Access Management Commissieleden werkgroep Access Management: Probleemeigenaar: Karin van de Kerkhof Facilitator(1):Tonne Mulder Facilitator(2):Ben Elsinga Co Facilitator:Jan-Roel Löwenthal Ghostwriter:Jean-Pierre Vincent 24 november 2009
Access Management Programma uurOntvangst met broodjes uurOpening door dagvoorzitter, Jean-Pierre Vincent uur Ervaringen werkgroep tot nu toe, Karin van de Kerkhof uurAM Visie: Rijksoverheid, Martin Krouwer uurAM Visie en Architectuur: TNO, Rieks Joosten uurPauze uurAM Architectuur: Achmea, Peter Hoogendoorn uurVragen en publieke paneldiscussie, Jan-Roel Löwenthal uurAfsluiting, Jean-Pierre Vincent uurBorrel 24 november 2009Access Management2
24 november 2009Access Management3
24 november 2009Access Management4
24 november 2009Access Management5
Jean-Pierre Vincent Voorzitter Thema-avond Achtergrond:Projectmanager/consultant/audittor (security) Werkgever:Capgemini Contact: Affiniteit met access management: Initiatiefnemer werkgroep access management en Ghostwriter expertbrieven (PvIB) Artikel “RBAC Next Generations”, dec 2006 (PvIB) Presentaties IAM-congres (IIR en Heliview) Projectmanager en architect IAM-project, medewerkers (ING) Consultant en deelprojectleider IAM-programma, medewerkers (Achmea) Projectmanager DigiD Eenmalig inloggen (SSO), alle burgers NL (Overheid: ICTU) Thoughtleader IAM: IAM-opleiding, kennisborging en kwaliteit (Capgemini) 24 november 2009Access Management6
Karin van de Kerkhof 24 november 2009Access Management7 Spreker: Ervaringen werkgroep tot nu toe Achtergrond:Consultant/audittor security Werkgever:Inter Access Affiniteit met access management: Probleemeigenaar AM-expertgroep (PvIB) Projectleider kwaliteitsverbetering Autorisatiebeheer (UWV) Roldesigner IAM-project (UWV) Roldesigner IAM-project, (Van Lanschot bankiers) Consultant IAM (Inter Access)
24 november 2009Access Management8 Agenda Expertbrief - Algemeen Expertbrief - Access Management Deel 1 – Visie Deel 2 – Architectuur
24 november 2009Access Management9 Expertbrief - Algemeen Resultaat –Korte publicatie o.b.v. discussie tussen deskundigen Doel –Gemeenschappelijke visie ontwikkelen en uitdragen –Leidend tot reacties en nieuwe kennisdeling Werkvorm –Beperkte tijdinspanning en uitnodigende publicatie Access Management
24 november 2009Access Management10 Expertbrief Access Management Context Probleemstelling Scope Aanpak
24 november 2009Access Management11 Expertbrief Access Management Deel 1- Visie Ideaal Access Management concept Basiselementen Referentieconcepten Volwassenheidsmodel Elementen in autorisatiebeleid Bedrijfsbeleid security beleid autorisatiebeleid Tactisch beleid: hoe om te gaan met principes Criteria voor beheerorganisatie, werkwijze Primaire drivers voor Access Management In control, kostenbesparing, business voordelen Business case is lastig, wel kengetallen en normen Algemene baten en Compliance baten (benefits)
24 november 2009Access Management12 Expertbrief Access Management Deel 2- Architectuur Ideaal Access Management architectuur Overeenstemming over benodigde componenten Afhankelijk van huidige en nagestreefde situatie Handvatten en referentieconcepten Architectuurcomponenten Contextueel Business en beheer Informatie Techniek Relatie componenten met benefits Lessons learned
Martin Krouwer 24 november 2009Access Management13 Spreker: Visie (Ministerie van Financiën) Achtergrond: Programmamanager Identitymanagement Werkgever:Rijksoverheid Affiniteit met access management: Projectmanager Identity Management (Rijksoverheid: Ministerie van Binnenlandse Zaken) Programmamanager Identitymanagement (Rijksoverheid: Ministerie van Financiën) Spreker Identity and access management (Everett) Presentatie
Rieks Joosten 24 november 2009Access Management14 Spreker: Visie en architectuur (TNO) Achtergrond:Researcher, Consultant securityPresentatie Werkgever:TNO Affiniteit met access management: Security architect met aandacht voor identity en access management (TNO/ICT) Ontwikkelen/ontwerpen securitydiensten (o.a. authenticatie, authorisatie) (KPN/Research) Presentatie
15 P A U Z E 24 november 2009Access Management
Peter Hoogendoorn 24 november 2009Access Management16 Spreker: Architectuur (Achmea) Achtergrond:Audittor security/ Security Officer/manager Werkgever:Achmea Affiniteit met access management:Presentatie Inrichten autorisatiebeheer middels RBAC (Achmea/PVF) Coordinatie ontwikkeling autorisatiebeheertool (Achmea/PVF) Security officer, opstellen beleid, IAM-programma, medewerkers (Achmea) Presentatie
Voorzitter Jan-Roel Löwenthal (Capgemini) Aaldert Hofman (Capgemini) Andre Koot (Univé) Karel van Oort Martin Krouwer (Rijksoverheid) Rieks Joosten (TNO) Peter Hoogendoorn (Achmea) 17 Paneldiscussie 24 november 2009Access Management
24 november 2009Access Management18 Spreker: Paneldiscussie-leider Achtergrond:Management Consultant Werkgever:Capgemini Affiniteit met access management: Co-Facilitator AM-expertgroep (PvIB) Publiceert regelmatig artikelen over IAM Role architect en role engineer, teamleider van het functioneel autorisatiebeheer (role control center), 6000 medewerkers (ING/Divisie Intermediar) IAM specialist, Implementatie RRBAC, 1000 medewerkers (Ministerie van Defensie) Thoughtleader IAM: IAM-opleiding, kennisborging en kwaliteit (Capgemini) Jan-Roel Löwenthal
24 november 2009Access Management19 Panellid Achtergrond:Security en Information Manager Werkgever:Univé-VGZ-IZA-Trias (UVIT) Groep Activiteiten en affiniteit met access management: O.a. als security architect verantwoordelijk voor het strategisch niveau van informatiebeveiliging (Univé-VGZ-IZA-Trias) Hoofdredacteur van het blad Informatiebeveiliging (PvIB) Publiceert regelmatig artikelen met een innovatief karakter, bijv. over Audit Based Access Control en Claims Based Access Control (PvIB) Interesse: alles op het gebied van IAM en de Cloud Deelnemer aan expertsessie architectuur André Koot
24 november 2009Access Management20 Panellid Achtergrond:Architect, Projectmanager en Trusted advisor Werkgever:Capgemini Activiteiten en affiniteit met access management: Actief op het gebied van informatiebeveiliging binnen & buiten Capgemini Architect, projectmanager en trusted advisor IAM Publiceert regelmatig over security en architectuur (o.a. PvIB) Publicatie “Risk Management in Mashup Corporations”, zie: Ibpedia Medeauteur van het boek over IAF architectuurraamwerk (Capgemini) Aaldert Hofman
24 november 2009Access Management21 Panellid Achtergrond:Adviseur informatiebeveiliging, specialiteit IAM- Infrastructuur Werkgever:zelfstandig Activiteiten en affiniteit met access management: Zelfstandig adviseur informatiebeveiliging met specialisme IAM-infra Betrokken bij outsourcing van ICT met specialiteit IAM-vraagstukken Benadert AM het liefst als een service Karel van Oort
24 november 2009Access Management22 XB-1 Visie 1.Welke trend zie je in Access Management land? 2.Verandert de wereld van AM door Cloud computing? 3.Migratie (bottom up) of green field (top down) implementatie? XB-2 Architectuur 1.Hoe kijk je aan tegen de balans tussen optimale architectuur en pragmatische praktijkoplossingen? En hoe uit zich dit in autorisatiemodellen? (XB-2 Architectuur). 2.Noem één valkuil die je de zaal wil meegeven als je begint met Access Management (liefst met een tegenmaatregel)? (XB-2 Architectuur ) 3.Broad empowerment of least privilege? (XB-2 Architectuur) 4.Hoeveel rollen is genoeg? Discussievragen
24 november 2009Access Management23 Panelvragen André Koot: “Hoe lang gaan we onze gebruikers nog zelf in bijv. Active Directory beheren?” Aaldert Hofman: “Vroeg of laat werkt de IAM software. Pas daarna komen veel organisaties tot de ontdekking dat de eigenlijke pijn in gebrekkige processen en onvoldoende kwaliteit van de gegevens zit. Het wordt hoog tijd dat we IAM niet meer als technisch speeltje zien en de focus leggen op hoe wij met goede processen en informatie de business effectief kunnen ondersteunen in plaats van frustreren. Zien jullie dit ook zo en zie je dit al in de praktijk?” Karel van Oort: “IT uitbesteden gebeurt vaak bij verschillende serviceproviders die AM verschillend benaderen en tegenstrijdige belangen hebben. Wie zal de lead moeten nemen om AM goed te positioneren in een organisatie en zijn de diverse partijen wel volwassen genoeg om dit te kunnen?
24 november 2009Access Management24
Afsluiting 1 e expertbrief te downloaden op PvIB-site 2e expertbrief dit jaar gereed In 2010 expertsessie/brief 3, 4 …en…. 5(?) In 2010 thema-avond: AM-projectmanagement en AM-dagelijksgebruik Door naar expertbrieven versies 2.0.(?) Indien kennis en ervaring: aanmelden voor expertsessies bij een van de commissieleden CISSP-ers: Teken de aanwezigheidslijst voor CPE-punten !! Gaarne het evaluatieformulier invullen, badge inleveren Handouts komen beschikbaar op de PvIB-website (evenementen/2009) 24 november 2009Access Management25
Exit Management Dank voor uw aanwezigheid! Veel plezier bij de borrel! 24 november 2009Access Management26