IGA – En viktig del av säkerhetsarbetet
Många säkerhetsincidenter kan undvikas med hjälp av IGA, Identity Governance and Administration. IGA innefattar processerna för att hantera identiteter samt tillse att de är säkra.
Många organisationer har förlorat pengar, anseende eller information på grund av att personer har haft fel behörigheter. När det gäller pengar kan det handla om miljontals dollar, när det gäller anseende och information så vet vi väldigt lite då organisationer inte gärna publicerar information om incidenter.
Ett sällsynt fall, som vi har information om enbart p.g.a. den rättegång som följde, handlar om ett stort företag inom informationsteknik som fick lägga ner runt 2 miljoner dollar på att återställa system som en ex-anställd hade tagit ner med hjälp av rättigheter han hade när han jobbade på företaget, men kunde behålla när han slutade. Detta fall beskrivs översiktligt här.
IGA består av två relativt distinkta delar, Identity Administration och Identity Governance. Vi börjar med att gå igenom Identity Adminstration.
Identity Adminstration
Som namnet antyder handlar detta om att hantera identiteter inom och utanför en organisation. Detta kallas ofta också Lifecycle Management, eller Identity Management, IdM.
Livscykelhantering
Framför allt är det tre processer inom Lifecycle, eller livscykel, för identiteter som är viktiga. De är Joiner, Mover och Leaver. Men som vanligt, kärt barn har många namn, så några vanliga svengelska betäckningar är on-boarding, off-boarding, och förändring.
Joiner
On-boarding/Joiner/soluppgång/Starta handlar om att en användare ska erhålla sin digitala identitet, helst med de behörigheter denne behöver, för att kunna börja jobba dag ett. Denna process inbegriper oftast att läsa in den digitala identiteten från ett auktoritärt system, vanligen ett HR-system. Auktoritärt i detta sammanhang betyder att vi kan lita på den data vi får från detta och att den informationen anses vara korrekt. Användaren ska också få de behörigheter hen behöver för att jobba – det brukar kallas för birthright-roles, eller födelsedagsbehörigheter samt ibland dag-ett behörigheter. Dessa behörigheter får alla som jobbar på en viss avdelning eller på ett visst kontor eller har en funktionsroll. En ekonomiassistent får sannolikt inte samma födelsedagsbehörigheter som en utvecklare.
Dessa behörigheter provisioneras och skrivs till de system som är nödvändiga för behörigheten eller rollen (roller förklaras lite närmare nedan). Provisionering är processen för att skriva till ett system vars data behöver skyddas av behörigheter. Det som IGA-system provisionerar är identitetsinformation samt behörigheter och roller. Ibland måste provisioneringen utföras manuellt och en person måste utföra vissa handgrepp för att identiteten ska få sin behörighet eller ett konto skapas i en applikation. Men målet med ett projekt bör alltid vara att samtliga processer ska vara automatiserade.
Mover
Mover/Förändring/Underhåll är processen för att förändra och underhålla den digitala identiteteten, dess attribut eller dess placering inom organisationen, samt dess behörigheter.
Förändring av behörigheter sker ofta genom en speciell Request eller Begäranprocess. Användaren själv eller t.ex. hens chef begär att användaren ska få en behörighet eller roll; denna begäran ska ofta godkännas av t.ex. närmaste chef eller systemägare för det system som användaren tilldelas en behörighet i. Godkännanden kan ibland bli en komplicerad process i sig.
Leaver
Leaver/off-boarding/Solnedgång/Avslutaprocessen är den kanske viktigaste processen säkerhetsmässigt. Leaverprocessen börjar med att användaren får ett avslutningsdatum; ett sista datum då hen har tillgång de system hen behöver för att arbeta. IGA-systemet raderar sen samtliga behörigheter samt raderar, låser eller flyttar konton. Ibland är det regleringar som styr hur identiteter och dess data ska hanteras och när efter att personen bakom den digitala identiteten har slutat.
Samtliga ovan processer (joiner, mover, leaver) är möjliga att automatisera: i själva verket är det nödvändigt att göra det för att uppnå rätt säkerhetsnivå. Ett bra IGA-system har stöd för processer, eller workflows, som automatisera processerna.
Roller och behörigheter
Roller och behörigheter blandas ibland samman och används ibland synonymt, vilket är fel. Det finns definitioner av både roller och behörigheter, se t.ex. denna ordlista. En roll är både en jobbfunktion och en samling av behörigheter, och dessa behörigheter hör samman med jobbfunktionen rollen representerar. Självklart behöver en roll inte alltid ha behörigheter, det kan handla om jobbroller som är officiella eller lönegrundande, och en roll behöver inte alltid vara kopplad till en jobbroll. Ibland används roller för att bara gruppera behörigheter.
Gruppering av behörigheter i roller ger en förenkling av hanteringen av behörigheter, t.ex. är det mycket enklare att förstå vad en roll står för än det kanske är att förstå vad de 15 behörigheter rollen består av betyder.
Till roller hör även processen för rollhantering, role management. I den processen, som ofta ser lite olika ut, ingår godkännande av nya roller, kommittéer som tittar på rollförslag och hur man tar in rollförslag.
Identity Governance
Identity Governance är ett begrepp som inbegriper olika metoder för att övervaka identiteters behörigheter samt att följa upp och i förekommande fall se till att behörigheter tas bort från identiteten. Metoderna varierar men så kallade återcertifieringar är vanliga. Det handlar om när chefer får i uppgift att besvara en enkät om de behörigheter hens underlydande har. Chefen klickar i ett OK på de behörigheter som hen anser vara korrekta och ett ej OK på de som chefen anser vara en felaktig behörighet för just den personen. Om provisionering är implementerad kan den felaktiga behörigheten omedelbart avlägsnas. I annat fall kommer den raderas manuellt enligt en förutbestämd process.
Andra metoder är att förhindra att identiteter ens får en felaktig roll, s.k. preventiv kontroll, och handlar om när en användare begär en ny roll. En begäran om en viss roll kontrolleras av regler som säger att begäran är OK eller ej OK. Om begäran enligt regeln är ej OK så förhindras identiteten att erhålla rollen. Regler kan också användas detektivt i återcertifieringar. För de användare som har roller som bryter mot en regel markeras det i återcertifieringen. Detektiv kontroll av behörigheter är oftast helautomatisk. Dessa regler kan till exempel handla om Separation/Segregation of Duty (SoD), risk och lokalitet: vissa roller kanske t.ex. bara får innehas om man jobbar i en viss region. När det gäller riskbaserade regler så gäller det dock att man har genomfört sin riskanalys väl för att det ska fungera. Behovet är stort. En del organisationer genomför årliga manuella återcertifieringar som tar veckor, eller till och med manuella kvartals-återcertifieringar som tar just ett kvartal att genomföra.
Revisioner kräver ofta just samma data som en återcertifiering har, d.v.s. har ett IGA-system alla data som revisorerna behöver vilket gör det enkelt att ta fram de rapporter som efterfrågas. Kostnaden för att ta fram dessa återcertifieringar manuellt i Excel, och lika manuella revisionsrapporter, är enorm, för att inte tala om alla de fel som manuella processer alltid ger upphov till. Utan IGA finns det alltså stora risker med just behörighetsrevisioner som både gör det dyrare och mer osäkert.
Ett IGA-system kan utföra återcertifieringar med alla olika intervaller, till och med kontinuerligt (d.v.s. varje gång en användares behörigheter ändras så måste dennes chef godkänna det).
Ett rent governance-projekt är ofta enklare, d.v.s. kortare, än ett rent lifecycle-projekt av den enkla anledningen att ett rent governance-projekt inte innebär någon provisionering, enbart läsning. Omedelbart när provisionering införs förlängs ofta projektet. Med det sagt –ett governance-projekt är sällan trivialt.
Framtidens Identity Governance and Administration
Ett tekniskt framsteg som ger oss fördelar inom governance är AI och Machine Learning, ML. ML kan användas för att t.ex. ge chefer råd om hur denna ska svara i återcertifieringar. Undersökningar visar att återcertifieringar som i genomsnitt tar åtta minuter, med hjälp av ML och dess råd, nu tar en minut. AI/ML kan även hjälpa till vid role mining, olika metoder för att hitta roller i en organisation, och även vid riskbedömning.
Men, IGA är inte en "Silver bullet" för att lösa alla säkerhetsproblem, och enbart ett installerat IGA-system är det definitivt inte. Ett bra hanterat projekt, med fokus på processer och krav, och inte på teknik, kommer leda till en säkrare och effektivare IT-miljö.
Detta inlägg är det fjärde i Knowits bloggserie om IAM. Du hittar övriga inlägg i serien här:
1: IAM – En förkortning med stor betydelse
3: Auktorisation – Vad får du göra?
6: IAM – En hjälpande hand i GDPR-arbetet
8: Identiteter i det digitala samhället
Anders Nyström är en av våra experter på området IGA. Anders är IGA-arkitekt och hjälper kunder att nå sina digitaliseringsmål.