Det kanske intressantaste (?) är att hela checklistan börjar med (och innehåller uteslutande) tekniken, vilket förstås är helt fel!

Första punkten måste alltid vara utred behoven och förväntningarna – att börja i den tekniska änden kommer alltid att sluta i tårar!

Det grundläggande problemet har varit att applikationerna i molnet ofta har krävt sin egen autentisering och hantering av användaridentiteter, eller möjligen olika komplexa "trust-lösningar".  Detta medför att man är tvungen att provisionera och de-provisionera användare både internt och externt. Det blir ytterligare ett ställe att komma ihåg att ta bort en användare när denne slutar. Det är ju extra känsligt också eftersom tjänsten finns tillgänglig på Internet och inte innanför brandväggen. En annan aspekt är att man flyttar ut känslig information (användaridentiteter och deras lösenord) till en extern part som man inte har samma kontroll på.

Cloud Security Alliance (CSA)  http://www.cloudsecurityalliance.org/ är en organisation som har som mål att promota användandet av "best practices" för att uppnå hör säkerhet vid användandet av tjänster i molnet. CSA har tagit fram CSA guide http://www.cloudsecurityalliance.org/guidance/csaguide.pdf  som beskriver 15 säkerhetsområden man bör ta i beaktande innan man beslutar sig för att använda moln-tjänster. Område 13 handlar om Identitetshantering.

CSA tycker att det bästa sättet att hantera identiteter för tjänster in molnet är en federationslösning. En beskrivning över hur en federationslösning fungerar finns på http://en.wikipedia.org/wiki/Federated_identity.

Ett exempel på en lyckad användning är det starter-kit för att använda SUN's OpenSSO som verktyg för att skapa en federationslösning till Sales Force.  En artikel som beskriver detta finns på
https://www.sun.com/offers/details/open_source_starter_kit.xml (kräver inloggning). Artikeln diskuterar problemen med behörighetshantering i ett  SaaS scenario och en steg för steg beskrivning hur man kan sätta upp en federationslösning mot SaleForce med hjälp av Open SSO.

Det ses fortfarande på många företag som en funktion som dels är okänd, dels är något för "IT-nördarna" på driften att grotta sig i och dels något helt obegripligt som man helst håller sig borta från

Ett bra citat om hur viktigt det är med att ta loggning på allvar är uttalat av författaren Anton Chuvakin i boken "Beautiful Security" (ISBN: 978-0-596-52748-8, april 2009) där han skriver:

There are many other mechanisms for accountability in an organization, but logs are the mechanism that pervades IT.
And if your IT is not accountable, neither is your business. Thus, if you tend to not be serious about logs, be aware that you are not serious about accountability.
Is that the message your organization wants to send?

Numera börjar det finnas riktigt kompetenta och avancerade logghanteringsystem som ger ett företag möjlighet att ta hand om och samla in sina loggar, normalisera dom och koppla alla händelser i sina system till individer

Dessa loggsystem ger som utdata en mängd olika nyttoeffekter såsom:
- Spårbarhet i systemen, vem gör vad och när.
- Larm vid brott mot satta policy-regler
- Snabbare felsöknings- och åtgärdstider vid haverier och problem
- Bättre stöd åt heldesken i deras verksamhet
- Uppföljning av status i alla anslutna IT-system på företaget avseende patchar, antivirus, brandväggar, felaktiga konfigureringar, felaktigt uppsatta konton etc etc etc
- Verktyg för att kontrollera och rapportera om "compliance" för t.ex PCI DSS, SOX, BASEL II, ISO 27002/17799 och andra styrande regler för olika företag i olika brancher

Nyttan av ett avancerat logghanteringssystem är stor hos flera delar av ett företag:
- Verksamhetsansvariga
- IT-chef
- IT-driftavdelningen
- Helpdesken
- IT-säkerhetsansvariga
- Internrevisorer
- Externa revisorer
- IT-revisorer

Ett sådant mycket kompetent system för logghantering syftande till spårbarhet är ArcSight.

Det används bl.a i Sverige idag på Skatteverket

Här följer ett utdrag

"Security – Activity Monitoring. Traditionally, security has focused on putting up a perimeter fence to keep others out, but it has evolved to monitoring activities and identifying patterns that would have been missed before. Information security professionals face the challenge of detecting malicious activity in a constant stream of discrete events that are usually associated with an authorized user and are generated from multiple network, system and application sources. At the same time, security departments are facing increasing demands for ever-greater log analysis and reporting to support audit requirements. A variety of complimentary (and sometimes overlapping) monitoring and analysis tools help enterprises better detect and investigate suspicious activity – often with real-time alerting or transaction intervention. By understanding the strengths and weaknesses of these tools, enterprises can better understand how to use them to defend the enterprise and meet audit requirements."

Läs mer om detta hos Gartner

Det verkar som om e-delegationen har tänkt igenom ordentligt och kommit fram tille ett förslag som både verksamhetsmässigt och standardmässigt verkar vettigt.

Detta borde möjliggöra för t.ex. kommunerna att te ett rejält steg framåt kring sina e-tjänster 
Förslaget finns i kapitel 7 och framåt  (från sidan 85) i e-delegationens

"Strategi för myndigheternas arbete med e-förvaltning" 

http://www.regeringen.se/content/1/c6/13/38/13/1dc00905.pdf.
Extra plus att dokumentet innehåller en mycket pedagogisk genomgång av vad federation är för något.

Rick Caccia, ArcSight och Patrick Harding, Ping Identity håller en gratis Webinar där de diskuterar “best practices” för  bättre säkerhet och “compliance” i molnet.

Läs mer och registrera

,

En  CIO på ett större företag tar upp denna säkerhetsfråga och svaret visar på att det idag är svårt att hitta bra konsulter inom IAM och att det kan vara rekommenderbart att bryta ur denna funktion för en särskild insats med specialkompetens och inte fullt ut se det som en liten del av det större IT-systemet.

FRÅGA: Jag är CIO på ett företag med några tusen anställda inom en teknik- och informationsintensiv verksamhet. Nu står vi inför en expansion och med de nya kraven behöver ännu bättre kontroll över vem som gör vad och när. Vilka är dina tips?

SVAR: Den vanligaste och oftast mest ekonomiska metoden att hantera användarkonton och behörigheter samt spårbarhet i komplexa it-miljöer kallas identity och access management, iam.
Den metoden ger dessutom andra fördelar som till exempel automatisk hantering av varje kontos livscykel och loggning och den möter även kraven på governance, risk management och compliance, grc.

Den viktigaste förutsättningen för ett lyckat projekt är att ledningsgruppen är aktivt delaktig och har förståelse för sin roll i iam-projektet.

Alla målsystemägare måste samarbeta och vara engagerade.

Ledningsgruppen måste tydligt kommunicera projektets mål och vad som förväntas av organisationen och dess chefer.

Ett vanligt misstag med iam-projekt är att man inte inser vikten av de affärsmässiga och de tekniska kraven innan man upphandlar produkter och tjänster.

På marknaden finns ett fåtal marknadsledande leverantörer av iam-system. Val av det rätta systemet för just dig är mycket viktigt och beroende av verksamhetens typ och mål.

Ledningsgruppens delaktighet i valet och genomförandet är viktig.

Trots att det råder brist på iam-kompetens finns det få konsultbolag som rent tekniskt kan implementera iam-system.

Ytterst få har kompetensen att genomföra en förstudie, en analys av både de affärsmässiga och de tekniska kraven.

Det är också väldigt få konsultbolag som kan ge stöd med beställarkompetens vid upphandling av rätt system och som kan kravställa upphandlingen av de tekniska konsulter som ska implementera systemet i verksamheten.

Det är också viktigt att i början av ett iam-projekt vara opartisk och leverantörsoberoende och att endast se till kundens verksamhet, mål och nytta.

Vi har sett många exempel på misslyckade iam-projekt där kunden hoppat över den viktiga förstudien och upphandlat system och tekniska konsulter direkt.

Det är ofta mycket kostsamt att hoppa över förstudien, förankringen i verksamheten samt de affärsmässiga och tekniska kraven.

Det är inte heller ovanligt att man köpt fel system till fel verksamhet.

Av erfarenhet brukar vi fokusera mest på förstudien och arbetet fram till upphandling av tekniska konsulter och system.

Läs mer om detta på http://blogs.kuppingercole.com/kuppinger/

En länksamling i ämnet GRC finns på http://www.thegrcdirectory.com/

Mer info om GRC kan läsas på Wikipedia