Buitensluiten externe gebruikers is funest voor de business
9 april 2013 -
De digitale economie stelt nieuwe eisen aan de beveiliging van IT-systemen. Dit geldt met name op het terrein van Identity en Access Management, waarmee gebruikers onder meer authenticatie kunnen krijgen en waarmee zij wel of geen toegangsrechten tot specifieke gegevens en systemen ontvangen. Managers willen klanten en partners direct toegang geven tot de interne IT-systemen. Tegelijkertijd willen zij zekerheid hebben over hun identiteit.
Voor dit ‘open business-model’ zijn geavanceerde toepassingen beschikbaar, maar managers in de Benelux lijken daar nog weinig oog voor te hebben. Veel managers zien hun distributiemodel veranderen. In het kielzog van internet en van fenomenen als cloud computing en mobility ontstaan nieuwe afzet- en transactiekanalen waarmee bedrijven direct zaken kunnen doen met de consument. Of het nu gaat om reizen, een verzekering, of om boeken, men kan het online bestellen én betalen.
Open business
Gevraagd naar de betekenis van deze ontwikkeling stelt Paul Ferron, director security solutions bij CA Technologies, dat bedrijven steeds minder op zichzelf staan, maar schakel worden in een keten van partners, toeleveranciers, prospects en klanten. "We noemen dat 'open business'. Het uitwisselen van gegevens is cruciaal voor dit samenspel. Dat stelt dus nieuwe eisen aan de beveiliging van IT-systemen. Met name op het terrein van Identity en Access Management."
Identity
Identity wordt daarmee hét speelveld waar open business volgens hem om draait. Ferron omschrijft bovengenoemde ontwikkeling als de ‘rise of the user’, de klant die steeds meer zelf bepaald hoe hij contact met een organisatie legt. Die ‘user’ heeft vele gezichten. Het kan een consument zijn, maar ook een medewerker of een partner. "Voor allemaal geldt namelijk dat ze vanuit een externe omgeving toegang tot de interne systemen willen krijgen. Een klant wil de productcatalogus bekijken, een bestelling plaatsen of de status van een order checken. Medewerkers willen vanuit elke denkbare werkplek toegang hebben tot de bedrijfsapplicaties en ketenpartners willen inzicht hebben in levertijden."
Veelzijdigheid
Die veelzijdigheid maakt Identity en Access Management (IAM) cruciaal, zegt Ferron. "Te meer omdat mensen steeds meer identiteiten hebben. Een particuliere consument die actief is in verschillende sociale netwerken zal waarschijnlijk even zoveel digitale identiteiten hebben. Toch wil je zo’n klant met elk van zijn identiteiten toegang tot bijvoorbeeld zijn eigen bestelling geven. Voor medewerkers geldt dat ze zowel vanaf een interne pc als vanuit een externe werkplek en vanaf elk denkbaar apparaat toegang willen hebben tot bepaalde applicaties. Hetzelfde geldt voor toeleveranciers of distributiepartners. Wie inlogt, moet ongeacht de omgeving van waar men inlogt onbelemmerd toegang hebben tot de voor hem of haar relevante gegevens. Tegelijkertijd moeten applicaties en gegevens waar men geen toegang toe heeft afgeschermd worden."
IAM
Hoewel verreweg de meeste bedrijven systemen voor IAM gebruiken, werken veel partijen nog met oplossingen die binnen de eigen onderneming worden gehost en onderhouden. Dat blijkt uit een onafhankelijk onderzoek naar de toepassing van IAM dat recent is gehouden door onderzoeksbureau Quocirca. Voor het onderzoek werden 337 Europese bedrijven ondervraagd. Het ging daarbij om ondernemingen met 2.000 of meer medewerkers. "Daarmee laten managers kansen liggen," vindt Ferron, "want er zijn inmiddels geavanceerde oplossingen ontwikkeld, die voorzien in IAM-oplossingen en die kunnen samenwerken met zowel ‘on premise’ systemen als met cloud-applicaties.
Zorgelijk vindt Ferron dat met name bedrijven in de Benelux op dit terrein achterlopen bij de rest van Europa. Waar gemiddeld ruim 70 procent van alle ondervraagde bedrijven een IAM-oplossing gebruikt, zowel on-premise, on-demand of een combinatie van beiden, bedraagt dat percentage in de Benelux slechts 47 procent. Ferron: "Managers ontkomen er niet aan om op z’n minst een aantal van hun applicaties open te stellen voor externe gebruikers." Voor hem is het daarom niet de vraag óf je als bedrijf meegaat in de ontwikkeling naar een steeds meer ‘open business’ maar hóe je dat inkleedt. "Open business wordt de norm. Elke manager zou dit dan ook moeten erkennen. Bedrijven die daar wel in meegaan maar geen adequate oplossingen voor IAM gebruiken, lopen flinke risico’s. Onnodig, want er zijn inmiddels heel goede oplossingen voorhanden."
Nieuwe fase
De onderzoekers van Quocirca omschrijven het dilemma rond het openstellen van systemen voor externe gebruikers een nieuwe fase in het toepassen van security-maatregelen. Waar in het verleden beveiliging tegen malware door onder andere firewalls en anti-virusbescherming voldoende was, hebben managers tegenwoordig ook te maken met gebruikers die toegang krijgen tot de bedrijfssystemen. Niet alleen zullen deze managers dus hun gegevens veilig moeten stellen van hackers en malware, maar zij zullen ook de controle op toegang sterk moeten monitoren. "Open business’ luidt een nieuw tijdperk in, vooral op het gebied van security. En IAM is de oplossing om die toegang streng te managen; zowel op basis van identiteit als op de functie van de gebruiker," aldus Ferron.
Externe gebruiker
Externe gebruikers om beveiligingsredenen buitensluiten is dan ook funest voor de business. Weten wie die externe gebruiker is, creëert namelijk nieuwe kansen. Ferron wijst erop dat met het beschikbaar komen van cloud-gebaseerde IAM-oplossingen, IAM-as-a-Service eigenlijk, de financiële drempel om tot invoering van deze oplossingen over te gaan veel lager is geworden. "Waar voorheen alleen hele grote ondernemingen zich geavanceerde IAM-oplossingen konden permitteren, laat het onderzoek van Quocirca zien dat IAM-as-a-Service nu ook binnen bereik van minder grote bedrijven komt."
Ik ken CA al een tijdje langer en vraag me even af wat men nu precies bedoeld als zouden producenten en onderhouders van on line IT services, even breed gesproken,(nog) niet goed weten op welke wijze IT diensten beschikbaar moeten worden gemaakt en voor wie.
Het is een 'basic core' dat men bijhoud wie waartoe toegang heeft en welke rechten daarbij behoren. Daar zijn tal van technische mogelijkheden voor op de markt.
M.i., iets begrijpend van security, is het nog altijd zo dat een encrypted hardware security de meest zinvolle beveiligings methode is mensen toegang te geven tot on line diensten en services. Gelukkig begrijpen de banken dat wat dat betreft ook als geen ander.
Ik zou, in alle eerlijkheid, veiligheidszaken ook binnen de eigen 'grenzen/deuren' hosten omdat ik integraal verantwoordelijk ben voor eigen veiligheidsbeleid en dat in eigen hand wil houden.
Met het Diginotar als pijnlijk voorbeeld in het achterhoofd, zie ik organisaties en bedrijven nog niet zo snel overstappen naar externe hosters van de user beveiliging.
