifika. Också från olika affärspartners (ex Visa & Mastercard). Dessutom bolagstyrningskoden och annat. Svårt att se vart vi är på väg.

Vad är typiska ”drivers”? I Sverige automatisering, effektivisering och ordning & reda. I USA definitivt compliance.

Handelsbanken, Elisabeth Netzell, Funktionsägare, IAM & Qamilla Syk, Funktionsansvarig för IAMpratade om att utveckla en strategi för implementation av IAM.

[Handelsbanken tar itu med användarkaoset]

Handelsbanken: 10.500 anställda. 12.000 interna användare. 461 kontor i Sverige, 171 i övriga Norden och 28 i övriga länder. Öppnar ett kontor ute i världen varje vecka (växer mest i Polen & England). Vill kunna leverera en fungerande arbetsplats från dag ett.

Mitt uppe i resan. Egna erfarenheter. Vad ser vi för framgångsfaktorer.

Analysarbete. Vad har vi för drivkrafter? Hur ser läget ut just nu? Hur ser vår IAM-infrastrukturen ut? Hur ser verkligheten ut? Hur ser finansieringen ut? Hur ser vår organisation och rollerna ut? Men fastna inte i analysen. I en stor organisation så är det lätt att fastna i denna fas om man försöker få en heltäckande bild.

Elisabeth kommer från verksamheten och är bankman och internrevisor. Kom in på området för 6 år sedan för att skapa ordning. Brukar säga att IAM är en ”blandning mellan HR och IT-säkerhet”. Går inte att driva som ett säkerhetsprojekt, då det finns så många andra drivkrafter. Dessutom så att verksamheten redan förväntar sig att det bara skall fungera.

Infrastrukturen oerhört komplex. Men inget HR-system. I stället många system. För t.ex. löneutbetalningssystem. 1200 personer på Handelsbanken IT, tror att man kan förvalta och driva denna typen av lösningar internt.

Arbetsmetod. Skilja på funktionsägare (med ett löpande linjeuppdrag) och funktionsansvarig som levererar internt. Testade att driva det som ett enda stort projekt (gick inte så bra). Kan rekommendera en verksamhetsreferensgrupp, med representanter från alla delar i verksamheten. Sedan göra en priolista och sätta upp ett antal mindre projekt.

Roadmap – visionsdokument, en målbild, fungerar som ett styrdokument. Kanske med olika presentationer till olika mottagare. Definition av vad Handelsbanken menar med olika begrepp (lyssna av med analytiker och leverantörer). Ha en helhetssyn.

Roadmap IAM

  • målet är ”förenklad inloggning”
  • kontroll på IT-användare (ny katalog i brist på HR)
  • delegerad och förenklad administration
  • säker inloggning
  • kontroll på lösenordshantering
  • rätt behörighet (rollhantering RBAC i startskedet)
  • samlad bild av behörigheter

Vad gör vi just nu? Katalogen på plats. Självbetjäningstjänst för lösenord skall rullas ut just nu. En tredjedel av alla samtal till helpdesk handlar om lösenord. Ganska många olika mindre projekt samtidigt.

Ingen tidssatt roadmap. Kommer att ta ett par år.

Kravbild. Dela upp kraven på nåt bra sätt, typ

  • tvingande krav
  • krav från verksamheten
  • bra att ha

Hur välja teknisk lösning. Hur ser förutsättningarna ut? Ställdes inför att göra en upphandling (har gjort det ett par gånger). Hitta en bra metod för utvärdering, för att inte falla för leverantörernas pitch.

Bryt isär utvärderingen:

  • utvärdera produkterna (efter kravspec)
  • hitta en strategisk samarbetspartner (med erfarenhet som bollplank)
  • referenser (skall ha gjort det i Sverige och ha konsultresurser här i landet)

Upphandlingen gjordes för typ 1.5 år sedan.

Tips på vägen

  • Det går fel, var beredd! Många omprioriteringar
  • Var prestigelös. SHB har ändrat på tidsplan, budget och funktionalitet
  • Realistisk projektstorlek
  • Hemarbetet först.

Andreas Herne, Skanska, gruppchef infrastruktur pratade om Identity Management för
företaget eller Single Sign-On för medarbetaren?

Idag hanterar man interna användare, ca 5.000. I nästa steg kanske alla underleverantörer & kunder. Många gånger fler så då kommer det att krävas en annorlunda approach (framförallt när det gäller administration).

Steg 1. Oracle SSO, framförallt för att man hade mycket fokus på Oracle sedan 1998.

Steg 2. Krav på spårbarhet. Valde IBM TIM/TAM via ”Zingle by Emfo”. Noggranna med att det skulle finnas kompetens & case i Sverige. Har kört två projekt: SSO för två system samt provisionering för sex system (IBX, Oracle eBS, Spik, AD (HR-feed)).

Kör TIM/TAM på Oracle och Linux. IdentityGuard för säker inloggning.

Nästa steg är att stanna upp lite, kvalitetssäkra och utvärdera. Man skall ha ett antal workshops för att sätta mål till 2010 (banbrytande) och kortare mål 2008. Utifrån detta har man gjort en 18 månaders roadmap med tider & resurser.

Strategi

  • gemensam process för hantering av identiteter och behörighet
  • skall stödja Skanskas affär
  • möjliggöra tillgång till information vid rätt tidpunkt

Hur ser leveransen ut

  • Fullt ut implemenetrade processer i Skanska Norden
  • Alla skall använda IAM-processen
  • Single Sign-on för alla användare

Man skall bredda funktionaliteten till andra affärsområden och länder. Integrera fler interna och externa portaler och målsystem. Password self-service. Rapporthantering – revisionstålighet. Workflow. Centre of Excellence.

Lärdomar

  • Organisation har varit den största utmaningen (paralleller med integrationsprojekt – alla vill ha information, men ingen vill ge).
  • Svårt att avgränsa implementationen i ”lagom” stora bitar. Ambitionen har varit att köra 10-12 veckorsprojekt
  • Identity Management är viktigare än Single Sign-on för Skanska
  • Positionera IAM som ett tjänsteutbud för systemägare
  • IAM är en ”myndighet” (i intern kravställan, precis som integration eller interna processer)

Frågor: varför inte HR direkt? AD var lättare. Processerna för AD låg redan inom IT. AD innehåller också mer användare (konsulter) än HR. Processen för ”löst folk” finns kvar, även om den är manuell fortfarande. Samma sak för de-provisioning. Men samarbete med HR för att stämma av HR mot IDM.

Hur lång tid har det tagit? 1.5 år för de första två delarna.

Hur skall man hantera 6-7000 underleverantörer? Vi vill inte göra det i alla fall! Många är små så man kan inte kan köra federering. Kanske kan man delegera visst ansvar till respektive bolag. Inte en helt enkel problematik.

ID06 är en speciell standard för byggindustrin. Man skall hålla koll på alla som är på en byggarbetsplats. Ganska svårt med vägbyggen som flyttar på sig eller asfaltering som bara sker över en natt och sedan är alla borta. Bra tänkt i teorin, men riskerar att komplicera identitetshantering om det skulle bli aktuellt att ha med i en implementation.

SKF, Gunilla Ramborgh, Director, IT Business Relationship Management & Michael Magnefrid, Manager End User Support, Group Information Technology pratade om Framtagande av en Access Management lösning för en global verksamhet i en outsourcad miljö.

75 personer inom IT, nästan allt är outsourcat till framför allt EDS.

Målet var att rationalisera. Minskat arbete och lägre kostnad. Dessutom ville man ha snabbare och säkrare hantering. Till sist SOX som var en viktig driver.

  • Sun – basic software
  • SKF process & design
  • EDS/KogIT – development
  • EDS – operation

Köpt det som en service från EDS. Betalar en entréavgift för varje användare, därefter en månadskostnader. Viktigt med att definiera rollerna i projektet. Vem äger information, system och processer.

Global SKF ID. Slumpvis genererat. Behålles av samma person även om han slutar eller tar ledigt. Nu 18.000 användare. Utrullning sker per land. CIO var i Nya Zeeland, mycket nöjda med password reset.

Problem

  • kommunikation med användarna
  • definition av rollerna
  • lätt att underskatta utvecklingstiden (och utrullning)
  • koppling till applikationer

Tips

  • sätt begränsningar
  • definiera roller
  • hitta olika sätt att motivera projektet
  • driv och ta ägarskap projektet från början
  • sätt tid & resurser
  • tänk stort – börja smått!

Update: Här finns noteringarna från dag 2.