P. 1
NOBODY in Business Land - Identity Management Begint in de Boardroom

NOBODY in Business Land - Identity Management Begint in de Boardroom

|Views: 39|Likes:
Published by Elisabeth de Leeuw
Om toegang te krijgen tot fysieke ruimtes en webportals dien je jezelf tegenwoo rdig te identificeren.
Identiteitsmanagement speelt een cruciale rol in veel bedrijfsprocessen op het gebied
van verkoop, marketing, productontwikkeling, logistiek en beveiliging. Businessprocessen
worden in toenemende mate gemodelleerd rondom de identiteit van de klant of gebruiker.
Kortom, businessprocessen worden ‘identity centric’. Identiteit is geld.
Om toegang te krijgen tot fysieke ruimtes en webportals dien je jezelf tegenwoo rdig te identificeren.
Identiteitsmanagement speelt een cruciale rol in veel bedrijfsprocessen op het gebied
van verkoop, marketing, productontwikkeling, logistiek en beveiliging. Businessprocessen
worden in toenemende mate gemodelleerd rondom de identiteit van de klant of gebruiker.
Kortom, businessprocessen worden ‘identity centric’. Identiteit is geld.

More info:

Categories:Types, Business/Law
Published by: Elisabeth de Leeuw on Feb 01, 2010
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

06/16/2012

pdf

text

original

IdentItymanagement begInt In de boardroom

‘Nobody’ in businessland

Om tOegang te krijgen tOt fysieke ruimtes en webpOrtals dien je jezelf tegenwOOrdig te identificeren. identiteitsmanagement speelt een cruciale rOl in veel bedrijfsprOcessen Op het gebied van verkOOp, marketing, prOductOntwikkeling, lOgistiek en beveiliging. businessprOcessen wOrden in tOenemende mate gemOdelleerd rOndOm de identiteit van de klant Of gebruiker. kOrtOm, businessprOcessen wOrden ‘identity centric’. identiteit is geld.
186
Door Elizabeth de Leeuw

september | oktober 2009

B

etrouwbare informatie over identiteiten is dus noodzakelijk voor het goed functioneren van een onderneming. Binnen ‘identity centric business’ vormt de identiteit een single point of failure: het is voor kwaadwillenden aantrekkelijk geworden om misbruik te maken van identiteiten. Vandaar het belang om risico’s in verband met identiteitsmanagement tijdig te signaleren en te beheersen. Vragen op het gebied van governance en compliance mogen daarbij niet uit het oog worden verloren. Een strategische benadering van identiteitsmanagement op boardroomniveau, waarbij kansen en risico’s voor de business worden afgewogen, is daarom noodzakelijk. Levende wezens willen weten met wie ze te maken hebben. Dieren, en ook mensen, herkennen elkaar aan geur, tooi, stemgeluid en gelaat. Sinds mensenheugenis noemen wij elkaar bij de naam. Het boek Richteren uit de periode 1370-1070 voor Christus, beschrijft hoe de stam van Gilead een overwinning behaalt op de stam van Ephraim. De overwinnaars vragen passanten het Hebreeuwse woord shibolet (korenaar) uit te spreken zodat hun vijanden, die de sh-klank niet konden uitspreken, niet konden ontsnappen. Een eerste voorloper van het paspoort treffen we aan rond 450 voor Christus. De Perzische koning Artaxerxes I geeft aan Nehemia een brief mee ‘aan de heersers aan de overzijde van de rivier’ met het verzoek hem een veilige doorreis te verlenen. Pas in 1599 maakt Shakespeare melding van een paspoort als doorgangspas: “A letter of authorization to pass through the country and take ship”. In het midden van de 19e eeuw werden de eerste paspoorten zoals wij die nu kennen uitgegeven, voorzien van een omschrijving van het uiterlijk van de houder.

Odysseus
Het misbruiken van identiteit, identiteitsfraude, is van alle tijden. Dieren, en ook mensen, vermommen zich om vijand en prooi te misleiden of te bedreigen. Homerus beschrijft rond de 8e eeuw voor Christus al hoe Odysseus ontsnapt aan de cycloop Polyphemos door zich aan hem voor te stellen als

Outis ofwel ‘Niemand’, waarna hij hem de ogen uitsteekt. Vergeefs roept de cycloop om hulp: “Niemand heeft mij de ogen uitgestoken!” Betaalmiddelen faciliteren de uitwisseling van goederen. Als gevolg daarvan kwam de handel tot bloei. Van ruilhandel is er een ontwikkeling op gang gekomen naar multi purpose ruilmiddelen. In Nieuw-Guinea werden ooit schelpen van de Kauri, een zeeslak, gebruikt als betaalmiddel. Rond de laatste eeuwwisseling zijn identificatieprocessen meer en meer een centrale rol gaan spelen bij financiële transacties. En met de komst van internet in de jaren negentig is identificatie op afstand om transacties te borgen niet meer weg te denken. Identiteit heeft dus in zekere zin de rol van geld overgenomen. Maar een identiteit is – vanzelfsprekend – persoonsgebonden. Waardoor ook de mogelijkheden van identiteitsfraude zijn toegenomen. Wanneer een identiteit gecorrumpeerd wordt, is daarmee de integriteit van alle transacties rondom die identiteit in het geding. Een andere factor die van invloed is op het risicoprofiel van identificatieprocessen is de generieke dossiervorming, zoals die momenteel bijvoorbeeld in de zorgsector plaatsvindt. Denk aan het elektronisch patiëntendossier, het EPD. Een gestolen of foutieve identiteit kan zo een kwestie van leven of dood worden. Identiteit op internet is niet gebonden aan tijd en plaats en daarom kwetsbaar voor aanvallen uit alle delen van de wereld. Identiteitsfalen is het gevolg van corruptie van identiteitsdata – zoals opgeslagen op identiteitsbewijzen en databases – en identiteitsprocessen zoals registratie en verificatie. Bij het registreren van een identiteit kan het voorkomen dat eenzelfde fysieke persoon

meerdere malen, onder verschillende namen, voorkomt: synonieme identiteiten. Toepassing van unique identifiers ofwel unieke persoonsnummers kan deze situatie helpen voorkomen. Daarnaast kan het misgaan bij de verificatie. Bijvoorbeeld als meerdere fysieke personen meeliften op eenzelfde credential. Ook kan een credential zijn voorzien van valse of onjuiste biografische kenmerken, waarmee een synonieme identiteit wordt gecreëerd.

Identiteitsdiefstal
De Nederlandse Kenneth Koseyem Ehigiene zat in 2003 ruim zeven maanden vast in Nederland en Duitsland. Hij werd verdacht van drugshandel in Turkije. Een alibi, ondersteund met 51 bewijsstukken, mocht niet baten. De werkelijke dader maakte misbruik van zijn identiteit. Duitse forensische experts brachten aan het licht dat hier sprake was van identiteitsdiefstal. Ook de identiteit van bedrijven en organisaties kan worden gecompromitteerd. In december 2008 werden valse facturen van de Kamer van Koophandel in omloop gebracht. De facturen wekten de indruk dat het ging om de jaarlijkse bijdrage. In 2009 werd misbruik gemaakt van de identiteit van het bedrijf Kompass Nederland. Briefpapier was perfect nagebootst, post- en bezoekadres waren aangepast. De schade liep in de tienduizenden euro’s. De imagoschade was niet in geld uit te drukken. Aan identiteitsdiefstal gaat gegevensdiefstal vooraf. Naam en adresgegevens, geboortedatum, burgerservicenummers en identiteitsgegevens worden afgetapt uit e-mail, internetverkeer en van websites. Zelfs geautomatiseerd door bijvoorbeeld trojan horses. De vraag naar producten die online fraude, identiteitsfraude en identiteitsdiefstal faciliteren neemt toe. De productie ervan is professioneel met een steeds

Vergeefs roept de cycloop om hulp: ‘niemand heeft mij de Ogen uitgestOken!

CIO Day - 16 en 17 november 2009

187

kortere time-to-market. Ook via sociale netwerksites worden persoonsgegevens verzameld met het doel deze te misbruiken.

wel identity assurance, is een eerste voorwaarde.

Voorwaarden
Om tot een verantwoorde identity centric business te komen moet aan een aantal voorwaarden worden voldaan: • Identity assurance: stel eisen aan de kwaliteit van identiteitsmanagement en richt dit in op een vooraf vastgesteld betrouwbaarheidsniveau. • Maak de kwaliteit van data zichtbaar. Monitor de kwaliteit en maak de kosten van falen en fraude in verband met achterblijvende datakwaliteit zichtbaar. Beheers de kwaliteit van data in overeenstemming met het vereiste betrouwbaarheidsniveau, zowel inhoudelijk als procesmatig, met behulp van business intelligence tools, log correlation analysis en monitoring. • Analyseer de kwaliteit en fraudegevoeligheid van identificatieprocessen, in het bijzonder de primaire identificatie. Breng zwakke plekken in kaart en pas deze aan in overeenstemming met het vereiste betrouwbaarheidsniveau. • Signaleer ontwikkelingen op het gebied van risico’s en richt een proces in voor risicobeheersing. • Signaleer en sanctioneer identiteitsfraude waar mogelijk.

Omvang
Het aantal gevallen van identiteitsfraude neemt toe en de schade als gevolg daarvan is groot. Het Identity Theft Resource Center geeft aan dat in de eerste helft van 2009 de identiteit van meer dan twaalf miljoen personen werd gecorrumpeerd. In één geval werden één miljoen records met persoonlijke gegevens gestolen, in een ander geval was sprake van afpersing op basis van acht miljoen ‘gegijzelde’ records. De schade in de VS ten gevolge van phishingaanvallen bedroeg in 2007 al 3,2 miljard dollar. Identiteitsfraude is niet strafbaar. De Nederlandse justitie onderzoekt momenteel of identiteitsfraude als apart misdrijf strafbaar moet worden gesteld. Risico is kans maal effect. Uit cijfers blijkt dat de kans op identiteitsfraude niet onaanzienlijk is, waarbij het effect heel groot kan zijn. Banken bijvoorbeeld moeten daarom rekening houden met hoog oplopende financiële schade en in de gezondheidszorg zijn zelfs levens in het geding! Als ergens het adagium opgaat dat voorkomen beter is dan genezen, dan is het wel in de wereld van het identiteitsmanagement. Wanneer de business in hoge mate afhankelijk is van identiteit, noemen we dat ‘identity centric business’. Identificatie is van zeer grote betekenis in tal van online businessprocessen. Passende maatregelen om identiteitsfalen en -fraude te signaleren en te voorkomen, dienen dan ook van meet af aan te worden genomen. Een risicoanalyse kan uitwijzen welke schade op deze manier wordt voorkomen. Op basis van een kosten-batenanalyse kan worden bepaald welke risico’s acceptabel zijn of welke maatregelen noodzakelijk om de risico’s tot een aanvaardbaar niveau terug te brengen. Dit heeft mogelijk impact op het businessmodel. Beheersbaarheid van identiteitsfalen en -fraude is een kritische succesfactor voor toepassing van identificatieprocessen. Een vastgestelde kwaliteit van identiteitsdata en -processen, of-

• Problemen met autorisatiemodellen zijn niet zelden geworteld in, of bouwen voort op een probleem met identiteitsmanagement. • Incidenten die ogenschijnlijk van een heel ander karakter zijn – bijvoorbeeld beveiligingsincidenten of gevallen van (vervolg)fraude – kunnen voortkomen uit manipulatie of diefstal van identiteiten. De grote uitdaging in verband met identity centric businesses is een bewustwordingsproces, te beginnen op boardroomniveau, uitmondend in een voortdurende en bedrijfsbrede alertheid.

Identity assurance
Een kenmerk van identity centric business is de strategische inzet van identificatieprocessen. Hiermee kunnen enorme verbeteringen in efficiency en dienstverlening worden gerealiseerd. De risico’s verbonden aan identity centric business zijn echter serieus en kunnen de businesscase doen kantelen. De toename van identiteitsfraude is een wereldwijde trend. Identiteitsfraude kan grote schade aanrichten. De kans op identiteitsfraude is reëel en neemt toe, het effect is groot. Verwachte kosten en baten van de identity centric businesscase dient daarom op niveau van de board of directors te worden getoetst. Mogelijke problemen in verband met identiteitsmanagement zijn niet direct zichtbaar, maar komen meestal indirect aan het licht: • Compliancy issues zijn in bepaalde gevallen – direct of indirect – te herleiden tot een falend identeitsmanagement.

de kans Op identiteitsfraude is reëel en neemt tOe, het effect is grOOt

✒ ELISABETH DE LEEUW (elisabeth. de.leeuw@topforce.com) is managing
consultant bij TopForce.

188

september | oktober 2009

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->