EU s dataskyddsförordning Krav, utmaningar och möjligheter

Transkript

1 EU s dataskyddsförordning Krav, utmaningar och möjligheter Lars Nikamo, Micro Focus lars.nikamo@microfocus.com

2 Svenska kunder 2 Ca 100 KOMMUNER

3 Verkligheten

4 Nuläge och framtid IDC Gartner 4

5 Cyberbrott There are two types of companies: those that have been hacked, and those who don't know they have been hacked John Chamber CEO, Cisco

6 6

7 Interna hot ökar Whether it s goofing up, getting infected, behaving badly, or losing stuff, most incidents fall in the PEBKAC and ID-10T über-patterns. På svenska kallas detta ibland felkod 60.. Source: Verizon Data Breach Investigation Report,

8 Topp-7: Säkerhetsåtgärder som minskar kostnader Source: Ponemon 2015 Cost of Cybercrime Study: Global 8

9 9 Behörighetshantering och Administration

10 Identity Governance & Administration Hur kom vi hit? MetaDirectory Services Identity Provisioning Identity Management Access Governance Identity Governance & Administration Hantera identiteter automatiskt. Zero Day Start/Zero Day Stop. Utmaningar med automation gör att vi bara hanterar ett urval av applikationer Attesteringar, certifieringar etc erbjuds som alternativ Governance blir en del av automation och certifiering Provisioning and Governance marknaden går samman

11 Så nu är allt perfekt! (eller?)

12 Det finns 3 faktorer som begränsar användbarheten idag

13 # 1 Verksamheten bryr sig inte Verksamheten känner sig påtvingad att lösa problemet Bristande beslutsunderlag Resultatet blir dåligt pga rubber stamping och/eller dåligt deltagande Har du/ni den typen av problem?

14 #2 # 2 Tunnelseende kring Compliance Compliance för saken skull gör dig inte mer säker Compliance bör leda till bra säkerhet, inte få verksamheten att sluta engagera sig Hur bekväm är du med ert arbete kring Governance? Leder det till minskad risk och högre säkerhet?

15 #3 # 3 Blind Spots Hur, när och varifrån används applikationer? Verksamheten behöver uppdaterad och relevant information för att kunna ta beslut Periodiska certifieringar ger periodisk säkerhet Tar ni Governance beslut utan insikt kring vad användarna gör i systemen?

16 Adaptive Identity Governance Skapa en IGA modell Etablera Identity and Entitlement Catalog Låt verksamheten driva IGA Använd Analytics

17 Etablera Identity and Entitlement Catalog

18 Hur kan man skapa insikt kring vem som har åtkomst till vad?

19 The Identity Foundation Vem? Vem är dina användare? Anställda, inhyrd personal, kunder, partners och things Kräver en certifierad identitet Korrelera flera identitetskällor Definiera vem som äger attribut Representera organisatorisk information Lägg till sammanhang som verksamheten förstår

20 The Identity Foundation Vad? Komplexiteten ökar Behov av ägare för applikationer, konton och behörigheter Måste hänga ihop med verkligheten On-premise, Cloud, Federated Måste spegla verksamheten Verksamhets språk Inkludera risk, kostnad och ägare

21 The Identity Foundation Vem har Vad? Korrelera identiteter med applikationer, konton, roller och behörigheter Applicera sammanhang för verksamhet

22 Identity and Entitlement Catalog är en grundläggande component för IGA Innehåller identiteter och relationen till organisationen Eliminerar felaktiga uppdateringar Unikt för Micro Focus: Tillhandahåller en skalbar, flexibel och anpassningsbar modell oavsett typ och storlek på organisation Uppdateras i (nära) realtid för att upprätthålla rätt åtkomst

23 Skapa en IGA Modell

24 Nu vet du vem som har åtkomst till vad, borde de ha det?

25 Business Control Skapa en IGA Modell Verksamhetens kunskap Verksamheten vet vilka behörigheter som krävs använd den informationen Identity Based Policies Använd en attributsbaserad modell för verksamhetsroller för att underhålla behörigheter Risk Scoring Använd risk för att fokusera där det behövs Kontroll Använd kontroller för att upptäcka, hantera och åtgärda problem Identity Risk

26 Använd verksamhetsroller för att definiera auktorisation Jobb kod= 5400 Status = heltid Verksamhetsroll Ekonomi Anställd Avdelning = IT Titel innehåller Admin Privileged Administrator

27 Fokusera på undantag Minska behovet av att certifiera Minska behovet av att beställa och godkänna Leder till en effektivare organisation Verksamhetsroll Ekonomi Anställd Behörighet Acct - P1 Acct - P2 Acct P3 FT P1 FT P2 Undandag 1 Undantag 2 Undantag 3

28 Använd risk för att prioritera och förfina modellen Fokusera på vissa applikationer och /eller användare Prioritiera rätt vid certifieringar av behörigheter Mät hur effektivt ditt IGA program är

29 Definiera kontroller och regler för att hantera undantag Definiera SOD controller för att förhindra konflikter Specifiera giltighetstid på roller för att hantera tillfälliga behörigheter Skapa regler kring orphan accounts för att upptäcka och hantera systemkonton och delade konton

30 En IGA modell Ger organisationen makt och kunskap att bestämma vem som har vilken behörighet baserat på verksamhetsbehov Skaper en hanterbar modell och struktur för hantering av behörigheter Effektiv och konsistent hantering av behörigheter minskar risk

31 Verksamhetsdriven IGA

32 Hur kan man förbättra verksamhetens upplevelse?

33 Verksamhetsdriven beställning och godkännande Intuitivt gränssnitt Baserat på vem du är och vad du gör: Vad kan beställas? Krävs godkännande? Vem behöver godkänna?

34 Verksamhetsdriven behörighetscertifiering Intuitivt gränssnitt Sammanhangsinformation Identitet, applikation, konto och behörighet Risk scores Senaste inloggning Påvisa undantag

35 Flexibel åtgärd Åtgärd via service desk ServiceNow Remedy Åtgärd via automatiserad provisioning Manuell åtgärd (notifiering via epost) REST interface

36 Closed-Loop Fulfillment Access Revocation or Provisioning Verifiera att beställningar och borttag åtgärdas Jämför verkliga behörigheter med åtgärder Kontrollera status för felsökning och korrigering Access Certification or Request Verify Fulfillment Raise Audit Case

37 Rapportering Inkluderar rapportering Out-of-the-box och ad-hoc rapporter Schemalägg och distribuera Omfattande rapporter Identity & entitlement reports Access certification reports Access request and approval reports Compliance violation reports SOD violations Unmapped (orphan) accounts

38 Verksamhetsdriven IGA Tillhandahåller intuitiv upplevelse för verksamheten Ger verksamheten möjlighet att fatta beslut baserat på relevant information (sammanhang) Closed loop för att verifiera att beslut slår igenom Adresserar säkerhetsbehov Verksamheten vill ha självservice, men bara om de har nytta av det!

39 Analytics

40 Hur engagerar man verksamheten på ett effektivt och säkert sätt?

41 Beslutsstöd med sammanhang Lägg det viktigaste överst Beskriv varför det är viktigt Resulterar i mer korrekta beslut på kortare tid

42 Mätbarhet och KPIer Reducerar risk Effektiv governance ger högre säkerhet och nöjda auditörer Undersök antalet avslag, fördröjningar av åtgärder etc Bättre effekt genom att analysera trender

43 Upptäck händelser eller beteenden som är av intresse Skydda mot administrativa fel Presentera relevant säkerhetsinformation till den som bestämmer (verksamheten) 11/17/15: Fred logged in from two separate locations simultaneously 11/19/15: Fred requested access to a new module 11/20/15: Andy completed Fred s Access 11/21/15: Fred is no longer active in HR system 11/22/15: Fred downloaded customer data

44 IGA Powered by Analytics Minskar rubber-stamping Skapar sammanhang som hjälper att minska risk Gör din IGA lösning mer adaptiv i en föränderlig miljö

45 Sammanfattning IGA Löser viktiga utmaningar kring Dataskyddförordningen Rätten att bli glömd Minska risken/effekten för intrång (ransomware etc) Utöver det Livscykelhantering av attribut, grupper, distributionslistor etc Verksamheten vill veta vem som använder vilka tjänster Ordning och reda

46 Behörighetsgranskning Din kollega Anders Svensson har följande behörighet: Applikation: SITHS-kort Granskningsföremål: Behörighet Vägledning : Denna behörighet verkar olämplig. Behåll Ta bort Anders loggade senast in den 3 november Anders har loggat in med SITHS-kort 1 gång under de senaste 180 dagarna. 5% av användare liknande Anders har ett SITHS-kort. Anders blir den enda användaren inom ekonomiavdelningen med ett SITHS-kort. Om Anders Svensson Titel: Ekonomiassistent Avdelning: Ekonomi Placering: Kommunhuset, Säffle Om SITHS-kort Denna behörighet innebär att användaren tilldelas ett SITHS-kort vilket medger inloggning i vård- och journalapplikationer. Detta är en behörighet förknippat med hög risk. Ett SITHS-kort kostar cirka 2500 kronor per år och användare. 50 användare inom organisationen har SITHS-kort. Handläggare inom socialförvaltningen är de vanligaste användarna med denna behörighet. 47

47 Stark autentisering

48 Cyberbrott 49 Källa: Verizon DIBR Variety of hacking actions within Web App Attacks pattern

49 Användarna är mogna Apple, Facebook, Google m.fl. erbjuder det Mobilt BankID, banktjänster etc.

50 Utmaningen Kostsam och tidskrävande administration Dyrbar hårdvara Inte alltid vald MFA-lösning passar i alla situationer 52

51 Utmaningen Användarna efterfrågar nya metoder Hårdvarubaserade Radius (YubiKey) Biometric SmartCards: Certifikat ProxCards: Tap-n-Go Telefonbaserade 53 One Time Password (OTP) Voice SMS

52 Utmaningen Access punkter IT-infrastruktur: Windows Linux Fjärråtkomst VPN Gateways Cloud/Web: Web applikationer Intranät Federerade tjänster ADFS Övrigt Signerade transaktioner Autentiseringsmetoder Smarta kort Biometri Fingeravtryck etc Smartphone One-Time-Password (OTP), Out-of-Band, LiveEnsure Radius Lösenord via SMS etc Tokens Software tokens, hardware tokens Något man vet Lösenord, PIN, challenge-response

53 Stark autentisering Access punkter IT-infrastruktur Windows Linux Fjärråtkomst VPN Gateways Cloud/Web Web applikationer Intranät Federerade tjänster ADFS Övrigt Signerade transaktioner Autentiseringsmetoder Smarta kort Biometri Fingeravtryck etc Smartphone One-Time-Password (OTP), Out-of-Band, LiveEnsure Radius Lösenord via SMS etc Tokens Software tokens, hardware tokens Något man vet Lösenord, PIN, challenge-response

54 Dataskyddsförordningen Data breach (intrång eller incidenter) Anmälningskyldighet Goodwill Kostnad för administration, kommunikation och revision Säkra upp konton med höga behörigheter

55 Stark Autentisering Säkra upp konton med höga behörigheter Ett enkelt sätt att höja säkerhet Gör det enkelt för användaren Ett steg närmare EUs Dataskyddsförodning

56