3.5 stuks verrassende IAM inzichten op één dag

IAM staat voor Identity & Access Management. De Gartner Group zegt daarover: Het is de beveiligingsdiscipline die de juiste mensen in staat stelt om toegang te krijgen tot de juiste middelen op het juiste moment om de juiste redenen. Voor je gaat gapen: Dit gaat keihard over jouw privacy, jouw veiligheid, jouw efficiëntie van leven en werken. En jouw geld. Zo, jij bent klaar voor een paar inzichten:

Inzicht 1 - privacy - Mooiste meisje van de klas

Heeft het mooiste meisje van de klas een punt als ze niet met een profielfoto op het smoelenboek wil staan van het bedrijf waar ze werkt?

Je zou zeggen van niet. “Waar maakt ze zich druk om? We moeten toch weten wie onze collega is? Dan gaat ze maar ergens anders werken!”

Het eerste inzicht: dat ligt juridisch heel anders. Staat het smoelenboek op internet?: altijd toestemming nodig en staat het smoelenboek op intranet: eigenlijk ook, omdat de werkgever zwaarwegende argumenten moet hebben om de wens van de werknemer te overrulen. En draag die maar eens aan. (Als iemand voorbeelden weet, laat maar horen) Meer weten hierover: http://blog.iusmentis.com/2010/12/27/ik-wil-niet-in-het-smoelenboek/ van Arnoud Engelfriet, ICT jurist.

Dit geldt voor iedereen overigens. Waarom ik dan “het mooiste meisje van de klas” aanhaal? Omdat 50% van de surfers mannelijk is. En dat is een apart slag volk hoor :-) Ik hoef de statistieken er niet bij te halen van hoeveel vaker er op een mooie foto van een vrouw wordt geklikt. (Zou voor mannen hetzelfde gelden?) Maar één bekend voorbeeld van oneigenlijk gebruik van een Intranet smoelenboek wil ik nog wel even in herinnering roepen: Mark Zuckerberg ( oprichter/eigenaar van Facebook) had voorafgaand als student een echte ‘’hit’’ onder mannelijke mede-studenten, hier kun je lezen hoe hij Facemash met zijn dronken harsens bedacht: http://dublindigital.ie/original-mark-zuckerberg-drunken-blog-posts-night-facemash/

OK, nog één dan. http://www.telegraaf.nl/binnenland/24726711/__Ophef_sexy_foto_advocaten__.html Zouden mannelijke advocaten in een voor vrouwen aantrekkelijke outfit meteen voor ‘escort’ worden uitgemaakt? De legendarische uitspraak van Eva Jinek “If you got it, flant it!” zou van toepassing kunnen zijn op deze foto, maar het heeft niet altijd het gewenste effect. Zeker niet op het web, waar alles dat er even over je te zien is, vereeuwigd kan worden, gemanipuleerd, en in een andere context worden geplaatst. De mooiste heeft meer te verliezen en iedereen heeft recht zich zo te voelen.

Inzicht 2 - veiligheid: Je naam heeft niets met Identity te maken.

De enige die een naam op een creditcard nodig heeft is een crimineel*. De meeste verificaties en transacties anno 2016 hebben geen naam nodig, alleen of ik mag rijden, of ik boven de 18 ben etc. Dat is toch verrassend! En ik maar trots zijn op mijn arsenaal aan persoonlijke gegevens op al dat plastic met chip erin.

*Ik heb dit ergens gelezen of gezien, van iemand. Ben de bron kwijt. Suggesties?

Inzicht 3 - veiligheid weer: Er is een woord voor...

...het gevoel dat ik op veel plaatsen heb, waar ik veel tijd verlies met zinloos ogende security checks: Security Theatre (veiligheid theater). Er is zelfs een definitie:

de praktijk van investeren in tegenmaatregelen bedoeld om het gevoel van verbeterde beveiliging te bieden, terwijl je weinig of niets doet om dat doel daadwerkelijk te bereiken.

Enkele voorbeelden staan hier onder gelinkt, maar iedereen kent dat gevoel wel dat je soms krijgt als je door de beveiligingsmolen gaat op de luchthaven. De media hebben aangetoond dat als je maar lang genoeg ergens werkt en genoeg van baan verwisselt er uiteindelijk een beveiligingslek in het verschiet ligt. De molen / het theater moet ons een goed gevoel blijven geven.

Wat nou zo mooi is, is dat de ontwikkeling in - en uitvoering van al bestaande richtlijnen uit - het vakgebied van Identity & Access Management (IAM) wel daadwerkelijk iets verbetert aan beveiliging! Functiescheiding, rol gebaseerd toegangs beheer inrichten, reconciliatie stappen

Meer over security theatre: http://rationalwiki.org/wiki/Security_theater en https://www.stratfor.com/weekly/danger-security-theater

Inzicht 3.5 - efficiency / privacy: Werkgever schoont op

Het drie-en-een-half-ste inzicht komt uit het bestuderen van de helft van het Handboek IAM van Rob van der Staaij. Hoeveel er nog gedaan kan worden aan het verbeteren van autorisaties (wie mag waar bij kunnen) bij bedrijven en organisaties! Niet alleen het ontwerpen, inrichten en verbinden, (automatisch) uitdelen en wegnemen van bevoegdheden is een vak apart, ook het tussentijds evalueren ervan.
En ik ben nog maar op de helft van het boek!
Het blijkt dat de meeste bedrijven pas wat aan de staat van beheer van hun autorisaties gaat doen als er al fraude is gepleegd. Beste baas, houd het netjes. Tot wel 50% van de fraudegevallen komt van binnen uit, door medewerkers. Nu mag je gapen, want “eigen schuld dikke bult” zou je kunnen denken. Slaap zacht, ik maak je wel wakker als blijkt dat gegevens over jou, je naam, je trainingsresultaten en niet te vergeten je intranet-profielfoto op straat liggen. Sorry voor dit stukje 'attentie vragen door angst te zaaien'.

Tot de volgende blog post.