Ukjent identitet
Identiteten – den siste sikkerhetsbarrieren - Bouvet Norge blogmask-mobile

Identiteten – den siste sikkerhetsbarrieren

Tor Harald Lothe 
29. april 2015

De færreste tenker så mye over det, men når applikasjoner og tjenester er tilgjengelig fra hvor som helst, på en hvilken som helst plattform, blir identiteten (brukerkontoen) reelt sett den siste sikkerhetsbarrieren i forhold til å styre hvem som skal ha tilgang til hva. Rent bortsett fra at den aller viktigste barrieren selvfølgelig er personens egen bevissthet rundt sikkerhet.

“When you can’t control the where from or where to, or the how and from what, you can and have to control the who”

Alex Simons, Director, Azure Active Directory team, Microsoft

Dersom vi bruker dette som forutsetning, og det mener jeg er riktig, blir identitetshåndtering satt i system svært viktig. MYE viktigere enn det noen gang har vært.

Identitetshåndtering er en del av et større fagområde, Identity & Access Management. Litt forenklet sagt, er IAM optimalisert livsyklusforvaltning av identiteter og rettigheter, samt administrasjon og håndheving av logisk og fysisk aksess. Det handler om autentisering, autorisasjon, administrasjon, samt styring, rapportering og kontroll av alt dette. Fra et brukerståsted handler IAM også om enkelhet; gjennom personifisering, single sign-on, automatisk tildeling av roller / rettigheter, selvbetjeningsmuligheter, og gjenbruk av person- og organisasjonsdata der det er relevant.

Med andre ord driver alle med IAM, men det gjøres bare mer eller mindre optimalisert, og ofte silobasert.

IAM er, i en strategisk dimensjon, sunn fornuft og god praksis satt i system, på samme måte som ITIL er det for IT-tjenester generelt sett

Typisk avhengig av bedriftens størrelse, sikkerhetsfokus, eller antallet eksterne parter vi har, vil IAM løses på ulike måter. Manuelt eller automatisk, helt eller delvis, taktisk eller strategisk.

For å illustrere forskjellene med et enkelt eksempel rundt brukeradministrasjon: En bedrift med 50 ansatte og 10 applikasjoner, klarer for eksempel utmerket godt å holde orden på identiteter og tilganger manuelt, og håndtere sikkerhet og administrasjon i hver enkelt applikasjon. I en bedrift med 2000 ansatte og 200 applikasjoner, er dette ikke like enkelt, og det er da ofte behov for helt andre metoder; både for å ha kontroll, og for å automatisere arbeidet.

 … men tilbake til skytjenester og mobil tilgang

For å komplisere bildet ytterligere; det blir enda mer kostbart, komplisert og mer omfattende å drive manuell, silobasert IAM, når det introduseres forvaltning av eksternes kontoer (partnere, kunder eller forbrukere), deres rettigheter og aksess, tilgang til våre eller andres skytjenester, og aksess fra mobile plattformer.

Innføring av skytjenester som Salesforce, Office 365/Azure, og den hybride tjenesteleveransemodellen som benyttes i dag, er definitivt en driver for å gjøre noe med IAM.

Alt er tilgjengelig; fra hvor som helst og fra en hvilken som helst enhet. I tillegg samhandler vi på en helt annen måte enn for noen få år siden. I en eller flere superorganisasjoner som vi er en del av.

 Organisasjonen finnes ikke lenger innenfor definerte vegger – den består av relasjoner i mer eller mindre definerte strukturer, på kryss og tvers av tradisjonelle grenser – det er en superorganisasjon

Samhandling på tvers av organisasjoner har blitt en selvfølge i dag, noe ikke minst Sharepoint, Lync (Skype for Business) og tilsvarende verktøy har lagt til rette for, og mange er derfor involvert i flere ulike superorganisasjoner i sitt daglige virke. Dette er også en driver for at IAM-tilnærmingen kanskje må revurderes og redefineres. Fra å være punkt-til-punkt-basert og tilfeldig, til å bli satt inn i et helhetlig system.

Identitetene våre er for viktige til å ikke gjøre det….