Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Identitets- och åtkomstkontroll – när IT och affärsverksamheten möts
White paper
Innehållsförteckning sida
Inledning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1Översikt över branschen för identitets- och åtkomstkontroll . . . . . . . . . . . . . . . .2Två världar sammanförs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4Integration och utveckling i ordens rätta bemärkelse . . . . . . . . . . . . . . . . . . . . . .6Nycklarna till effektiva lösningar för identitets- och åtkomstkontroll . . . . . . . . .6Val av leverantör . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .7Om NetIQ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .8
1www.netiq.com
InledningMed tanke på de risker som vår tids ökande flora av hot och regelverk för med sig, så har behovet av identitets- och åtkomstkontroll (IAG, eller Identity and Access Governance) aldrig varit större än nu. Du behöver veta exakt vem som har åtkomst till vilka resurser, och om det finns fog för behörigheterna.
Under senare år har det här enkla behovsbaserade uppdraget gått från att vara ett IT-
direktiv till att bli en viktig affärsprincip . I takt med att allmänheten blir alltmer tekniskt
kunnig ökar riskerna för säkerhetsintrång, och därmed även verksamhetens behov av att
kunna reagera snabbt när det inträffar .
Även om identitetshantering i första hand är IT-avdelningens ansvarsområde, så är
närliggande områden som säkerhetsefterlevnad, riskminimering och åtkomstkontroll
några av de viktigaste frågorna för organisationens ledning . Identitetshanterings- och
åtkomstkontrollsystem har många funktioner gemensamt . Men personerna som använder
systemen – IT-tekniker respektive verksamhetschefer – har vanligtvis väldigt olika mål och
teknisk bakgrund . Och fastän det ligger nära till hands att slå samman de här båda systemen
måste det sammanslagna systemet vara tillräckligt robust för att uppfylla IT-avdelningens
krav utan att bli för krångligt att hantera för icke-tekniker .
Det här innebär inte att ett enda system kan, eller bör, göra två systems jobb . Vad det
betyder är snarare att en IAG-lösning måste integrera IT- och affärsverktygen på ett smidigt
sätt för att uppfylla de ökande kraven på båda systemen .
2
White paperIdentitets- och åtkomstkontroll – när IT och affärsverksamheten möts
Översikt över branschen för identitets- och åtkomstkontroll
Marknadskrafter Många faktorer har bidragit till den enorma tillväxten på marknaden för identitets- och
åtkomstkontroll (IAG-marknaden) . Det här är några av de främsta faktorerna som ligger
bakom tillväxten .
Attacker, cyberterrorism, interna säkerhetsproblem och bedrägerierFör de flesta företag är det relativt enkelt att ge de anställda en säker arbetsplats rent
fysiskt, men det upplevs som mycket svårare att skapa en säker miljö för system, data och
immateriella rättigheter . Cyberattacker, eller datorattacker, kan komma både utifrån och
från organisationens egna anställda . Trots att FBI ökar antalet bedrägeriutredningar med
i genomsnitt 10 procent om året1, så är antalet fall som aldrig utreds av FBI rejält mycket
större än så . Riskerna har aldrig varit större än nu, när allt från missnöjda anställda till
skrupellösa konkurrenter och hackare nosar runt efter data att sälja .
De flesta cyberattacker och säkerhetsintrång kan dock förhindras. Ert företag sitter troligen
redan på den information som behövs för att skydda sig mot attackerna . Det som sannolikt
saknas är ett sätt att ordna, hantera och övervaka data så att säkerhetsriskerna blir tydliga
och förebyggande åtgärder kan vidtas .
Molnets framväxtNIST (National Institute of Standards and Technology) definierar molnet som
”tillhandahållande av datorkapacitet som en tjänst snarare än som en produkt, där delade
resurser, program och information överförs via ett nätverk (vanligtvis internet) till datorer
där de efterfrågas (enligt samma princip som distributionen av el i elnätet)”2 . Molnbaserade
plattformar och tjänster blir alltmer populära världen över . Det är lätt att förstå varför .
SaaS-program som levereras via molnet är skalbara till sin natur . Företagen betalar bara
för den programvara som de för tillfället behöver . När behoven ökar kan de enkelt allokera
ytterligare resurser . Men det är inte helt smärtfritt att använda tjänster via molnet . Att ge
alla användare åtkomst till alla program kan till exempel vara både kostsamt och riskabelt .
För att hålla kostnaderna nere och minska säkerhetsriskerna behövs ett sätt att allokera
åtkomsten till molnresurserna utifrån användarnas roller och ansvarsområden . Med andra
ord behövs en effektiv IAG-lösning .
Trots att FBI ökar antalet bedrägeriutredningar med i genomsnitt 10 procent om året, så är antalet fall som aldrig utreds av FBI rejält mycket större än så.
_________
1 www.fbi.gov/stats-services/publications/financial-crimes-report-2010-2011/financial-crimes-report-2010-2011#Corporate
2 http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
3www.netiq.com
Mobil åtkomstFör att behålla konkurrenskraften måste företagens nätverksresurser vara tillgängliga
överallt, dygnet runt . Det innebär långt mer än att installera konventionella VPN-klienter på
datorer som ägs av företaget . Användare som arbetar på distans behöver kunna få åtkomst
från en mängd olika typer av enheter, till exempel smarttelefoner och surfplattor . För att
kunna möta de här behoven på ett säkert sätt behövs en lösning för åtkomstkontroll som
både autentiserar användare och ger dem åtkomst till de molnbaserade resurserna från flera
olika enheter . Den här typen av behörighet kräver en säker och betrodd identitetshantering
som dessutom fungerar på alla plattformar .
BudgetbegränsningarI ekonomiskt svåra tider är det vanligt att organisationer begränsar sina IT-budgetar trots
att efterfrågan på IT-tjänster ökar . Integrerade IAG-lösningar som automatiserar vanliga
procedurer och processer är lönsamma investeringar även i svåra tider . De sparar tid och
pengar, och minskar frustrationen avsevärt .
IAG-lösningar sparar pengar inom två huvudområden, produktivitet och säkerhet . Om
medarbetarna inte har behörighet till de resurser de behöver för att kunna göra sina
jobb blir produktiviteten lidande och personalkostnaderna ökar . På liknande sätt ökar
produktionskostnaderna när IT-teknikerna måste ägna många timmar åt repetitiva och
enahanda uppgifter . De största kostnaderna i samband med separata, manuellt hanterade
identitets- och åtkomstkontrollösningar uppstår när organisationer har otillräckliga
säkerhets- och efterlevnadskontroller . Dataintrång är mycket kostsamma, och de blir
allmänt kända mycket snabbt . Om marknaden förlorar förtroendet för ett företag riskerar
det att gå under .
FöljdernaAllteftersom de ovan nämnda marknadskrafterna tilltar i styrka blir behovet av en
effektiv, integrerad och automatiserad IAG-lösning större . Företagen måste försäkra sig
om att systemen är säkra och att åtkomsten till dem kan hanteras på ett effektivt sätt .
Marknadskrafterna utövar ett tryck på två huvudområden .
Kontroller, regler och efterlevnadÖkad kontroll från myndighets- och branschorgan uppstår till följd av orosmoln kring
datasäkerhet, som i sin tur beror på marknadskrafter som internets framväxt och molnets
tilltagande popularitet . Myndighets- och branschorganen utövar ofta sin kontroll i form
av regelverk, och regelverken blir då och då lagar, för att säkerställa efterlevnaden .
Integrerade IAG-lösningar som automatiserar vanliga procedurer och processer är lönsamma investeringar även i svåra tider. De sparar tid och pengar, och minskar frustrationen avsevärt.
4
White paperIdentitets- och åtkomstkontroll – när IT och affärsverksamheten möts
SOX (Sarbanes-Oxley) och HIPAA (Health Insurance Portability and Accountability Act) är
bara två exempel på de många regelverk som kräver effektiva IAG-lösningar för efterlevnad .
Förmågan att kunna garantera att människor har åtkomst enbart till de resurser som de
behöver, och enbart när de faktiskt behöver dem, är avgörande för efterlevnadssatsningar .
Snabb åtkomst, snabba uppdateringarFörr i tiden nöjde sig företagen med att Posten levererade korrespondens och information .
I vår tids kommunikationslandskap förväntar sig företag att kunna dela information
omedelbart . De förväntar sig även omedelbar aktivering och inaktivering av användare . Att
ta en kölapp till supporten och vänta medan den överbelastade IT-personalen ger och tar
bort behörighet manuellt till varje resurs för sig är helt enkelt inte längre rimligt . Nu för
tiden har funktioner som uppdatering av system och program för att klara nya affärsbehov
och efterlevnadsregler, rutinmässiga uppgraderingar samt uppdateringar av IT-policyer
och procedurer blivit synliga för organisationens högsta skikt . Ledningen förväntar sig att
åtgärder ska utföras omedelbart, även i alltmer invecklade situationer .
Två världar sammanförs
DefinitionerFör att förstå vad IAG-lösningar innebär krävs viss kännedom om hur system för
identitetshantering och åtkomstkontroll fungerar .
IdentitetshanteringBehov och krav inom IT driver på utvecklingen av system för identitets- och åtkomstkontroll .
Med verktyg för identitetshantering kan IT-tekniker göra följande:
Ge behörighet till program och servrar.
Använda autentiseringsmekanismer som säkerställer att användaren är den han eller hon utger sig för att vara.
Förenkla processerna för säker inloggning.
Ge behörighet till SaaS-resurser och mobila enheter.
Administrera Active Directory-funktioner.
Ge detaljerade administratörsfunktioner till behörig IT-personal.
De här verktygen är mycket kraftfulla, och problemen de löser är komplexa . De är utformade
för att utföra uppgifterna automatiskt bakom kulisserna, och används normalt sett inte av
användarna .
Nu för tiden har funktioner som uppdatering av system och program för att klara nya affärsbehov och efterlevnadsregler, rutinmässiga uppgraderingar samt uppdateringar av IT-policyer och procedurer blivit synliga för organisationens högsta skikt.
5www.netiq.com
ÅtkomstkontrollProblem relaterade till åtkomstkontroll brukar oftast föreligga på affärsnivån, så verktyg för
åtkomstkontroll har användargränssnitt som är utformade för verksamhetschefer snarare än
IT-tekniker . Verktygen har oftast funktioner för följande åtgärder:
Säkerställa att företaget uppfyller de krav som finns på identitetshantering och åtkomstkontroll.
Godkänna åtkomstbegäran för nyanställda, anställda som fått nya roller och tillfälliga arbetsgrupper.
Attestera behörighetsnivåerna.
Definiera och hantera systemövergripande användarroller.
Hantera rättigheter som hör till olika roller och befattningar.
Utvärdera, hantera och minimera risker utifrån roller, rättigheter och behörighetsnivåer.
Med verktyg för åtkomstkontroll får företagsledningen inte bara möjlighet att uppfylla de
krav och bestämmelser som finns. Vanliga och återkommande uppgifter kan dessutom
automatiseras, så att IT- och supportpersonalen slipper lägga ned så mycket tid på dem .
IAG och organisationens behovIT-avdelningen måste vara en del av efterlevnadsarbetet, ge behörighet, hålla systemen säkra
och uppdatera tekniken och datormiljöerna, samtidigt som de strategiska affärsmålen ska
uppfyllas . Ledningen är mån om att uppfylla kraven, klara säkerhets-/regelgranskningarna,
minimera riskerna, svara snabbt på interna och externa kunder och att kunna överblicka
hela företaget i ett lättbegripligt och användarvänligt system .
Även om IT- och affärsbehoven kan verka väsensskilda, så kan man åtminstone i fallet med
identitetshantering och åtkomstkontroll inte uppfylla det ena utan att samtidigt uppfylla
det andra . Det är av avgörande betydelse att båda systemen samverkar för att möta och
överträffa målsättningarna .
Åtkomstkontroll ersätter inte behovet av en stark identitetshantering . Den kompletterar
snarare identitetshanteringens infrastruktur, och gör att de som faktiskt har en överblick
över de affärsmässiga behoven kan dra nytta av affärssystemen istället för att bli förslavade
av dem . Med andra ord kan man uppfylla både IT- och affärsrelaterade behov genom smidig
integrering av system för identitetshantering och åtkomstkontroll .
Med verktyg för åtkomstkontroll får företagsledningen inte bara möjlighet att uppfylla de krav och bestämmelser som finns. Vanliga och återkommande uppgifter kan dessutom automatiseras, så att IT- och supportpersonalen slipper lägga ned så mycket tid på dem.
6
White paperIdentitets- och åtkomstkontroll – när IT och affärsverksamheten möts
Integration och utveckling i ordens rätta bemärkelse
Värdet i befintliga investeringarVissa nya leverantörer på IAG-marknaden förespråkar intensiva satsningar på ny teknik och
att lämna det gamla bakom sig . Den här slit-och-släng-mentaliteten är i bästa fall dyr och
i värsta fall farlig. Att utnyttja befintlig utrustning och teknik ger en bättre avkastning på
investeringarna och har dessutom en annan viktig fördel. De befintliga systemen är redan
inarbetade hos användarna . Med rätt IAG-lösning går det att behålla den teknik som har
fungerat bra tidigare och samtidigt dra fördel av ny och viktig teknik . Den ”rätta” IAG-
lösningen måste ha stöd för en mängd olika plattformar, program och tekniker . Den ger
möjlighet att använda de befintliga systemen som teknisk grund för den senaste tekniken,
vilket banar väg för en framtida utveckling .
FramtidenFöretaget måste utforma en tydlig vision för framtiden, och avgöra vilken väg som är den
rätta . IAG-systemet är en viktig del av den här framtiden . Om framtidsplanerna innefattar
uppköp av andra företag (eller att andra företag köper ert) finns det förmodligen redan en
förståelse för att systemen måste kunna hantera både ny och annorlunda teknik . Men även
utan uppköp åt det ena eller andra hållet kommer det att behövas sådana system . Dagens
teknik kommer förr eller senare att bli föråldrad . När det sker är det bättre att kunna bygga
vidare på den istället för att behöva ersätta den helt. Se till att det finns bra möjligheter att
integrera ny teknik i de befintliga systemet på ett smidigt sätt och att systemet även kan
fungera på nya plattformar och i nya miljöer .
Nycklarna till effektiva lösningar för identitets- och åtkomstkontroll
Följande funktioner är avgörande för att IAG-lösningen ska bli lyckad:
Fullständig integrering mellan systemen för identitetshantering och åtkomstkontroll – Se till att kontrollsystemet är mer än bara ”kompatibelt med” eller ”kan kopplas ihop med” systemet för identitets- och åtkomstkontroll. En total integration mellan robusta lösningar inom varje område bidrar till att helhetslösningen blir lyckad.
Med rätt IAG-lösning går det att behålla den teknik som har fungerat bra tidigare och samtidigt dra fördel av ny och viktig teknik.
7www.netiq.com
Enkel användning – Ett enkelt och användarvänligt gränssnitt är absolut avgörande, särskilt för de användare som ska sköta åtkomstkontrollen. Satsa på ett gränssnitt med en kontrollpanel som ger användarna möjlighet att snabbt överblicka hela IAG-miljön och titta närmare på användarprofiler där användarnas roller och behörigheter visas. Sådana funktioner gör att det går snabbt och enkelt att komma igång med det nya systemet och uppfylla efterlevnadsmålen.
Hantering av övergivna konton – Det är viktigt att snabbt kunna ge rätt behörighet till resurser, men det är ännu viktigare att snabbt kunna dra in behörigheten när anställda eller underleverantörer lämnar organisationen. Se till att IAG-lösningen har funktioner som förhindrar att konton som inte används blir till säkerhetsrisker.
Hantering av växande behörigheter – När anställda byter avdelning, blir befordrade, deltar i tillfälliga arbetsgrupper och så vidare, kan vissa lösningar göra det enkelt för dem att behålla åtkomstsbehörigheter från tidigare projekt. Effektiva IAG-lösningar övervakar och åtgärdar dock den här typen av svällande behörigheter, vilket säkerställer att användarnas åtkomstsbehörigheter endast gäller det de har behov av.
Pålitligt genomförande – Kontrollsystemen är aldrig bättre än de identitetshanteringssystem som de är integrerade med. Se till att båda systemen är kraftfulla, lättanvända och väl integrerade.
Funktioner för flera plattformar – Robusta IAG-system kan användas med alla ledande program och databaser, operativsystem, maskinvara och webbservermiljöer.
Riskutvärdering och verktyg för minimering av risker – Förmågan att identifiera och minimera riskerna är helt klart ett viktigt element i en bra IAG-lösning .
Val av leverantör
Att välja rätt leverantör är lika viktigt som att välja rätt system och verktyg . Här är några
frågor du bör ställa dig när du ska välja leverantör:
Förtroende – Vad har leverantören för anseende på marknaden? Hur nöjda är leverantörens andra kunder med den support och de tjänster de får? Var försiktig om en möjlig leverantör har ett tvivelaktigt rykte eller är för ny på marknaden för att ha hunnit bygga upp ett gott rykte.
Framtidsvisioner – Vad har leverantören för framtidsvisioner? Följer leverantören strömmen eller banar den ny väg? Har leverantören mål och strategier som passar ihop med era? Försök hitta leverantörer med visioner som stämmer med företagets.
Branschledarskap och historik – Vad har den potentiella leverantören för historia? Har de varit nyskapande på de marknader där de agerar? Har de visat att IAG-marknaden är ett viktigt fokusområde eller har de hoppat på tåget i sista sekunden? En ledande roll i det förflutna är det bästa tecknet som finns på framtida framgångar.
Konkreta resultat – Hur kunniga är leverantörens tekniker och supportpersonal? Har leverantören implementerat lösningar som liknar den ni har hos andra? Att ta reda på hur leverantörens befintliga kunder upplever deras prestationer kan hjälpa dig att bedöma vilket arbete leverantören kan göra för er.
Att välja rätt leverantör är lika viktigt som att välja rätt system och verktyg.
8
White paperIdentitets- och åtkomstkontroll – när IT och affärsverksamheten möts
När teknikerna för identitetshantering och åtkomstkontroll sammanförs blir det dubbelt så
viktigt att välja rätt produkter, från rätt leverantörer. En ordentlig efterforskning, grundlig
planering och ett välgrundat val av partner gör att IAG-lösningen kommer att uppfylla
behoven under många år .
Om NetIQ
NetIQ® är ett globalt IT-företag med ett målmedvetet fokus på kundens framgång . Kunder
och partners väljer NetIQ för att få hjälp med utmaningar kring informationsskydd på
ett kostnadseffektivt sätt, samt med att hantera komplexa och dynamiska distribuerade
programmiljöer .
I portföljen finns skalbara automatiserade lösningar för hantering av identitet, säkerhet
och åtkomstkontroll och IT-lösningar, som hjälper organisationer att på ett säkert sätt
leverera, mäta och hantera datatjänster i fysiska, virtuella och molnbaserade miljöer . De
här lösningarna i kombination med vår praktiska och kundorienterade attityd när det gäller
att tackla IT-utmaningar bidrar till att organisationer får lägre kostnader, färre risker och
minskad komplexitet .
Om du vill veta mer om våra prisbelönta programvarulösningar kan du besöka
www.netiq.com .
Kunder och partners väljer NetIQ för att få hjälp med utmaningar kring informationsskydd på ett kostnadseffektivt sätt, samt med att hantera komplexa och dynamiska distribuerade programmiljöer.
562-SV1004-002 | Q | 06/16 | © 2016 NetIQ Corporation och dess samarbetspartners. Med ensamrätt. NetIQ och NetIQ-logotypen är varumärken eller registrerade varumärken som tillhör NetIQ Corporation i USA. Övriga företags- och produktnamn kan vara varumärken som tillhör respektive ägare.
www.netiq.com
NetIQSverigeKronborgsgränd 1164 46 KistaSverigeTel: (46) 8 752 25 00
[email protected] www.netiq.com/communitieswww.netiq.com
En fullständig lista över våra kontor i Nordamerika, Europa, Mellanöstern, Afrika, Asien/Stillahavsområdet och Latinamerika finns på www.netiq.com/contacts.
www.netiq.com