Een paspoort is een waardevol document. Het is een identiteitsbewijs, waarmee je kan aantonen wie je bent. In de online wereld werkt dit net wat anders. Hier kun je meerdere identiteiten aanmaken. Of zelfs onbeperkt verzinnen op basis van het surfgedrag van een ander. In welke webshop doe je regelmatig inkopen? Wat heb je deze week gespendeerd aan boodschappen? Wat is je bankrekeningnummer? Een beetje handige jongen weet deze informatie snel en moeiteloos te achterhalen en kan er met jouw identiteit vandoor. Deze vorm van identiteitsfraude is een snelgroeiend probleem.
Grip
Iedereen kan slachtoffer worden van identiteitsfraude en vaak sneller dan je denkt. Zoek maar eens op ‘gehackt’ en je zult vele voorbeelden tegenkomen. En met de verdere groei van mobiliteit en SaaS-applicaties zullen deze ‘hacks’ in omvang en aantal toenemen. Ten koste van individuele consumenten én bedrijven. Het is als consument, maar ook als werknemer, niet gemakkelijk om grip te houden op al die verschillende inlognamen en wachtwoorden die samen jouw online identiteit vormen. Hoe zorg je ervoor dat je van online diensten gebruik kunt maken? Hetzelfde wachtwoord en inlognaam voor al je accounts? Niet aan te bevelen. Post-its op je beeldscherm? Dat is vergelijkbaar met ‘de sleutel ligt onder de mat’, oftewel een uitnodiging om in te breken. En als je een geheugensteuntje hebt gevonden, zoals het omdraaien van letters of toevoegen van jaartallen, pas je dan de wachtwoorden periodiek aan? Waarschijnlijk niet.
Single sign-on
Hoe moet het dan wel? Het is complexe materie, maar er zijn relatief eenvoudige manieren om identiteitsfraude te voorkomen. Stel dat je één identiteit hebt, net zoals een paspoort, waarmee je toegang krijgt tot de cloud. Met één inlognaam en wachtwoord ben je verzekerd van een veilige toegang tot alle applicaties. Dit klinkt misschien onhaalbaar, maar is voor elke organisatie binnen handbereik. Met een centrale identiteit is een werknemer verbonden met het totale interne en SaaS-applicatielandschap van je bedrijf. En dat met een keer inloggen, oftewel single sign-on, voorzien van multi-factor-authenticatie voor een extra security-stap. Bovendien kunnen nieuwe, tijdelijke of vertrekkende medewerkers flexibel worden aan- of gemeld met automatische user-provisioning.
Snellere afhandeling
En wat levert het op? Allereerst een werknemer die met één keer inloggen automatisch toegang heeft tot alle systemen die daarachter hangen. Daarnaast zullen de service center-medewerkers een stuk minder aanvragen voor nieuwe wachtwoorden binnenkrijgen. Al het identiteits- en toegangsmanagement is bovendien vanuit een punt te beheren, dit zorgt voor een snellere afhandeling en een lagere foutgevoeligheid.
Grip op bedrijfsinformatie
Niet alleen het personeel, maar de organisatie als geheel profiteert van een cloud-identiteit. Zo komt er meer grip op bedrijfsinformatie en de kans op datalekken wordt minder. Nu is de it-afdeling vooral bezig met het beveiligen van opslaglocaties voor documenten. Met een cloud-identiteit verlegt een organisatie de focus naar de content die via encryptie, authenticatie en autorisatie beveiligd wordt. Documenten zijn hierdoor veilig te delen, ook via onveilige follow-me data- en transfer-oplossingen. Het is zelfs mogelijk om een ‘luchtfoto’ te maken van alle documenten die door derden in gebruik zijn, en op deze manier controle te behouden over bedrijfsinformatie die jouw organisatie al verlaten heeft.
Cloud of kluis?
De realiteit is bij veel organisaties helaas (nog) anders. Veel gebruikers houden hun vele online identiteiten ‘thuis in de kluis’, in de overtuiging dat dit de veiligste optie is. Maar de praktijk leert dat deze overtuiging niet (meer) klopt. Eén identiteit in de cloud, zeker in combinatie met multi-factor-authenticatie en alle benodigde koppelingen onder de motorkap geregeld, biedt gevoelig meer veiligheid.
Reacties
Edwin,
Bij het lezen van dit artikel krijg ik het gevoel dat je eenzijdig vanuit SSO naar dit onderwerp (IAM)kijkt. Het bestuderen, ontwerpen en beheren van je ID in cloud kent verschillende aspecten dan alleen naar SSO kijken. Denk b.v. aan de plek van je Identity Store, de inrichting, je architectuur (intern en in de cloud), het product en nog meer.
Ik heb geprobeerd in 2015 dit onderwerp onder aandacht te brengen. Lees dit artikel maar en ook de waardevolle reacties, misschien verbreedt dit je gezichtsveld met dit onderwerp. Trouwens het artikel is van 2 jaar geleden. We zien nu nog meer nieuwe ontwikkelingen en ook nieuwe spelers op het gebied van IAM.
https://www.computable.nl/artikel/opinie/infrastructuur/5029849/1509029/i-am-in-de-cloud.html
Edwin, leuk artikel. In mijn ogen moet je management wel in de cloud anders heb je een service probleem.
In de kluis lokaal kun je namelijk geen cloud diensten beleid op voeren en cloud diensten zijn tegenwoordig noodzakelijk.
Een ander voordeel van centralisatie is dat niet niet alleen op basis van wat iemand moet kunnen een gebruiker (SSO) provisionen, maar ook als iemand uit dienst gaat wordt het zodoende makkelijk om het van al deze data af te sluiten.
Wat je vaak ziet is dat de lokale MS Active Directory of LDAP ge-extend wordt naar de cloud. Dan hou je wachtwoorden e.d. wel binnen eigen beheer, maar kun je er toch extern op inprikken en zodoende interne en externe processen beheersen.
Wat wel vaak een beperking lijkt te zijn is dat je in de Active Directory moeilijker partners / leveranciers en klant accounts kunt beheren. Zo vind ik dat samenwerken met andere zo bemoeilijkt wordt. Veel oplossingen stelt de eigen organisatie centraal en dat is in mijn ogen te krap.
Henri,
Mooie toevoeging! Ik wilde niet ingaan op deze zaken want ik ben van mening dat deze zaken plus wat andere onderwerpen moeten in het ontwerp van dit onderwerp (IAM) bestudeerd en besproken worden.
P.s. de auteur heeft in het verleden nooit/zelden gereageerd op de reacties. Verwacht geen reactie/aanvulling van hem ;-)
Tsja, kijk leuk artikel alleen duidelijk geschreven met tunnelvisie... en de commentaren ook. Het kan veel simpeler, maar alleen als je het van de juiste hoek uit bekijkt. Wat is die hoek?
Ik geef een hint: Om te beginnen moet je ophouden met impliciet aannemen dat heel de interwebtubewereld een bedrijfsomgeving is.
En dan? Doe eens een gooi.
Beste Reza en Henri,
Beide bedankt voor het compliment en jullie waardevolle toevoeging! Ik ben volledig met jullie eens dat Single Sign-On (SSO) een onderdeel is van Identity & Access Management (IAM). Het doel van dit artikel is juist om bewustwording te creëren voor een opportuun en complex aandachtspunt waarbij we organisaties goed kunnen helpen met een gedegen advies.
Beste Koos,
Ik vind het goed om te zien dat er ook andere mogelijkheden zijn voor het veilig onderbrengen van informatiebronnen. Ik kan me daarbij ook zeker voorstellen dat het gebruik van Cloud-technologie niet bij iedere organisatie past of juist beangstigend voelt en berust op vertrouwen.
Toch, vanuit mijn dagelijkse klantcontacten ontvang ik steeds meer vragen over bijvoorbeeld een veilige toegang tot SaaS applicaties vanuit diverse bedrijfsomgevingen. Daarom vinden wij het als organisatie belangrijk om hier voldoende aandacht aan te besteden zodat we ook deze klanten zo goed mogelijk kunnen ontzorgen, want dat is waar we voor staan!
Edwin, dat is een natuurlijke insteek: Probleem, lossen we op. Probleem dat dat weer oplevert is dat we rondlopen met bedrijfsomgevingsgeschikte oplossingen en dat we die dan willen toepassen op alle andere vagelijk gelijkende problemen. Dat werkt niet lekker. Sterker, de oplossingen binnen bedrijfsomgevingen zijn hap-snap, slecht compatible, schalen niet, en zo verder. Je kan dan jezelf wel practisch vinden en door blijven modderen, en hee, het brengt brood op de plank dus waarom niet, maar wees tenminste eerlijk dat het niet meer is dan dat.
Om het probleem echt op te lossen, ook binnen bedrijfsomgevingen, maar nog sterker in al die andere situaties die om vergelijkbare oplossingen lijken te vragen maar daar alleen maar verschlimmbessert van worden, moet je toch echt beter beslagen ten ijs komen.
Dus alweer, wat we hebben is eigenlijk chronisch niet goed genoeg en wil je echt iets van oplossingen aandragen, moet je dus toch echt dat stapje meer, dat treetje dieper, dat stukje extra weten te bereiken. Dit onafhankelijk of we verzinnen of onze laatste hipste nieuwste ding wel "cloud" genoeg is of niet.
Reza en Henri die elkaar een veer toespelen is aanleiding om weer eens te reageren vanuit de realiteit die veel weerbarstiger is dan deze heren denken. Zo lijken ze beiden nog nooit gehoord te hebben van STORK, ze komen nu wel uit de kast/kluis met hun reacties maar vergeten één essentieel ding in IAM. Reza is me nog altijd een antwoord schuldig op vraag over ketenverantwoordelijkheid hierin, de vriend van mijn vriend is namelijk niet altijd mijn vriend als we kijken naar het DigiNotar debacle.
"Hetzelfde wachtwoord en inlognaam voor al je accounts? Niet aan te bevelen"
paar zinnen daarna :
Met één inlognaam en wachtwoord ben je verzekerd van een veilige toegang tot alle applicaties
het artikel eindigt cryptisch.
"gevoelig meer veiligheid".
Waarschijnlijk typo, die per ongeluk precies aangeeft waar het om draait.
Voor je gevoel meer veilig zijn, door iemand die zegt dattie ontzorgt.
@Dino
Met single sign-on (authenticatie) op een vertrouwde (kantoor)omgeving op verschillende systemen kunnen werken zonder apart in te loggen (autorisatie) is iets anders dan overal op het internet dezelfde inloggegevens te gebruiken!
De meesten op deze site zitten sowieso allemaal een beetje op cloud 9 met die cloud.
In de praktijk moet er ook nog iemand zijn die de cloud oplossing gaat inrichten en wie gaat dat doen? De cloud provider? Zo heeft elke 'dark cloud a silver lining'.
Daarnaast moet het ook zin hebben. Zo hebben ze waar ik nu zit ook recent een haalbaarheidsstudie gedaan en wat bleek momenteel was het nog te duur. Misschien dat het over 2 a 5 jaar interessant wordt.
Cloud is vooral interessant voor omgevingen waar de server het merendeel van de tijd niet veel staan te doen.
Hoi Edwin,
Goed verhaal, je stelt inderdaad zoals je aangeeft een groeiend probleem aan de orde. Veel organisaties moeten hier echt mee aan de slag (zover ze dat al niet hebben gedaan). Je kunt dagenlang filosoferen over diverse oplossingen en de details ervan. Echter het feit dat een meedenkende IT partner dit onderwerp onder de aandacht brengt bij haar klanten is naar mijn inziens waar het om gaat. En iedere partner heeft daarin zijn of haar visie en aanpak. En ik kan me helemaal vinden in jouw insteek.