Slip uden om faldgruberne

Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 15. september 2006.


Der er store sikkerhedsmæssige og økonomiske fordele i at få automatiseret håndteringen af brugernes identiteter og rettigheder. Vejen til succes ligger imidlertid i at undgå at gøre det til et it-projekt.

Vejen til fiaskoer er bred, når det gælder systemer til styring af brugernes identiteter og rettigheder. Man kan for eksempel gøre, som en af landets allerstørste kommuner gjorde. Kommunen glemte af afstemme ønsker og mål mellem de mest berørte afdelinger, før den gik i gang. Resultatet var, at det stort anlagte identitetsstyringsprojekt kuldsejlede efter halvandet år.
Det gik galt, lige før man skulle indhente tilbud på softwaren. Blandt de tungtvejende årsager til, at projektet kuldsejlede, var, at man på intet tidspunkt havde involveret personaleafdelingen, selv om den bør være en nøglespiller i sådanne projekter.
Da personaleafdelingen tilmed fornemmede, at den ville få det fremtidige ansvar for brugerhåndteringen, blev hælene sat i. Alt det bøvl med brugerne og deres glemte passwords og rettigheder og det store ansvar! Nej, den opgave skulle så sandelig forblive hos it-afdelingen, som ellers længe havde set frem til dagen, hvor den slap for den.
De sikkerhedsansvarlige havde været inddraget hele tiden. De ønskede naturligvis seler og livrem og dirkefri hængelås. Dommen fra andre lød imidlertid på, at det blev alt for bureaukratisk og besværligt i dagligdagen.
Men uoverenstemmelserne blev først afdækket, da en person udefra foreslog, at der skulle laves en enkelt interviewrunde blandt de relevante parter, inden man skred til køb af software samt implementeringsbistand.
Den svære politik
Hos Norsk Hydro, der trin for trin har indført en avanceret, automatiseret styring af bruger­ identiteter og -rettigheder, har man for længst erkendt, at problemerne, der opstår undervejs, er langt mere virksomhedspolitiske end tekniske.
Projektet blev indledt i 1997, hvor en rapport, der påpegede behovet for en tværgående styring, landede på Michael Kimbells skrivebord. Kimbell, der i dag har titlen IS Architect (IS=Information System), har ansvar for identitetsstyring og directory services hos Hydro IS Partner, et datterselskab af Norsk Hydro.
- Dengang, var der ingen, der nævnte ordet directory, siger han.
Men i 1998 indledte man arbejdet med en prototype af et overordnet opslagsværk kaldet "Hydro Directory". Det skulle rumme al brugerinformation, der i forvejen lå registreret. Oplysningerne skulle hentes på tværs af geografiske lokaliteter, på tværs af selskaber og på tværs af systemer.
Tre klassiske problemstillinger inden for identitetsstyring skulle tackles:
Hvor findes den mest sande - mest troværdige - udgave af et stykke information? Brugerinformationer er jo registreret et utal af steder, og ofte uden entydighed.
Hvorledes får man de involverede "ejere" af brugerinformation til at trække i samme retning?
Hvorledes sikrer man, at alle forstår, hvordan data - felterne - i den overordnede database skal tolkes?
Norsk Hydro, der i dag har 35.000 ansatte verden over, lagde sig fast på at benytte LDAP (Lightweight Directory Access Protocol) som standard for det overordnede Hydro Directory. LDAP er en åben netprotokol, som gælder forespørgsler og modifikationer af directory-tjenester.
Den første praktiske udfordring på it-fronten var at få kopieret de relevante brugerdata over i det overordnede directory. Flest data kom fra HR-systemet (Human Resource) fra SAP, og blandt de andre kilder var Oracle-databaser og IBM Notes-mailsystemet.
Efterfølgende handlede det om at sikre den løbende synkronisering mellem de mange forskellige directories og det overordnede. Dertil kom onlineregistrering og rapportering af, hvad der blev foretaget af aktioner. Senere kom web-applikationer til, og deres brugere skulle ind under rammen.
Fremme ved 2004 var tiden inde til at sikre en større automatisering i tildelingen af adgangsrettigheder, fortæller Michael Kimbell. Derfor udarbejdede man et sæt politikker for adgangskontrol, baseret på organisation og geografisk placering. Den enkelte medarbejders adgang til Hydro-systemer afgøres nemlig af placeringen i organisationen og den geografiske placering.
Ved nyansættelser klikkes de relevante tilhørsforhold af, hvorefter rettighederne tildeles pr. automatik. Desuden reserveres et særligt område - en folder - til den pågældende persons dokumenter.
Ved flytning, organisatorisk eller geografisk - eller begge dele, tilpasses rettigheder pr. automatik til de nye forhold, og ved afsked lukkes for alle rettigheder samt for adgang til den personlige folder.
Denne form for automatisering kaldes typisk provisioning, og i mange virksomheder bliver man endnu mere specifik. Her arbejdes med en række foruddefinerede "roller" som politik-elementer.
Blandet software
Til hver eneste funktion i det langstrakte id-projekt har man valgt værktøjer, der var de bedst egnede på det tidspunkt og til den pågældende opgave. IBM Tivoli Director "sugede" data direkte ud af deres respektive directories over i LDAP-basen. Den løbende synkronisering og håndtering af web-applikationerne sker ved hjælp af Oblix NetPoint (opkøbt af Oracle i 2005). Til provisioning-opgaven valgte man software fra Waveset Solutions, opkøbt af Sun Microsystems.
Lige nu er implementeringen af den politikbaserede adgangskontrol i fuld gang. I samme omgang synkroniseres passwords. Fremover kan brugeren nøjes med ét brugernavn og et password på tværs af systemerne. Dog var der særlige tekniske forhold ved Notes-systemet, der gjorde, at det måtte holdes udenfor.
- Hele vejen igennem har topledelsen i øvrigt givet klart udtryk for, at det var klogt at medvirke til at sikre en høj datakvalitet i Hydro Directory, hvis man ønskede at nyde godt af Norsk Hydro IS Partners indsats, fortæller Kimbell.
Den tålmodige trin for trin-strategi, streng datadisciplin, grundige værktøjsvalg og topledelsens engagement er altså opskriften på Norsk Hydros vej til succes. Det har været en lang rejse, og som Kimbell siger, ender rejsen aldrig.
Varmt emne
Identitetsstyring er faktisk et brændende varmt emne i disse år. Hos PricewaterhouseCoopers, kendt som ekspertisecenter inden for identitetstyring, forklares dette med, at udgiften til håndtering af oprettelse, ændring og sletning af brugere allerede i dag er betydelig. De regelmæssige tjek af, om folk har netop de rettigheder, de bør have, tager også tid, og oven i kommer hele supporten, altså alle opkaldene fra brugerne om hjælp for eksempel i forbindelse med et glemt password.
- Ifølge rådgivningsfirmaet Gartner handler mellem en tredjedel og en fjerdedel af alle opkald til helpdesken om brugerrettigheder, så der er store besparelser at hente, hvis det antal kan reduceres, og det kan man ved, at brugeren i højere grad får hjælp til selvhjælp via identitetstyringen, siger Martin Povelsen, partner i PricewaterhouseCoopers med ansvar for sikkerhed og teknologi.
Men han påpeger, at også større lovgivningsmæssige krav har øget interessen for området. Blandt kravene er finansbranchens Basel II og Sarbanes-Oxley (Sox), der har betydning for alle, der gør forretninger med USA. På vej er også en europæisk "Sox", der vil stille større krav til sporbarhed af, hvem der gør hvad med hvilke data.
Blandt de klassiske fejl, som Martin Povelsen har set, er, at projektet opfattes som et teknologiprojekt, og ikke et forretningsprojekt. Oven i kommer forkert valg af identitetssoftware. Hyppigt tyer virksomheder blot til en af de tunge softwareleverandører, de allerede benytter, selv om deres id-produkt ikke nødvendigvis egner sig bedst til forholdene.
Forkerte forventninger
Dertil kommer helt forkerte forventninger om, at lidt uddannelse og installation af softwaren er nok til, at projektet pr. automatik stormer ud over stepperne.
- Det dur ikke, for det er forretningsprocesserne, der skal ses på, nøjagtig lige som hvis man skal udvikle et godt lagerstyringssystem. Hvis man ikke har set på processerne i forbindelse med brugerstyring og opgavernes workflow, bygger man måske noget, der er langt mere komplekst, end det skal være, siger Martin Povelsen. Han påpeger, at en faseopdeling også er nødvendig.
- Men en af de fejl, jeg selv har været med til at begå, er, at de trinvise faser gøres for lange. Så har for meget ændret sig, når fasen er slut, hvorfor der allerede da er ting, der skal laves om, siger Martin Povelsen, der anbefaler otte ugers faser.
Ifølge ham koster god brugerstyring omkring 400-500 kroner pr. bruger pr. år. Selve implementeringen kan løbe op i millioner, men udgiften har typisk tjent sig hjem på to-tre år.
- Men man skal over 500 ansatte, før det for alvor kan betale sig at lave en omfattende automatisering, siger Martin Povelsen.
- Står man over for en fusion, kan et id-projekt dog være limen, der fra starten bygger bro mellem mennesker og systemer, tilføjer han.
Pres fra offentlige fusioner
Netop på grund af fusioner er der lige nu stor fokus på brugerstyring fra det offentliges side. Kommuner lægges sammen og overdrages visse amtslige opgaver. Og amter lægges sammen til regioner, hvor sygehusene hører under.
- I det offentlige er der et helt anderledes pres på at få tingene på plads, fortæller Kenn Thomassen, administrerende direktør for Novell.
- Det inkluderer også de ansattes digitale signatur, der i dag er meget tidsskrævende at installere og desuden bundet til én pc, tilføjer han.
Selskabet har allerede fået 20 af de nye kommuner i stald. Med en avanceret brugerstyring er det ikke absolut nødvendigt, at alle, der indgår i en ny organisatorisk enhed, fra starten kører på de samme systemer.
- Det er et kraftigt voksende forretningsområde for os. Alene i 2005 havde vi en vækst på 100 procent - uden at komme fra et lavt udgangspunkt, siger Kenn Thomassen.
Spæd start
Men kun få danske virksomheder er nået så langt som for eksempel Norsk Hydro. Sådan lyder vurderingen fra en anden aktør på området.
- Dem, der har gennemført en fuld automatisering, kan tælles på to hænder, men mange har gennemført dele af den, fortæller Søren Hammer. Han tilføjer, at automatiseringen med tiden bliver relevant for flere og flere. Prisen på softwaren falder, og brugervenligheden øges.
Ifølge Søren Hammer er det typisk den it-sikkerhedsansvarlige, der driver processen.
- Forhåbentlig er det med opbakning fra ledelsen. Desværre ser vi mange gange, at den personaleansvarlige ikke er med inde i cirklen. Det er gjort til et it-projekt, ikke et virksomhedsprojekt, siger han.
Blandt de andre klassiske fejl, han ser, er, at man bruger virksomhedens normale it-rådgivere som konsulenter, i stedet for specialister på id-området.
Man undlader også at lave en "business case" - man regner ikke rigtigt på, hvad det forventede udbytte af investeringen bliver.
- Typisk er desuden utålmodigheden. Man vil alt på en gang. I stedet bør man starte med et lille projekt, og det bør forankres hos en afdeling, der er positiv over for det. Det giver en god chance for, at folk får en aha-oplevelse fra starten. Det inspirerer også til endnu flere tanker om, hvor meget man egentlig kan opnå med identitetsstyringen, siger Søren Hammer.
Men noget, som alle burde gøre, inden de overhovedet går i gang, er at få sikret sig et overblik over, hvor galt det står til - eller, hvor godt det faktisk står til, mener Søren Hammer.??

Faktabokse:

Om identitetsstyring

Af sikkerhedsmæssige årsager og ofte også af lovgivningsmæssige skal en virksomhed vide:
Hvem der har adgang it-systemerne
Nøjagtig hvilke it-systemer og data den enkelte har adgang til
Årsagen til, at den enkelte har adgang til netop disse systemer
Software til identitetsstyring (Identity Management) giver - når rigtigt anvendt - svarene på disse spørgsmål Men softwaren skal også i så vidt mulig omfang som mulig automatisere en række processer herunder:
Administration: Oprettelse, ændre og sletning af brugeridentiter. Typisk ud fra hvilken "rolle" - altså hvilken stilling, den pågældende har, og hvilken afdeling det er i.
Autentificering : Tjek af, at brugeren er, hvem personen udgiver sig for at være. Det er typisk tjek af brugernavn sammenholdt med password.
Autorisation: Tjek af, hvorvidt brugeren har ret til at få adgang til det system, som der logges ind på.
Revision: Kontrol, rapportering og bevisførelse af ovenstående.

Trængsel på markedet

Der går knap en måned uden nyt om virksomhedsopkøb på identitetsområdet. Alle de store it-selskaber opruster gennem opkøb af især de små innovative virksomheder. Målet er at blive altfavnende, for der er stor vækst i sigte.
IBM, Oracle, Hewlett-Packard, CA, Microsoft, Sun Microsystems. Alle har haft pengepungene fremme, og ligeså en ny spiller på id-området, lagringsgiganten EMC. Selskabet har blandt andet købt it-sikkerhedsfirmaet RSA Security, der har identitetsstyring på hylden. To af de øvrige markante spillere er BMC Software og Curion.

Hvem der er bedst? Rådgivningsfirmaer som Gartner og Forrester er enige om, at Sun Microsystems er længst, både med visioner og praktisk gennemførelse. De vurdererer også IBM's Tivoli ganske pænt, men derefter er der uenighed om placeringerne. Et problem er i øvrigt også, at nye versioner og opkøb gør, at hvad der var sandt, da de store rapporter blev lavet, måske ikke holder tre måneder senere.
Novell har for eksempel været ramt af, at det var en gammel version af Identity Manager, som indgik i de seneste test. Men Novell fortæller så om en førsteplads i en 2005-test, gennemført af det amerikanske it-blad Infoworld i 2005. Her lå Sun på andenpladsen og Thor Technologies, der siden er opkøbt af Oracle, på tredjepladsen.
Microsofts bud - Identity Integration Server - lå langt nede, men softwaregiganten har i støbeskeen et større projekt kaldet Microsoft CardSpace, der også har fokus på den enkelte brugers behov for selv at styre sine adgangsdata.
Det samme har open source-projektet Higgins, som Novell og IBM står bag. I øvrigt har både Sun og Novell i dag open source identitetsstyring, og Red Hat er også i gang på området.

Billedtekster
-Det overordnede Hydro Directory opdateres dagligt fra HR-systemet, men forlader nogen pludselig selskabet, kan der lukkes for systemadgang øjeblikkeligt, fortæller Michael Kimbell, der står i spidsen for identitetsprojektet hos Hydro IS Partner - Norsk Hydros it-selskab.

- Man begår en basal fejl, hvis man gør identitetsstyring til infrastrukturprocesser og ikke forretningsprocesser, siger Martin Povelsen, partner i PricewaterhouseCoopers med ansvar for sikkerhed og teknologi. Foto: Torben Klint

OriginalModTime: 15-09-2006 13:33:06




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
KEYBALANCE A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere