Systemy wymiany informacji w banku w świetle Rekomendacji M GINB NBP Marcin Kozak Software Architect Sun Microsystems Poland
Agenda Wprowadzenie Zarządzanie tożsamością Kompletna infrastruktura zarządzania tożsamością Zarządzanie tożsamością a rekomendacje Java Enteprise System Q&A
Ryzyko Operacyjne ryzyko straty wynikającej z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów technicznych lub ze zdarzeń zewnętrznych.
Cyfrowa tożsamość. Co to jest? App, Site, or Partner Profiles Consumer Profiles Common Profile Info Credentials Unique Identifier Credentials Address, etc. Employer Profiles App, Site, or Partner Profiles Represents principles (users, apps, etc.) Name, number, other identifier, Unique in some scope Persistent, long-lived May be pseudonym or true name May have multiple credentials Different strengths, different apps Can change w/more frequency Attributes, entitlements, policies More transient, fluid information Often specific to apps or sites Source: Burton Group Telebriefing, Enterprise Identity Mgmt, The Strategic Infrastructure Imperative, Oct 2002
Kryzys tożsamości Użytkownicy Kontraktorzy Dostawcy Partnerzy Pracownicy Wyspy tożsamości Mniejsza kontrola bezpieczeństwa i prywatności Powielone dane w wielu miejscach - źródłach Trudne utrzymanie spójności danych Wysokie koszty operacyjne Uregulowania prawne Systemy/aplikacje Aplikacje webowe Systemy UNIX Bazy danych Systemy Komunikacyjn e
Czy wiesz, że... Typowy zaawansowany użytkownik IT posiada 21 haseł 49% zapisuje swoje hasła na karteczkach lub umieszcza w pliku tekstowym na swoje stacji roboczej. Większość używa typowych słów jako hasła; 67% rzadko lub nigdy nie zmienia swojego hasła * Source: 2002 NTA Monitor Password Survey, UK; zdnet.com Rosnąca ilość haseł powoduje większe obciążenie HelpDesk W modelu niezautomatyzowanym, kasowanie hasła kosztuje od $51 (w najlepszym wypadku) do $147 (w najgorszym wypadku) (Gartner Group, April '02) W typowej firmie o wielkości 10,000 pracowników, około 45% zgłoszeń serwisowych to prośby o skasowanie hasła. (Meta Group 9/02) Wyspy tożsamości (Source: Sun Customer Survey Feb '02) > Typowe IT: 10 różnych aplikacji lub usług utrzymuje we własnym zakresie profile użytkowników > Ponad 80% przedsiębiorstw nie posiada rozwiązań typu Identity Synchronization.
Regulacje, regulacje... Global organizations face a complex regulatory maze Sweden PDPA 1995/1998 Belgium LPPLRPPD 1992 DPA 1995/2001 Germany FDPA 1995/2001 Finland FPDA 1995/1999 Denmark DPRA 1978 APPD 1995/2000 Ireland DP(A)A 1995/2003 United Kingdom DPA 1995/2000 Chile APPD 1998 Austria DPA 1995/2000 Luxembourg EUD 1995/2002 Canada The Privacy Act 1983 PIPEDA 2001 Mexico ecommerce Act 2000 Italy DPA 1995/1997 Netherlands PDPA 1995/2001 United States FCRA 1970 PA 1974/1975 RFPA 1978 CTVPA 1984 ECPA 1986 VPPA 1988 HIPAA 1996/2002 COPPA 1998/2000 DMPEA 1999/2000 FSMA/GLBA 1999/2001 Argentina PDPA 2000 Hong Kong Personal Data 1996 Taiwan CPPDP Law 1995 Australia PA/PA(PS)A 1988/2000 2001 New Zealand Privacy Act 1993 South Korea ecommerce Act 1999 Spain France DPA ADPDFIL 1978 1995/2000 EUD 1995/Pending Portugal Greece PDPA PIPPD 1995/1998 1995/1997 Eastern Europe Estonia (96) Poland (98) Slovak (98) Slovenia (99) Hungary (99) Czech (00) Latvia (00) Lithuania (00)
Identity Grid Application Interface Web Interface Portal Interface Administratorzy Pracownicy Partnerzy Klienci
Identity Manager Topologia wdrożenia Agent-less Browser
W banku powinny w jasny sposób zostać określone kompetencje oraz schematy podległości służbowej w obszarze zarządzania ryzykiem operacyjnym na różnych szczeblach organizacyjnych.
Provisioning dzisiaj Niespójny, manualny, niebezpieczny Partnerzy Pracownicy Klienci Byli pracownicy Human Resources System Call Center Help Desk Dział zakupów Exchange and Active Directory Oracle Financials Siebel CRM Chargeable Assets Mobile phone/service Conference call account Inne dobra Przestrzen biurowa Telefony Credit card Laptopy itd.
Banki powinny upewniać się, że posiadają właściwe mechanizmy kontroli autoryzacji i uprawnień dostępu do systemów, baz danych i aplikacji bankowości elektronicznej.
Provisioning z Identity Managerem Jednolity, zautomatyzowany, bezpieczny HR Manager Partnerzy Pracownicy Klienci Byli pracownicy Mniejsze ryzyko Kompletny wgląd w uprawnienia użytkowników Wydajne, Approving Manager zautomatyzowane operacje Exchange and Active Directory Oracle Financials Siebel CRM Chargeable Assets Mobile phone/service Conference call account Credit card Other Assets Office space Phone Laptop
System kadrowy: Autorytatywne źródło provisioningu HR jest autorytatywnym źródłem informacji o pracowniku. Zmiana w tym systemie inicjuje proces provisioningu Powiadomienie Provisioning zasobu Human Resources System PeopleSoft SAP Oracle Rekord pracownika zmodyfikowany w systemie HR Identity Manager aplikuje reguły, wywołuje akcję Rezultaty operacji
Banki powinny upewniać się, że posiadają właściwe mechanizmy kontroli autoryzacji i uprawnień dostępu do systemów, baz danych i aplikacji bankowości elektronicznej.
Zarządzanie hasłami dzisiaj Kosztowne, pracochłonne i bolesne Użytkownicy Partnerzy Pracownicy Klienci Pracownicy Tymczasowi Procesy Help Desk Drogi, manualny proces Użytkownicy mają pewność dostępu do systemów w godzinach Help pracy Desk ServiceDesku Użytkownicy muszą pamiętać wiele haseł Środowisko pracy Exchange and Active Directory Siebel CRM Unix PeopleSoft Oracle Financials RACF Human Resources System
Zarządzanie hasłami z Id Managerem Szybkie, pewne i efektywne kosztowo Użytkownicy Partnerzy Pracownicy Klienci Pracownicy Tymczasowi Proces Zautomatyzowany proces Dostępne zawsze dla użytkownika Interactive Voice Response (IVR) Użytkownicy pamiętają jedynie pojedyncze hasło Środowisko pracy Exchange and Active Directory Siebel CRM Unix PeopleSoft Oracle Financials RACF Human Resources System
Synchronizacja tożsamości Zarządzanie profilem użytkownika dzisiaj
Synchronizacja tożsamości Zarządzanie przy pomocy Identity Manager'a New Hire Application Exchange and Active Directory Siebel CRM Human Resources System Oracle Financials Payroll Systems
Nietrafny wybór mało elastycznych, niekompatybilnych z innymi, systemów może narazić bank, w przypadku wzrostu skali przetwarzanych informacji, na konieczność ich wymiany związaną z poważnymi kosztami.
Wsparcie dla wielu rozwiązań Identity Manager > Supported Platforms: IBM AIX, HP-UX, Windows, Solaris, Red Hat Linux, BEA WebLogic, IBM WebSphere, Sun Application Server > Resource Adapters: LDAP 3, Microsoft Active Directory, Novell edirectory, Novell NDS, Oracle Internet Directory, Sun Java System Directory Server, IBM DB2, IBM Informix, Microsoft SQL Server, MySQL, Oracle8i and 9i, Sybase, Oracle11i E-Business Suite, PeopleSoft, SAP R/3, Siebel CRM, Peregrine Service Center, Remedy Help Desk, Lotus Notes, Microsoft Exchange, Novell GroupWise, HP OpenVMS, HP-UX, IBM AIX, IBM OS/400, Microsoft Windows 2000, 2003, NT, RedHat Linux, Sun Solaris, CA-ACF2, CA-Top Secret, Entrust Authority Security Manager IBM RACF, RSA SecurID, Entrust GetAccess, IBM Tivoli Access Manager, Netegrity Siteminder, Oblix NetPoint, OpenNetwork DirectorySmart, RSA ClearTrust, Sun Java System Identity Server Access Manager > Supported Platforms: Red Hat Linux, Sun Solaris, Microsoft Windows*, HP-UX*, Linux RedHat*, IBM WebSphere*, BEA WebLogic* (*coming in Jan 2005) > Policy Agents: Apache, BEA WebLogic, IBM WebSphere, IBM HTTP Server, Lotus Domino, Microsoft IIS, Oracle Application Server, Sun Java System Web Server, Sun Java System Application Server, Tomcat Application Server, Oracle, PeopleSoft, SAP, Siebel Directory Server > Supported Platforms: Microsoft Windows, HP-UX IBM AIX, Solaris, Red Hat Linux
Bezpieczeństwo Zmniejszenie ryzyka Pojedynczy punkt kontroli w zarządzaniu cyklem życia użytkowników i uprawnień Spójne reguły bezpieczeństwa w celu lepszej ochrony zasobów przedsiębiorstwa Stały podgląd i szybka reakcja na zdarzenia związane z tożsamością i bezpieczeństwem Szeroki audyt i raportowanie precyzyjnie wskazują obszary ryzyka
Zarządzanie tożsamością Identity Management Zarządzanie tożsamością to fundament Twojego biznesu, ma bezpośredni wpływ na bezpieczeństwo interakcji i utrzymywania relacji z klientami, partnerami, dostawcami i pracownikami Zarządzanie tożsamością to zbiór procesów biznesowych, technologii i infrastruktury operacyjnej do zarządzania cyklem życia tożsamości oraz jej relacji z aplikacjami biznesowymi i usługami
Dziękuję Marcin Kozak marcin.kozak@sun.com