Presentatie tijdens Zorgtotaal 2011. Kijk voor meer informatie op http://www.zorgtotaal.nl/nl-NL/Bezoeker.aspx

1. Identity en Access Management in de Zorg
Richard van Es
Senior Consultant
17-3-2011 © 2011 Quest Software, Inc. ALL RIGHTS RESERVED

2. Waarom IAM in de Zorg?
• Publieke debatten over beveiliging
• Afnemende budgetten
• Maar toenemende eisen
• Druk op invoering normeringen

3. IAM zou moeten helpen met:
Verhogen Efficiency
Verbeteren beveiliging
Bewerkstelligen compliancy

4. IAM Uitdagingen in de Zorg
• (te)Veel identities
• Gedeelde login codes/namen
• Compliancy / Security
• Gebruikersgemak
• IAM projecten falen

5. (te)Veel Identities: een aantal problemen
• Is een IT probleem
– Complex en lastig te managen
– Ieder systeem een eigen Identity store
• Is ook een security probleem
– Hoe regel je provisioning en vooral deprovisioning
– Lekken van inloggegevens
• Is ook een probleem voor gebruikers
– Moeilijk te onthouden
– Vergeten van wachtwoorden

6. Teveel Identities: een oplossing…
• Consolideren Identities
– Unix/Linux en Mac integratie
– Verminder complexiteit provisioning
• Optimaliseren provisioning
– Codeless provisioning
– Uniform provisioning en access
• Verbeteren gebruikerservaring
– Minder wachtwoorden onthouden
– Single Sign-On

7. Delen van login gegevens: probleemstelling
• In de zorg wordt veel gebruik gemaakt van gedeelde
accounts
• Dit is zeer makkelijk in gebruik, maar:
– Wie doet wat en waar?
– Geen personalisatie van toegang
• Nog een probleem:
– Delen van administratieve accounts
– Root en Administrator toegang

8. Delen van login gegevens: aanpak
• Iedereen een persoonlijk account
• Role (of Rule) Based Access Control
– Uniforme toegang gebaseerd op rollen
– Auditing en Reporting
• Privileged Account Management
– Minimaliseren Root en Administrator toegang
– Sessie management
– Inclusief auditing en reporting

9. Compliance/Security: probleemstelling
• Wie doet wat, waar en wanneer (en waarom)?
– Regelgeving eist tracking activiteiten
– Inzage in persoonlijke (en medische) gegevens
– Lekken, imago schade
• Scheiding van taken/rollen (Segregation Of Duties)
– Conflicterende rollen
– Role/Rule-based access
• Approval workflow
– Nu is het de IT die toegang bepaald
– Flexibiliteit ontbreekt

10. Compliance/Security: aanpak…
• Auditing en Reporting
– Meten alle activiteiten
– Langdurige opslag
– Voor verhoging security en forensisch onderzoek
• RoleBased access, Compliance checks
– Efficiency verhoging
– Verantwoordelijkheid waar die hoort
• SelfService mogelijkheden
– Brengt weer “value” naar de business
– Verbetert flexibiliteit en gebruikerservaring

11. Bebruikers gemak: probleemstelling
• Geen buy-in vanuit de business
– Tot nog toe IT gedreven
– Dus budget problemen
• De vraag naar SelfService wordt groter
– Gemak
– Snelheid
– Efficiency

12. Bebruikers gemak: aanpak
• Geef toegevoegde waarde
– IAM is een business probleem
• SelfService
– IT Shop
– Approval workflows
– Role-based Access

13. IAM projecten falen:
• Worden te groot aangepakt
– IT gedreven
– Los eerst de noodzakelijke dingen op
– Geen funding vanuit business
– Dus strandt met minimaal resultaat
• Onduidelijk wat men wil
– Compliancy?
– Efficiency?
– Security?
– All of the above?

14. IAM projecten falen: oplossingen
• Maak het “business-driven”
– Noodzaak wordt duidelijk
– IT als added value
– Dit helpt budgettering
• Kleine stapjes
– Noodzakelijke eerst
– Uitbouwen successen

15. Conclusie:
• We zijn er nog niet
• IAM kan makkelijker
• Funding van business is nodig

16. Dank U!
Meer informatie:
www.quest.com/identity-management