Beter autorisatiemanagement Tijs Wolffenbuttel
Beter autorisatiemanagement Tijs Wolffenbuttel
Beter autorisatiemanagement Tijs Wolffenbuttel
1.de Volksbank en Tijs: een korte intro
2.Theorie en praktijk
3.Verwachtingen voor de toekomst
Agenda
de Volksbank en Tijs
200 jaar oud 39 jaar oud
de Volksbank en Tijs
de Volksbank en Tijs
3 miljoen klanten in Nederland
3.350
medewerkers
Audit: ongeveer 30 medewerkers
5 gezinsleden:
getrouwd en 3
kinderen
de Volksbank en Tijs
de Volksbank en Tijs
Hypotheken:
EUR 46 miljard Betalen
Sparen
Beleggen
Verzekeren
130 audits per jaar
de Volksbank en Tijs
“Bankieren met de menselijke maat”
“Based on the Manifesto, Audit provides client driven,
risk-based and objective assurance, advice and
insight”
“Met maximale openheid en minimale hiërarchie
bereik je het meeste”
Access control: 1.
Autorisatiemanagementbeleid
Access control: 2.
Fysieke Beveiliging
Access Control: 3.
Autorisatiematrix
Access Control: 4.
SOLL-IST
Access Control: 5.
Security Baseline (Platform/Database) Access Control: 6.
Check Security Settings Access Control: 7.
Audittrail naar unieke identiteit Access Control: 8.
Superusers
Autorisatiemanagement
42
Proces in
vogelvlucht
Van beleid naar processen naar systemen
Classificatie:
Intern
Praktijk: Implementatie binnen de Volksbank
2004 2017
Role Based Access Control (RBAC)
Referentiemodel
Wat is recent gerealiseerd?
Vervolgstappen
1.
Inhoudelijke kwaliteit van het referentiemodel (focus op autorisatierisico’s)2.
Effectieve werking van Tactisch Rollenbeheer3.
Effectief invullen verantwoordelijkheden door lijnmanagement en applicatie eigenaren4.
Borging keten: Personeelssysteem – IAM tool – Windows ADals randvoorwaarde voor SOLL-IST (overige) Key-applicaties (focus!)
5.
Borging autorisatiemanagement bij projectenTop 5 audit aandachtspunten
Toekomst (verwachtingen)
RBAC ABAC (met standaard XACML)
DAM APAM
KISS
Toekomst (verwachtingen)
Verdergaande automatisering, dat is zeker, maar wat betekent dat dan….
Meer analyse en logging mogelijkheden:
Toekomst (verwachtingen)
Verdergaande automatisering, dat is zeker, maar wat betekent dat dan….
Nieuwe authenticatievormen:
Toekomst (verwachtingen)
Verdergaande automatisering, dat is zeker, maar wat betekent dat dan….
In the cloud: En meer aandacht voor identiteiten:
Vragen
Beter autorisatiemanagement Tijs Wolffenbuttel