Føderering gjør biffen enklere!

24 11 2011

Du går med tanker i hode som cloud, føderering, idententitetshåndtering og automatisering. Du har lenge hørt om dette med føderering. Føderering… Det ville gjort alt så mye enklere har noen sagt, hva er egentlig føderering ? Hva løser man med føderering? Hvordan går man fram for å implementere føderering ?

I denne artikkelen skal jeg ta for meg føderering med Microsoft Active Directory Federation Services 2.0. Les resten av dette innlegget »

Reklamer




Den kloke lærer av andres feil, tosken bare av sine egne

17 11 2010

Mye er sagt om erfaringer opp igjennom årene. Oscar Wilde sa en gang at «Erfaring er bare det navnet alle gir sine tabber«. Carl Konow skal visst nok ha sagt: «Ingen mennesker forstår helt – annet enn det de selv har opplevd«. Mange initiativ som settes igang når det gjelder identitetsforvaltning og tilgansstyring (IAM) ser i hvert fall ut til å holde mange sitatene som er sagt om erfaring ved liv. Selv falt jeg spesielt for det russiske ordtaket som er gjengitt i dette blogginnleggets tittel: «Den kloke lærer av andres feil, tosken bare av sine egne«.  Først hadde jeg egentlig tenkt å gi innlegget tittelen: «Hvordan kjøre et hvert IAM initiativ i grøfta». Les resten av dette innlegget »





IAM og jojo-slanking

28 04 2010

Brukeradministrasjon og tilgangskontroll, eller Identity and Access Management (IAM), kan, som de fleste andre strategiske forretningsinitiativ, sammenlignes med en slankekur. Her vil jeg vil bruke en personlig anekdote til å forklare hvordan mange organisasjoner betrakter og praktiserer innføring av IAM.

Les resten av dette innlegget »





Strategisk eller taktisk innføring av IAM? To be or not to be.

19 05 2009

At sikkerhet er viktig hersker det vel ingen tvil om. Alle mener at sikkerhet er viktig, i teorien. Men det er ikke det samme som at det finnes en forankret og fungerende bevissthet rundt sikkerhet i norske virksomheter, spesielt når vi ser på informasjonssikkerhet. Men er det ikke slik at de fleste virksomhetene i dag har sine største verdier i nettopp informasjon? Les resten av dette innlegget »





Dagen da det ikke bare var jeg som var meg.

16 05 2009

Hva gjør du den dagen du sitter på jobb dypt konsentrert om en oppgave som blir avbrutt av en forvirrende telefonsamtale der en kvinne du overhodet ikke vet hvem er ber om en bekreftelse om at du er deg, og at du får vite at noen i ditt navn har søkt om et lån du ikke kjenner noe til? Vel, det første som garantert vil skje er den skrekkslagne følelsen som eksploderer i mellomgulvet og brer seg med lynets hastighet gjennom hele kroppen og ender opp i fingertuppene og avsluttes med gåsehud og kvalme. Du vet, den samme følelsen man får når man nettopp har klart å manøvrere bilen unna en annen bil som plutselig dukker opp fra høyre  og det går opp for deg at dette kunne gått skikkelig ille. Les resten av dette innlegget »





Hvor er identiteten min? Jeg er sikker på jeg hadde den i går.

4 05 2009

Rekk opp hånden alle som har blitt utsatt for svindel og identitetstyveri (idtyeri). Rakk du ikke opp hånden? Datatilsynet uttalte for noen år tilbake at alle normenn ville bli utsatt for idtyveri i løpet av sitt liv. Det er svært gledelig at det nå blir mer fokus på temaet og at konsekvensene blir belyst. Det triste er jo at årsaken til det økende fokuset er jo fordi at det skjer stadig oftere og at Datatilsynet trolig har Cartoon by Joe Hellerrett i sin uttalelse. Selv har jeg blitt utsatt for at noen har misbrukt min identitet, og det er ikke noe jeg tenker tilbake på med lystige tanker. Det hele skjedde tidlig i 2002, og det tragiske er at personen som gjorde det hele ikke var spesielt datakyndig. Selv følte jeg meg som en idiot, og det hele ble ikke bedre når politimannen som tok i mot anmeldelsen ikke helt trodde dette var mulig. Hans argument var nemlig at «Det er ikke mulig å få tak i en annen persons personnummer«. Ergo, det var jeg som var den mistenkte i starten. Hallo! Hvorfor skulle jeg prøve svindle til meg penger i mitt eget navn? For å gjøre historien litt kort så kan jeg opplyse om at vedkommende svindler klarte å karre til seg nesten 150 000 kroner i diverse lån i mitt navn, inkludert mobiltelefon og abonnement hos Telenor, og et fett hi-fi anelgg fra Thorn med mer. Han prøvde også å omadressere posten min til en postboksadresse i Sarpsborg. Jeg bodde i Halden på den tiden. Omadresseringen fikk jeg jo avverget siden Posten var så snille og sendte ut et bekreftelsesbrev hvor det sto: «Takk for at du benytter deg av Postens tjenester«, og da med en bekreftelse på til og fra dato. Litt seinere viste det seg at fyren hadde gjort dette fordi han hadde bestillt gebyrfritt Visakort som skulle sendes i posten.

Men hvordan fikk den skyldige tak i mine personopplysninger? Joda, han hadde fått tak i mine opplysninger fra noen separasjonspapirer i forbindelse med et samlivsbrudd og han var heller ikke spesielt begavet i databruk. Men han klarte det, og man kan jo stille seg spørsmålet om hvordan kunne han få til noe slikt? Min personlige mening er at i alle de sakene hvor min identitet var innblandet handlet det rett og slett om slett arbeid og sikkerhetsprosedyrer. Det er overraskende hvor slurvete folk er med slike ting. Det var tydeligvis ingen som gjennomføret kontroll av de opplysningene vedkommende hadde oppgitt i lånesøknader, informasjon som dessuten var feil. Uttak av mobiltelefon og nummer var gjort uten at han hadde framvist identifikasjonpapirer. Det som virkelig er det slitsomme i slike saker er at når kredittsjekkbrevene strømmer til, må man hele tiden følge opp. Angsten handler om de tingene du ikke vet om du i det hele tatt vil oppdage, hvis det er noe du ikke vet om, og redselen for å ikke bli trodd. Politiet var helt på jordet og svært amatørmessige. Det var en kamp mot låneinstitusjoner og politi, og en angst som stadig ble større når jeg skulle sjekke postkassa. Dersom du noen gang skulle bli utsatt for noe tilsvarende så anbefaler jeg deg å sperre muligheten for kredittsjekk, og  da hos alle de seskapene som utfører kredittvurderinger. Men, husk da at du selv vil bli stoppet når du trenger noe som skal kredittsjekkes. Når var ikke min identitet den eneste som vedkommende kjeltring misbrukte. Han ble til slutt tatt, og fikk faktisk en dom på 18 måneder. Men betyr det at han ikke lenger har mine personopplysninger…?

Jeg mener at det må fokuseres mer på rutiner og kontroll hos de instanser som låner ut penger, eller som krever identifikasjon med personnummer. Hvem skal få lov til å behandle søknader som krever personnummer er jo et betimelig spørsmål. Hvordan kan jeg som sluttbruker vite at fjortisen bak disken i mobilbutikken er til å stole på? Jeg synes alt ansvaret legges over på oss vanlige folk. Ja, alle må være mer bevisste på hvem personopplysninger gis til og i hvilken sammen heng, det er det ikke tvil om. En bevisstgjøring og voksenopplæring på informasjonssikkerhet er helt klart et viktig tema. Men slik det nå begynner å bli det å ligne mer på skremselspropaganda. Jeg er fristende til å si at skjødesløs behandling av persondata også burde være straffbart, ikke bare idtyveriet. Kanskje bruken av personnummer for å identifisere oss selv har gåt ut på dato, og det er på tide med noe annet ?

Share on Facebook





Avlivning av et par IAM myter

27 04 2009

Inspirert av boken Digital Identity av Phillip J. Windley synes jeg det er litt interessant å se litt på noen myter og uttalelser om IAM. Av erfaring møter IAM ofte litt motstand av teknologer og IT-drift som er redd for å miste arbeidsoppgaver. Det er spesielt uttalelser som «Vi har Active Directory så vi kan gjøre alt det der» som skaper litt bekymring hos meg. Da er betydningen «alt det der» ment å dekke hele administrasjon av livssyklusen til en brukeridentitet. Vel, det er faktisk ikke mulig å gjøre «alt det der» som en komplett IAM arkitektur kan gjøre ved og bare bruke AD alene. Les resten av dette innlegget »