Identity and access governance Ken Willén, Senior System Engineer, Micro Focus November 2016
Identity and access governance Minimer rettigheder Revision og processer Overvåg brugeraktivitet Håndhæv adgangskontrol
Identity Lifecycle Management - udfordringen Assign Assets Relationship Begins Employee, Partner, Customer, Citizen (provisioning) Identity Assignment Role Assignment New Role Request & Approval Manager, Resource Owner Move Locations Promotion De- Provisioning Relationship Ends (de-provisioning) New Project Password Self Service
Attesterings-/Re-certificeringsproces Access Review Access Reviews are defined, created and controlled. The reviews are sendt to the reviewer for review who decide which action that needs to be taken.
Attesterings-/Re-certificeringstyper Gennemgang af IdM administrerede og ikke IdM administrerede applikationer Periodiske og ad-hoc gennemgang Supervisor gennemgang Applikationsejer gennemgang Rettighedsejer gennemgang Risikobaserede gennemgang
Udfordringer med brugere, rettigheder og adgange som attestering/re-certificering adresserer Revision: EU Persondataforordningen At besvare krav fra revisionen eller auditeringer kan være svært, være forbundet med fejl og være meget tidskrævende Det er vanskeligt eller umuligt at dokumentere på tværs af alle systemer, om en persons adgange er korrekte og godkendte Sikkerhed: Mange brugere har rettigheder, de ikke har brug for Dette er i strid med princippet om Least Privilege Dette resulterer ofte øgede licensomkostninger Der findes brugere med rettigheder, der ikke længere er ansat (Orphan Accounts) Mange brugere har rettigheder i strid med Separation of Duties politikker Forretningen: At forstå den konkrete trussel mod netop deres data, så Identity og Access Management bliver vedkommende for dem IAM projekt: At have og følge de rette prioriteter i et IAM projektet er afgørende for succes En troværdig autoritative Identity Store bygger på data af høj kvalitet Det er umuligt at foretage korrekte beslutninger om brugere, rettigheder og adgange uden forståelse for forretningsmål og -krav
Relevans i forhold EU Persondataforordning
Specifikke henvisninger Artikel 5 Principper for behandling af personoplysninger: f) behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (»integritet og fortrolighed«) Artikel 25 Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger 2. Den dataansvarlige gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles. Denne forpligtelse gælder den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed. Sådanne foranstaltninger skal navnlig gennem standardindstillinger sikre, at personoplysninger ikke uden den pågældende fysiske persons indgriben stilles til rådighed for et ubegrænset antal fysiske personer
Specifikke henvisninger, fortsat Artikel 28 Databehandler 3. En databehandlers behandling skal være reguleret af en kontrakt eller et andet retligt dokument i henhold til EUretten eller medlemsstaternes nationale ret, der er bindende for databehandleren med hensyn til den dataansvarlige, og der fastsætter genstanden for og varigheden af behandlingen, behandlingens karakter og formål, typen af personoplysninger og kategorierne af registrerede samt den dataansvarliges forpligtelser og rettigheder. Denne kontrakt eller dette andet retlige dokument fastsætter navnlig, at databehandleren: h) stiller alle oplysninger, der er nødvendige for at påvise overholdelse af kravene i denne artikel, til rådighed for den dataansvarlige og giver mulighed for og bidrager til revisioner, herunder inspektioner, der foretages af den dataansvarlige eller en anden revisor, som er bemyndiget af den dataansvarlige
Specifikke henvisninger, fortsat Artikel 32 Behandlingssikkerhed 1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige og databehandleren passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til disse risici, herunder bl.a. alt efter hvad der er relevant: b) evne til at sikre vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemer og tjenester d) en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. 2. Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
Generelle henvisninger Artikel 24 Den dataansvarliges ansvar 1. Under hensyntagen til den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder gennemfører den dataansvarlige passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med denne forordning. Disse foranstaltninger skal om nødvendigt revideres og ajourføres 2. Hvis det står i rimeligt forhold til behandlingsaktiviteter, skal de foranstaltninger, der er omhandlet i stk. 1, omfatte den dataansvarliges implementering af passende databeskyttelsespolitikker
Generelle henvisninger, fortsat Artikel 25 Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger 1. Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder
Generelle henvisninger, fortsat Artikel 28 Databehandler 1. Hvis en behandling skal foretages på vegne af en dataansvarlig, benytter den dataansvarlige udelukkende databehandlere, der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder Artikel 32 Behandlingssikkerhed 4. Den dataansvarlige og databehandleren tager skridt til at sikre, at enhver fysisk person, der udfører arbejde for den dataansvarlige eller databehandleren, og som får adgang til personoplysninger, kun behandler disse efter instruks fra den dataansvarlige, medmindre behandling kræves i henhold til EU-retten eller medlemsstaternes nationale ret
Generelle henvisninger, fortsat Artikel 47 Bindende virksomhedsregler 2. De bindende virksomhedsregler i stk. 1 skal mindst angive: d) anvendelsen af de generelle databeskyttelsesprincipper, navnlig formålsbegrænsning, dataminimering, begrænsede opbevaringsperioder, datakvalitet, databeskyttelse gennem design og databeskyttelse gennem standardindstillinger, retsgrundlag for behandling, behandling af særlige kategorier af personoplysninger, foranstaltninger til at sikre datasikkerhed og krav til videreoverførsel til organer, der ikke er underlagt de bindende virksomhedsregler
Attesteringer og certificeringer
Access Review miljø Konti og rettigheder Active Directory HR Utopia HR Identiteter Access Review Fysisk Adgangskontrol Office 365 Identitet Active Directory Fysisk adgangskontrol Office365 Knud Hansen khansen knudh knud.hansen@organisation.dk
Ordinære attesteringer og certificeringer Revisionsejer
Ordinære attesteringer og certificeringer Medarbejder
Ordinære attesteringer og certificeringer Chef
Ordinære attesteringer og certificeringer Revisionsejer
Applikationsejer gennemgang Revisionsejer
Applikationsejer gennemgang Applikationsejer
Applikationsejer gennemgang Revisionsejer
Forældreløse konti Revisionsejer
Forældreløse konti Applikationsejer
Forældreløse konti IT-sikkerhedschef
Forældreløse konti Revisionsejer
Funktionsadskillelse
Webinar serie, se hvordan det kan gøres på: www.netiq.com/brugerstyringmediq
www.microfocus.com
Unpublished Work of Micro Focus. All Rights Reserved. This work is an unpublished work and contains confidential, proprietary, and trade secret information of Micro Focus. Access to this work is restricted to Micro Focus employees who have a need to know to perform tasks within the scope of their assignments. No part of this work may be practiced, performed, copied, distributed, revised, modified, translated, abridged, condensed, expanded, collected, or adapted without the prior written consent of Micro Focus. Any use or exploitation of this work without authorization could subject the perpetrator to criminal and civil liability. General Disclaimer This document is not to be construed as a promise by any participating company to develop, deliver, or market a product. It is not a commitment to deliver any material, code, or functionality, and should not be relied upon in making purchasing decisions. Micro Focus makes no representations or warranties with respect to the contents of this document, and specifically disclaims any express or implied warranties of merchantability or fitness for any particular purpose. The development, release, and timing of features or functionality described for Micro Focus products remains at the sole discretion of Micro Focus. Further, Micro Focus reserves the right to revise this document and to make changes to its content, at any time, without obligation to notify any person or entity of such revisions or changes. All Micro Focus marks referenced in this presentation are trademarks or registered trademarks of Micro Focus in the United States and other countries. All third-party trademarks are the property of their respective owners.