Modellering av forretningsroller. Spiller det noen rolle?

Sommerferien er over for de fleste i disse dager, og nye og spennende prosjekter settes igang hos veldig menge.  IAM er ikke lenger siste nytt og mange ivrige sjeler har anskaffet IAM verktøy for at de nå virkelig skal kontrollere tilgangene til brukeridentitetene sine. Rollebasert tilgangskontroll (RBAC) har etablert seg som det saliggjørende for å håndtere tilgangsrettigheter til bl.a. fagapplikasjoner og interne systemer. RBAC spiller en vesentlig rolle når det etableres en modell for å håndheve sikkerheten i organisasjoner. RBAC er også en kritisk komponent i en IAM løsing. Kort fortalt: Tilgang til ressurser tildeles ved å tildele brukere roller og rollene tildeles rettigheter. I teorien “a walk in the park”. Etterhvert som flere virksomheter nå har satt igang RBAC orienterte IAM prosjekter blir det tydeligere at det å definere høy-nivå virksomhetsroller med grunnleggende rettigheter ikke imøtekommer de forventningene om forretningsfordelene som virksomhetssiden i organisasjonene har. Og hva forventer de så egentlig? Jo, de ønsker kontroll og trygghet. De ønsker at ledere skal være i stand til å ta sitt ansvar med å tildele rettigheter til sine ansatte på en forståelig, enkel og fleksibel måte ved å bruke egne begrep og termer. Systemtekniske detaljer må skjules, og de ønsker å være sikre på at tildeling av tilganger skjer etter et såkalt tjenstlig behov. Dette er faktisk ikke “a walk in the park”. Tildelinger av rettigheter og systemtilganger har til nå stort sett blitt sett på å være et teknisk ansvar siden rettigheter er forbundet med applikasjoner og administreres som egne siloer uten spesielt mye input fra forretningssiden. Resultatet er utfylling av kryptiske skjemaer og mye fram og tilbake mellom forretningen og brukerstøtte for å få riktige tilganger for en medarbeider. Ledere ønsker ikke, og kan heller ikke, å ta det ansvaret som er de er pålagt i forbindelse med å vite hva deres ansatte har tilgang til. Organisasjoner implementerer ofte IAM systemer basert på rollebaserte modeller uten å ta hensyn til roller. I tillegg er det mange tilfeller hvor rollemodellene i IAM verktøyene ikke vil fungere side de fleste kun opererer med en rolletype, og den er som oftest linket til organisasjonen. Ved organisasjonsendringer vil man umiddelbart få problemer. Prosessen med å definere roller må i bunn og grunn basere seg på hvordan en organisasjon fungerer og må inkludere ressurser fra linjeorganisasjonen, ledere, personal i tillegg til tekniske systemansvarlige for å få til dette. En rolle er ikke en virksomhetsrolle fordi det ikke er en systemrolle og IT sier at det er det. Rolledefinisjonsarbeid og ledelse krever en utstrakt forpliktelse blandt organisasjonsenhetene siden et rolleinitiativ spenner over hele virksomheten.

Viktigheten av virksomhetsroller bør ikke komme som en ettertanke, men som en integrert del av et IAM initiativ. Virksomheten må nøye vurdere fordelene med rollebasert tilgangstyring ved å vurdere hvordan roller kontinuerlig skal defineres og administreres. Rollemodelleringsprosessen er en hjørnestein i prosessen med å definere roller som tilfredsstiller forretningens krav. Så snart rollene er definert og rollelisten er publisert i organisasjonen, må den vedlikeholdes i samarbeid av både IT og forretningen fordi det vil bidra til å holde informasjonen oppdatert og tilgjengelig for et hvert IAM initiativ i framtiden.

I kommende blogginnlegg vil jeg skrive mer om rollebasert tilgangskontroll (RBAC) i forbindelse med IAM implementeringer, og jeg vil ta for meg hvorfor de rollemodellene som er tatt i bruk i IAM løsningene ikke tar tilstrekkelig hensyn til virksomhetskrav, og hvordan det er hensiktsmessig å modellere roller for å oppnå få virksomhetsroller, og en fleksibel og brukervennlig rolletildelingsprosess, og til slutt forvaltningsprosessen for rollearbeidet. Så følge med i tiden framover.

Forankring i ledelsen krever at riktig budskap blir kommunisert

IAM blir stadig oftere å se på anskaffelsesportaler og det er helt tydelig et fokusområde for mange virksomheter nå om dagen. Når jeg snakker med eksisterende kunder og potensielle kunder om hva som er nøkkelen til suksess, da sier jeg alltid at et av de viktigste suksesskriteriene er forankring i ledelsen. Men, erfaring viser at dette er lettere sagt enn gjort. For å få til dette er det nødvendig med en forståelse av grunnleggende prinsipper for hvordan påvirke mennesker og få disse menneskene til å endre oppfatning, mening og/eller adferd. Et element er å påpeke spesifikke fordeler som er tiltrekkende for ledelsen og beslutningtakere. Så da må man tenke litt på hva som tiltrekker deres oppmerksomhet.

Når man ønsker å selge inn en ide til noen for å påvirke deres mening eller adferd er det noen grunnregler som bør følges for å øke sjansene til suksess. Noen av reglene kan være:

• Henvend dine kommentarer, ditt dokument eller presentasjon kun til gruppen av personer som du ønsker å påvirke. Ikke prøv å tilpasse kommunikasjonen slik at alle skal forstå det.
• Bruk kun språk, konsepter og terminologi som brukes av gruppen av personer du ønsker å påvirke. Unngå å bruke språk, konsepter og terminologi som er ukjent for denne gruppen.
• Presenter kun temaer som interesserer gruppen du ønsker å påvirke. Temaer som ikke er av interesse er bortkastet tid.
• Fokuser på å presentere hovedbudskapet du ønsker at de skal bli opptatt av. Tilpass kommunikasjonen etter hovedbudskapet.
• Prioriter materialet ditt og presenter det viktigste først. Ledere har ofte mange til som skjer og som de må ta stilling til, og tidsvinduet til disposisjon er ofte lite. Dersom de blir distrahert av andre ting under samtalen så har de fått med seg det viktigste likevel.

For noen med en bakgrunn innenfor kommunikasjon er dette selvfølgeligheter, men for noen med en mer teknisk bakgrunn er ikke dette like selvfølgelig. En av årsakene kan sok være at teknologer vanligvis blir opplært til å utvikle med logikk, med å utvikle ting i logisk rekkefølge og til å avslutte med en konklusjon. Men mange ledere ønsker å få vite oppsummeringer og sluttresultat aller først fordi det vil gi dem muligheten til å ta en rask vurdering om dette er noe å investere i eller å flytte fokus til noe som er viktigere. Så derfor trenger du å få deres oppmerksomhet tidlig når du kommuniserer med denne type ledere. Husk at det er ikke sikkert at du vil få flere sjanser til å få fram budskapet ditt, så grip muligheten når du først har fått avsatt tid sammen med ledelsen. Når ledelsen får presentert de riktige fordelene med IAM med et budskap de forstår vil du trolig få full støtte. Da er du et godt stykke på vei mot en vellykket IAM innføring i virksomheten.

Blir du sikrere med mer sikkerhet?

Jeg leser i dagens utgave av Aften om 19-åringen som ble svindlet etter at en bankkortet hans ble beslaglagt på et utested i Oslo. Deretter oppdager han at på et par dager så har noen tappet kortet for nærmere 30 000 kroner. Selv etter at han sperret kortet ble det tappet penger. Hele historien kan du lese her på Aftenposten online. Nå har jeg i et par innlegg relatert til min egen historie som IDtyverioffer ment noe om hvor jeg synes mye av problematikken ligger, nemlig hos den eller de som befinner seg på mottaker siden. Artikkelen i Aften viser at det er mange som tar seg til rette i forhold til hvordan bankkort og denne type informasjon skal behandles.

Vil denne type svindel minske dersom det ble sikrere tekniske løsninger med bankkortene, og har f.eks. en chip på kortet løst noe som helst? Når kortet eller personopplysninger først kommet på avveie spiller det ingen rolle dersom de som skal kontrollere opplysningene ikke gjør jobben sin eller har en slett holdning til kontrollrutiner. Det er ikke amnge ukene siden jeg hadde en diskusjon angående praksisen med å legge igjen bankkortet i baren når man er ute på byen. Det burde for det første være forbudt å spørre om det. Utelivsbransjen har fra før et frynsete ryke på flere områder, så de vil gjøre seg selv en tjeneste ved å ikke legge kundenes kort i baren.

Når blir det et krav om sertifsering og kursing om hvordan behandle personopplysninger og kortinformasjon? For å få skjenkebevilling må man jo ha kurs og prøve om skjenkebevilling. Kan man innføre en type krav om kurs for å få lov til å behandle kortinformasjon og betalingstransaksjoner? Et krasjkurs om Personopplysningsloven kanskje? En ting er i hvertfall sikkert, og det er at alle svindelhistorine er et resultat av at noen ikke gjør det som kreves når det betales med bankkort. Du blir ikke sikrere med mer sikkerhet. Det blir du med bedre styring og kontroll.

Strategisk eller taktisk innføring av IAM? To be or not to be.

At sikkerhet er viktig hersker det vel ingen tvil om. Alle mener at sikkerhet er viktig, i teorien. Men det er ikke det samme som at det finnes en forankret og fungerende bevissthet rundt sikkerhet i norske virksomheter, spesielt når vi ser på informasjonssikkerhet. Men er det ikke slik at de fleste virksomhetene i dag har sine største verdier i nettopp informasjon? Informasjonssikkerhet er sjelden prioritert hos ledelsen, noe som resulterer i at mange virksomheter lider av bristende sikkerhet i sin informasjonshåndtering. Disse bristene er tydelige på flere områder, og i tillegg til bevisstheten rundt alminnelig sikkerhet, er det synlig i valg av tekniske løsninger og økonomiske prioriteringer. Siden de økonomiske ressursene sjelden fokuserer på overgripende risikoanalyser er det vanskelig å vite hvilket nivå av sikkerhet som kreves, og dette fører igjen til feilaktige prioriteringer. Det er nødvendig å forstå at informasjonssikkerhet er betydelig mer enn IT-sikkerhet, og at området går på tvers av samtlige funksjoner i organisasjonen, og vi trenger derfor å tydeliggjøre ansvar og roller, samt flytte fokuset fra teknikk og over til strategisk planlegging, policyarbeid og styring.

Informasjon og systemene som behandler informasjon er kritisk for selskaper, og tilgang til pålitelig informasjon er en nødvendighet for å drive forretninger. Kontroll på hvilke brukere som til enhver tid har tilgang til hvilken informasjon er en viktig brikke i arbeidet med informasjonssikkerhet. Full kontroll på brukere og tilganger er et ufravikelig krav, og en effektiv måte å løse dette på er innføring av en Identity & Access Management (IAM) løsning. En brukers identitet og hvilke tilganger denne skal ha er det sentrale i IAM, og handler i bunn og grunn om alt som skal skje fra en bruker blir opprettet og helt til den en gang skal slettes.

Innføring av en IAM infrastruktur har de siste årene blitt et viktig og nødvendig fokus for mange bedrifter for å få bukt med det voksende problemet som er forbundet med brukeradministrasjon og tilgangskontroll. Noen av problemene er at brukere får for mye tilgang, at tilgang ikke fjernes, at tildeling tar for lang tid og revisjonsanmerkninger kommer på løpende bånd. Erfaring viser at en vellykket innføring av en IAM infrastruktur består av mye mer enn tekniske problemstillinger. Faktisk er det slik at ledelse og styring ofte er det mest utfordrende for en langvarig suksess. Det viser seg at i de prosjektene som har lykkes med IAM utgjør fokus på den tekniske implementeringen kun 20 % av den totale tiden og ressursbruken som er nedlagt. 80%  handler i stor grad om prosesser og organisasjon. Det sier noe om det forarbeid som må ligge til grunn og de leveransene av ikke-teknisk art som må leveres i de ulike fasene som et slikt prosjekt består av.

Et IAM prosjekt har svært liten mulighet for å lykkes ved kun fokus på teknologi. Flere og flere norske organisasjoner og bedrifter er nå blitt interesserte i å starte et IAM prosjekt, men dessverre ser de fleste på dette som et teknisk prosjekt hvor anskaffelse av en IAM løsning er noe av det første som skjer. Dersom du skulle bygge et hus er jeg villig til å vedde om at tomten kjøpesførst og at huset tegnes før snekkeren setter igang med sin jobb. Men IAM anskaffelsen foretas uten at alle krav er vurdert og dokumentert. Mange velger å kopiere andre selskaper krav og tror at de samme kravene vil gjelde for sin virksomhet. Dette er ikke spesielt fornuftig, og slurv forbundet med kravspesifikasjon som ikke er tilpasset egen organisasjon vil trolig straffe seg ved et seinere tidspunkt. Videre er det i de fleste tilfeller IT-avdelingen som er initiativtaker, og prosjektet er ikke forankret hos ledelsen eller andre interessenter utenfor IT-avdelingen. Disse IAM initiativene blir fort overrasket over kompleksiteten av denne type innføringer, som da gjerne allerede har gått langt over budsjett, er underbemannet med ressurser, og langt unna målet (hvis det i det hele tatt er definert et mål). Årsaken til at disse prosjektene feiler er som oftest mangelfull styring og ledelse, manglende planlegging, ignorering av behovet for å endre prosesser, og ikke feil i teknologien. Nøye planlegging og grundige forberedelser er grunnleggende suksessfaktorer for å innføre en IAM infrastruktur som gir strategiske verdier for virksomheten.

Det er i utgangspunktet to måter å løse et IAM problem på. Den taktiske måten og den strategiske måten. Vi sier at initiativ som i sin helhet er drevet av et IT perspektiv er en taktisk tilnærming. Dette er ofte drivere som for eksempel å redusere arbeidsmengden til brukerstøtte eller IT sikkerhetsadministrasjon. Dette karakteriseres ofte ved plattformspesifikke produkter, få eller ingen endringer av forretningsprosesser forbundet med ansettelser, endringer eller slettinger av brukere, og de har ikke spesielt stort behov av støtte og forankring hos ledelsen siden disse prosjektene har liten eller ingen påvirkning på hele organisasjonen. Taktiske løsninger kan levere raske resultater med lite omfang og har begrensede kostnadsbesparelser. En strategisk tilnærming derimot dekker hele virksomheten og påvirker hele organisasjonen hvor resultatet er en felles løsning med sentralisert eierskap. Fokuset er i mange tilfeller linket til risiko, effektivitet og konkurransefortrinn, og ofte med et sterkt fokus på styring og etterlevelse. Fordelene kan være store, men det gjelder også risiko. Et feiltrinn tidlig i prosessen kan sette hele prosjektet i fare. Strategiske prosjekter tar lenger tid å gjennomføre, ofte er det snakk om flere år, men en vellykket implementering vil gi desto større gevinst for virksomheten.

Dagen da det ikke bare var jeg som var meg.

Hva gjør du den dagen du sitter på jobb dypt konsentrert om en oppgave som blir avbrutt av en forvirrende telefonsamtale der en kvinne du overhodet ikke vet hvem er ber om en bekreftelse om at du er deg, og at du får vite at noen i ditt navn har søkt om et lån du ikke kjenner noe til? Vel, det første som garantert vil skje er den skrekkslagne følelsen som eksploderer i mellomgulvet og brer seg med lynets hastighet gjennom hele kroppen og ender opp i fingertuppene og avsluttes med gåsehud og kvalme. Du vet, den samme følelsen man får når man nettopp har klart å manøvrere bilen unna en annen bil som plutselig dukker opp fra høyre  og det går opp for deg at dette kunne gått skikkelig ille.

Som jeg har skrevet i et tidligere innlegg, så skjedde dette altså meg en januardag i 2002. Med klamme hender og en million sommerfugler i magen er den første tanken at dette må jo være en misforståelse. Dette skal jo ikke skje meg, Det er jo bare folk som mister lommeboka og bankkort som blir utsatt for dette. Når det først skjer er det faktisk irrelevant hvordan noen har fått tak i personopplysninger som gjøre det mulig å lage livet til et helvete. Når det ene gjenpartsbrevet for kredittsjekk etter det andre stormer postkassen din vil du bare være opptatt av motbevise alle krav og oppslag. Hvem gjør dette mot deg? Deretter fortsetter det helt til skurken blir tatt, hvis du er så heldig, og underveis har du blitt paranoid og vaksinert mot å åpne postkassa di. Nå er du i hvert fall smertelig klar over at dette ikke lenger er en misforståelse eller et engangstilfelle.

Identitetstyveri øker stadig i omfang, og det er interessant å se at fram til nå har mange løsnigsforslag på dette problemet handlet om å få på plass bedre tekniske løsninger. Men bedre for hva og for hvem? Vil nye sikre digitale identiteter gjøre det enklere for de som blir utsatt for denne type kriminalitet? Og hvor lang tid tar det før noen har funnet huller i de nye løsningene? Personlig er jeg ikke så opptatt av akkurat den problemstillingen. For meg handler det meste om hva de som mottar denne informasjonen gjør, eller snarere ikke gjør. Dersom de personene som behandler f.eks lånesøknader eller andre transaksjoner gjør de kontrollene og utfører de prosedyrene de skal gjøre så snakker vi. Først da vil sikre løsninger være sikre.

Når overraskelsen har lagt seg og sjokkfasen er over, kommer sinnet og frustrasjonen. Jeg har ikke tall på hvor mange ganger jeg ønsket å skaffe meg et balltre med blyinnlegg og virkelig skade vedkommende som gjorde disse tingene, men som var hvem? Nå må jeg bare si at det aldri kom lenger enn å være frustrerte tanker, og at jeg gjerne ønsket å tro at vårt justis- og rettsvesen ville løse dette. Jeg må også si at jeg var heldig som til slutt hadde en gjerningsmann, og som til syvende og sist ble tatt og dømt. Men hva med de som ikke vet hvem som står bak og som har en gjerningsmann å rette aggresjonen mot? Det hjelper svært lite å tenke på at man ikke blir belastende part i forhold til evt lån slike ting. Hvorfor tror man at det hele er greit når man ikke ender opp med å tape penger eller andre materialistiske verdier? Den psykiske belastningen vil aldri slippe taket, og jeg har dyp medfølelse for de som aldri vil få vite hvem som er sin gjerningsmann.

Vil det noen gang ta slutt, selv i de tilfellene med en kjent gjerningsmann? Vi leser jo stadig at salg og kjøp av personopplysninger er god butikk. Når du først har blitt utsatt for identitetstyveri, hvorfor skulle det da ikke være sannsynlig at disse opplysningene har blitt solgt videre? Av den grunn ønsker jeg mer fokus på det som skjer i den andre enden, nemlig den og de som krever den type informasjon og hva de må gjøre og ikke gjøre. Det spiller som sagt ingen rolle med universets beste tekniske løsning når den menneskelige interaksjonen ikke har samme nivå av garantert sikker behandling. Vil jeg noen gang være trygg på at jeg vil få ha min identitet for meg selv i framtiden?

Jeg har kidnappet dine data. Du får 3 dager på å betale meg 50 millioner kroner!

Jeg kom over en interessant artikkel på en svensk sikkerhetsside hvor det er noen som påstår at de har kidnappet litt over 8 millioner pasientjournaler og 35 mill resepter fra et selskap i USA. Kjeltringene krever 10 millioner dollar som løspenger for å gi tilbake dataene. Videre påstår bandittene at de har krypert innholdet ned i en passordbeskyttet fil, og at de har slettet innholdet på selskapets server. Saken ligger nå hos FBI og selskapet jobber med å få opp systemet igjen. Hvilke konklusjoner kan vi dra fra denne historien? At det er i USA og ikke vil skje i Norge?

Når det i dag fokuseres på idtyveri og svindel fokuseres det mye på privatpersoner som har blir frastjålet sin identitet siden noen har fått tak i personnummeret til vedkommende. Når det er snakk om svindel i næringslivet handler det ofte om datainnbrudd og tillitsbrudd fra interne så vel som eksterne. Min spådom er at vi i økende grad vil oppleve datakidnapping tilsvarende historien ovenfor, også her i Norge. Slik det er i dag kan det hende at dette faktisk har skjedd siden de fleste selskaper ikke går ut med slike hendelser. Information is king heter det jo, og for meg viser denne episoden fra USA at informasjonen er en av de største verdiene et selskap har. Pasientdata, økonomiske data, kundedata, strategidokumenter osv osv, hva er din viktigste informasjon? Har du foretatt en risikovurdering av dette?

Det er i større og større grad viktig å vite hva som er forskjellen mellom IT sikkerhet og informasjonssikkerhet. Vil f.eks et anti-virusprogram forhindre at din forretningsinformasjon blir kidnappet? Hva blir løssummen for dine data?

Hvor er identiteten min? Jeg er sikker på jeg hadde den i går.

Rekk opp hånden alle som har blitt utsatt for svindel og identitetstyveri (idtyeri). Rakk du ikke opp hånden? Datatilsynet uttalte for noen år tilbake at alle normenn ville bli utsatt for idtyveri i løpet av sitt liv. Det er svært gledelig at det nå blir mer fokus på temaet og at konsekvensene blir belyst. Det triste er jo at årsaken til det økende fokuset er jo fordi at det skjer stadig oftere og at Datatilsynet trolig har rett i sin uttalelse. Selv har jeg blitt utsatt for at noen har misbrukt min identitet, og det er ikke noe jeg tenker tilbake på med lystige tanker. Det hele skjedde tidlig i 2002, og det tragiske er at personen som gjorde det hele ikke var spesielt datakyndig. Selv følte jeg meg som en idiot, og det hele ble ikke bedre når politimannen som tok i mot anmeldelsen ikke helt trodde dette var mulig. Hans argument var nemlig at “Det er ikke mulig å få tak i en annen persons personnummer“. Ergo, det var jeg som var den mistenkte i starten. Hallo! Hvorfor skulle jeg prøve svindle til meg penger i mitt eget navn? For å gjøre historien litt kort så kan jeg opplyse om at vedkommende svindler klarte å karre til seg nesten 150 000 kroner i diverse lån i mitt navn, inkludert mobiltelefon og abonnement hos Telenor, og et fett hi-fi anelgg fra Thorn med mer. Han prøvde også å omadressere posten min til en postboksadresse i Sarpsborg. Jeg bodde i Halden på den tiden. Omadresseringen fikk jeg jo avverget siden Posten var så snille og sendte ut et bekreftelsesbrev hvor det sto: “Takk for at du benytter deg av Postens tjenester“, og da med en bekreftelse på til og fra dato. Litt seinere viste det seg at fyren hadde gjort dette fordi han hadde bestillt gebyrfritt Visakort som skulle sendes i posten.

Men hvordan fikk den skyldige tak i mine personopplysninger? Joda, han hadde fått tak i mine opplysninger fra noen separasjonspapirer i forbindelse med et samlivsbrudd og han var heller ikke spesielt begavet i databruk. Men han klarte det, og man kan jo stille seg spørsmålet om hvordan kunne han få til noe slikt? Min personlige mening er at i alle de sakene hvor min identitet var innblandet handlet det rett og slett om slett arbeid og sikkerhetsprosedyrer. Det er overraskende hvor slurvete folk er med slike ting. Det var tydeligvis ingen som gjennomføret kontroll av de opplysningene vedkommende hadde oppgitt i lånesøknader, informasjon som dessuten var feil. Uttak av mobiltelefon og nummer var gjort uten at han hadde framvist identifikasjonpapirer. Det som virkelig er det slitsomme i slike saker er at når kredittsjekkbrevene strømmer til, må man hele tiden følge opp. Angsten handler om de tingene du ikke vet om du i det hele tatt vil oppdage, hvis det er noe du ikke vet om, og redselen for å ikke bli trodd. Politiet var helt på jordet og svært amatørmessige. Det var en kamp mot låneinstitusjoner og politi, og en angst som stadig ble større når jeg skulle sjekke postkassa. Dersom du noen gang skulle bli utsatt for noe tilsvarende så anbefaler jeg deg å sperre muligheten for kredittsjekk, og  da hos alle de seskapene som utfører kredittvurderinger. Men, husk da at du selv vil bli stoppet når du trenger noe som skal kredittsjekkes. Når var ikke min identitet den eneste som vedkommende kjeltring misbrukte. Han ble til slutt tatt, og fikk faktisk en dom på 18 måneder. Men betyr det at han ikke lenger har mine personopplysninger…?

Jeg mener at det må fokuseres mer på rutiner og kontroll hos de instanser som låner ut penger, eller som krever identifikasjon med personnummer. Hvem skal få lov til å behandle søknader som krever personnummer er jo et betimelig spørsmål. Hvordan kan jeg som sluttbruker vite at fjortisen bak disken i mobilbutikken er til å stole på? Jeg synes alt ansvaret legges over på oss vanlige folk. Ja, alle må være mer bevisste på hvem personopplysninger gis til og i hvilken sammen heng, det er det ikke tvil om. En bevisstgjøring og voksenopplæring på informasjonssikkerhet er helt klart et viktig tema. Men slik det nå begynner å bli det å ligne mer på skremselspropaganda. Jeg er fristende til å si at skjødesløs behandling av persondata også burde være straffbart, ikke bare idtyveriet. Kanskje bruken av personnummer for å identifisere oss selv har gåt ut på dato, og det er på tide med noe annet ? 

See Cartoons by Cartoon by Joe Heller – Courtesy of Politicalcartoons.com – Email this Cartoon

Vet du at dine brukere hater passord?

CIO Sverige hadde sammen med sikkerhetsselskapet Norman en undersøkelse i 2007 om hvilke sikkerhetstiltak brukerne hatet mest. De kom opp med en liste på punkter. Det brukerne hatet mest, altså den tvilsomme æren av 1.plass over irriterende sikkerhetstiltak, var at de måtte bytte passord ofte svarte 43 % av de 1200 som ble spurt. Artikkelen fra CIO Sverige kan leses i sin helhet her.
Brukerne liker ikke å følge regler, slik er det bare. Når en sluttbruker må forholde seg til 10-15 passord sier det seg selv at det ikke er spesielt brukervennlig eller produktivt. Jeg har til og med vært hos en kunde som implementerte Enterprise Single Sign-On (eSSO) fordi fagforeningen krevde en løsning på det de kalte Passordhelvetet. Når det er mange applikasjoner som trenger egen bruker og passord, og disse ikke brukes daglig er det vanskelig å holde orden og huske alle passordene. Trykket mot brukerstøtte over henvendelser om glemt passord hadde topper spesielt etter ferier.  Hvordan tror du arbeidssituasjonen er hos brukerstøtten når vi snakker om nesten 10000 brukere? Svake eller manglende passordpolicies utgjør en sikkerhetsrisiko. Hvorfor? Jo, bl.a. fordi brukere som ikke liker passordregimet i bedriften finner alltid alternative omveier for å unngå en policy som ikke tvinger deg til å følge den. Vet du egentlig hvor mange av dine brukere som bruker samme det samme passordet over alt? Bruker de ansatte det samme passordet på eksterne internett applikasjoner som Facebook, GMail, MSN, Twitter osv. som de har på interne applikasjoner? Hva skjer dersom en eller annen får tak i et eksternt passord, som da gjenbrukes i alle eksterne tilkoblinger, og et internt brukernavn? Ikke mulig sier du? Vel, jeg har vært hos en kunde som faktisk sender ut brukeridenter på alle utgående fakturaer. Ikke særlig smart spør du meg. Et annet aspekt med svake passord og dårlig holdninger om å holde passordene for seg selv ble svært tydelig i en sak i England hvor en bankansatt klarte å ta til seg 90 mill Euro ved å bruke passord og brukernavn til sine kollegaer. Et annet eksempel er et ikke navngitt selskap som ble hacket og frastjålet 28000 brukeridenter med tilhørende passord. Neste 15 % hadde enkle passord som “1234″, “abcd”, “qwerty”, eller det supersikre passordet “password”.

Jeg vil påstå at et skritt i riktig retning for å takle denne type problemstillinger er policies. Mange selskaper har en passordpolicy som kun er skrevet ned på et stykke papir. Få den implementert og sørg for at den håndheves! God styring av brukere og passord vil være lønnsomt for ditt selskap. Utad vil kanskje omdømme være viktig, mens innad vil dine brukere være fornøyde dersom det ikke hemmer brukerne i å utføre sine arbeidsoppgaver. Innføring av for eksempel Single Sign-On vil redusere henvendelser til brukerstøtte, og brukerne slipper å huske på så mange passord. Med en selvbetjeningsside hvor brukerne kan reset’e sitt passord dersom de har glemt det vil også bidra til å forbedre brukeropplevelsen. Det er alltid vanskelig å sette en pris på sikkerhet. Uansett er det viktig å ta med de myke verdiene i vurderingen. Dersom dine brukere ikke er fornøyde spiller det svært liten rolle hvilke sikkerhetstiltak du setter i gang. Har dine brukere mange passord de må huske på? Kan du garantere at de ikke har et felles passord for alle applikasjoner, både interne og eksterne, som de bruker og ikke har oppdatert på flere år? Ikke det nei? Da er det vel på tide å ta et sikkert grep om forretningen. God sikkerhet lønner seg!

Avlivning av et par IAM myter

Inspirert av boken Digital Identity av Phillip J. Windley synes jeg det er litt interessant å se litt på noen myter og uttalelser om IAM. Av erfaring møter IAM ofte litt motstand av teknologer og IT-drift som er redd for å miste arbeidsoppgaver. Det er spesielt uttalelser som “Vi har Active Directory så vi kan gjøre alt det der” som skaper litt bekymring hos meg. Da er betydningen “alt det der” ment å dekke hele administrasjon av livssyklusen til en brukeridentitet. Vel, det er faktisk ikke mulig å gjøre “alt det der” som en komplett IAM arkitektur kan gjøre ved og bare bruke AD alene. Det er faktisk sånn at katalogtjenester, som AD, er en del av en IAM arkitektur, og en sentral komponent også. Men å tro at AD alene er en vidunderkur for problemområder forbundet med brukeradministrasjon og tilgangskontroll er skivebom. Mange selskaper er nok i tvil om hvorvidt alt arbeid som er nødvendig for en IAM innføring faktisk vil hjelpe. De som har denne innstillingen er kanskje tilbøyelig å tro på noen av mytene om IAM.

Myte nr 1 er noe slikt som “IAM er bare bra for mindre bedrifter, men vårt selskap er for stort til å gjennomføre denne type planlegging”. Sannheten er at desto mer kompleks organisasjonen er, desto større behov har man for å integrere systemene sine for å få en strategisk verdi av IAM. Uten systemer som samspiller vil selv de minste oppgavene bli store prosjekter siden de alltid må tilpasses en infrastruktur som er bygget på ad-hoc prinsipper. Hver applikasjon lever sitt eget liv når det gjelder kontroll og styring av brukere og tilganger. Start med å definere en IAM visjon og strategi, så vil forretningsverdiene forhåpentligvis bli tydelige.

Myte nr 2 er et motsatt utsagn. “Dette passer kun for store selskaper, men vi er ikke så store, og dessuten har vi ikke nok ressurser til å gjennomføre noe slikt”. IAM prosesser kan med fordel implementeres selv i mindre organisasjoner. Man har kanskje allerede god kontroll på prosessene relatert til brukerkontroll og identitetsdata, så man kan derfor begynne med et rammeverk for samspill mellom applikasjoner og identitetsdata og noen grunnleggende policies. Deretter kan man definere og bygge en referansearkitektur og følge den. Dette vil sørge for at organisasjonen står godt rustet til å håndtere endringer og vekst.

En variasjon av myte nr to leder oss til myte nr 3. “IAM fungerer kun for selskaper som har en tradisjon for å planlegge. Vi derimot er kjente for å ta raske beslutninger”. De som kan si noe slikt med et alvorlig ansikt driver også med planlegging, men de erkjenner ikke at det er det de gjør. Medisinen for denne er ofte det samme som myte nr 5. For å håndtere denne type meninger er det viktig å etablere en styringsmodell som er tilpasset virksomhetens tradisjoner og rutiner, men opprett standarder og policies som vil være en rettesnor for systemutvikling.

Den fjerde myten er noe slikt som at “vi bruker all vår tid på å planlegge men får ikke tid til å utføre noe av det”. Denne type uttalelser viser jo bare at man ikke har forstått at innføringen av IAM må tilpasses organisasjonens krav. Løsningen vil være å finne de områdene og prosessene i organisasjonen hvor IAM vil utgjøre store forbedringer og få best effekt. Prioriter fokuset på disse IAM prosessene og områdene og repeter dette arbeidet på neste fokusområde i neste runde.

Den femte og siste myten er svært vanlig i IT-miljøer. “Samspill og integrasjon handler bare om å utvikle eller kjøpe riktig teknologi”. Veldig mange teknologer skulle nok svært gjerne ønske at det var tilfellet og handle deretter. Resultatet av dette har vi erfart mange ganger alle sammen, nemlig en haug med prosjekter som feiler og ikke kan oppfylle de opprinnelige målsetningene, nettopp fordi man hopper over styring og modellering som er viktige suksesskriterier. Det eksisterer vel nok referanseerfaring rundt om kring nå som viser at god IT styring er så mye mer enn å gå til anskaffelse av et gitt produkt.

Det er flere myter og utsagn som kan nevnes, men hovedbudskapet er at når IAM er drevet av forretningen og ikke IT, er det nødvendig at samtaleemnene og fokuset må handle om dokumenter, data, handlinger, mennesker, prosesser og samarbeid i stedet for maskiner og nettverk. Hvordan din organisasjon håndterer brukeridentiteter vil ha en stor påvirkning på hvorvidt man konstant driver med brannslukking for å bekjempe problemer og feil, eller om man kan utnytte de mulighetene som IAM kan tilby med en fleksibel og fornuftig infrastruktur for identitetsforvaltning og tilgangskontroll.

Ansatte vil stjele forretningsinformasjon i bytte av en god lunsj

Hvor mye skal du ha for å lekke sensitiv forretningsinformasjon fra din arbeidsgiver? Dette spørsmålet, og flere, fikk 600 personer i London av Infosecurity. Hele 37% svarte at dersom prisen var riktig ville de selge forretningskritisk informasjon. Prisen varierte en god del mellom de som ble spurt, men 63% svarte at de garantert ville selge informasjon hvis de fikk 1 mill pund, 10% ville være illojale dersom boliglånet ble innfridd, 5% ville gjøre det for en god ferie, og 2% i bytte av et godt måltid. 

Hvilken informasjon ville du da få for en slik “investering”?
Av de spurte var det hele 83% som hadde tilgang til kundedatabaser, 72% sa de kunne skaffe forretningsplaner, 53% kunne faktisk tenke seg å selge økonomiresultater, 51% hadde tilgang til personaldata, og 37% hadde tilgang til administratorpassord til ulike forretningsapplikasjoner og systemer.

Men, det er stor forskjell på å si man kunne tenke seg å gjøre det og faktisk gjøre det. Uansett så er tallene urovekkende høye, og det faktum at over 30% kunne tenke seg å selge forretningshemmeligheter bør få litt fokus. På den andre siden er det jo positivt at nesten 70% ikke ville gjøre det selv om de fikk 1 mill pund.

Ja ja, jeg vet. Dette er jo i England og ikke i Norge tenker du sikkert nå. Her i landet er vi jo så pliktoppfyllende og lojale. Yeah right! I følge nettstedet CSO i Sverige og en nordisk undersøkelse utført av CA så er ansatte i Norge de aller verste i Norden når det gjelder tillit. I følge undersøkelsen tar hver tiende ansatt i de nordiske landene med seg virksomhetskritisk informasjon når de slutter i et selskap. I Norge er tallet hele skremmende 16,6%. Svenskene er snilleste gutt på sovesal 1 og “kun” 7,6% ville bryte den tilliten. Siden selskapene ikke har god nok styring på tilgangskontroll, har de som slutter ofte tilgang til forretningsinformasjon i flere år etter at arbeidsforholdet har opphørt. Dersom du skulle tvile på undersøkelsens resultater kan jeg opplyse om at studien er basert på hele 4074 intervjuer.

Hva kan man så konkludere med basert på informasjonen og resultatene som kommer fram av disse undersøkelsene? Først og fremst vil jeg si at det er svært dårlige rutiner og kontroll i forbindelse med avslutning av arbeidsforhold som er årsaken. Nå er det jo slik at de fleste medarbeidere jobber med informasjon til daglig, og tilgang og styring til denne informasjonen er jo ofte nøkkelen. Etter min mening viser slike undersøkelser bare at bedrifter ikke har tilstrekkelig fokus på de ansattes tilganger og kontroll av dette. Det faktum at ansatte er den største sikkerhetsrisikoen er ingen overraskelse. Flere statistikker viser jo at mange sikkerhetsbrudd utføres av interne ressurser som har tilgang til forretningskritisk informasjon og som blir vist tilliten verdig å ha denne tilgangen. Så, dersom din organisasjon tror at god sikkerhet handler om komplekse regler i en brannmur og god virusprogramvare, ja da kan vi jo ta en liten prat.