Elke organisatie maakt gebruik van Identity- en Acces Management (IAM/IDM). Dit is een van de basis elementen van goede informatiebeveiliging. Het afschermen van de bedrijfsgegevens is hierbij de eerste stap. Maar het toegang verlenen tot deze informatie, op een beheerste wijze en aan de juiste personen op het juiste moment, is essentieel voor het goed functioneren van een organisatie. Daarnaast moet een organisatie voldoen aan de eisen vanuit wetgeving en toezichthouders. Zij eisen veelal het hanteren van standaarden in het gebruik van Identity en Access management die transparantie en eenduidigheid tot effect hebben.
Identity Management gaat over het eenduidig vaststellen en beheren van de identiteit en rol van medewerkers, partners en klanten binnen de systemen en netwerken van je organisatie. Daar valt ook de identiteit van externe systemen onder. Ofwel: ben jij wie je zegt dat je bent?
Access Management gaat over het efficiënt toegang verlenen aan die personen die toegang moeten hebben op het moment dat ze dat nodig hebben en beperken van die toegang op het moment dat het niet nodig is. Ofwel: mag je doen wat je nodig hebt om je werk te doen, maar ook niet meer?
Kostbare verzekeringspremie
Het inrichten en onderhouden van een IAM/IDM oplossing is complex en kan kostbaar zijn. Het ontwerp reflecteert de structuur van de organisatie, is continu in beweging en moet voldoen aan uitgebreide wet en regelgeving. Bovendien is het in veel gevallen niet echt zichtbaar, tenzij het niet goed functioneert, en het levert op het eerste gezicht niet veel op. Dergelijke investeringen worden vaak gezien als een soort verzekeringspremie. Je betaalt deze premie voor het geval dat er iets gebeurt waarvan je hoopt dat het niet gebeurt.
Maar er zit meer achter de IAM / IDM oplossingen. De basis van deze systemen is het beheren van identiteiten en rollen en het verschaffen en beperken van toegang tot systemen, functies en data. De volgende stap is het effectief beheren van individuele rechten over langere tijd, het verifiëren en aanpassen van toegang aan de hand van wijzigingen in rollen en de structuur van de organisatie. Ook is het mogelijk om het daadwerkelijk gebruik te traceren en op basis daarvan de niet gebruikte toegangsrechten te beperken. In veel bedrijven is dit een statisch systeem, waardoor medewerkers met een lang dienstverband op termijn veel meer rechten hebben dan ze uit grond van hun functie nodig hebben.
Veranderingen in de afgelopen jaren
Als consultant kom ik regelmatig bij andere organisaties waarbij ik dan ook werk met hun systemen. Het Identity en Access Management bij deze organisaties heeft een sterke verbetering doorgemaakt. Waar ik een aantal jaar gelden nog dagen moest wachten op een netwerkaccount en weken tot ik alle “juiste” rechten had, is dit nu meestal binnen 15 minuten geregeld. Inclusief toegang tot specifieke bedrijfsapplicaties. Dit heeft niet alleen een enorme efficiency gebracht, het is ook een sterke verbetering van klantvriendelijkheid en professionaliteit.
Toegevoegde waarde van IAM / IDM security oplossingen
Het goed implementeren van IAM en IDM kan naast het beschermen van bedrijfsgegevens ook veel toegevoegde waarde leveren. Het is belangrijk om deze toegevoegde waarde ook mee te nemen in het opstellen van de business case voor de invoering van Identity- en Access Management oplossingen. De toegevoegde waarde kan gevonden worden in bijvoorbeeld:
- Gebruiksvriendelijkheid / klanttevredenheid
Het snel en gebruiksvriendelijk aanmaken, wijzigen en verwijderen van rechten kan een enorme verbetering brengen in de klanttevredenheid over deze service. Het instellen van de juiste rechten is met een actie door de manager direct te regelen en vereist niet meer een papieren proces en veelvuldig contact met de servicedesk. Dit is niet alleen van toepassing bij aanvang, maar ook bij mutatie of beëindiging van de relatie met uw organisatie. - Eenduidige identiteit
Het aanbieden van een eenduidige (en unieke) identiteit binnen een organisatie levert voor de eindgebruikers meer gebruiksgemak op doordat er maar één account wordt gebruikt. Ook maakt een eenduidige entiteit het mogelijk om in het geval van misbruik in één keer de volledige identiteit buiten werking te stellen. - Additionele informatie
De eenduidige identiteit zorgt voor een eenduidig beeld van de gebruiker. Daardoor kan de organisatie specifieke en toegesneden informatie aanbieden. Medewerkers kunnen hierdoor hun werk beter uitvoeren en klanten kunnen gewezen worden op additionele producten en diensten. - Eerder reageren op kansen
Het systeem is ingericht om eerder te kunnen reageren op bedreigingen en afwijkingen. Deze afwijkingen kunnen uiteraard ook kansen in zich hebben. Als een externe gebruiker opeens toegang wil tot een nieuw systeemonderdeel kan dit ook een mogelijkheid tot verkoop van extra diensten zijn. Dit betekent dat de plek van IAM rapportage niet alleen relevant is voor de security officer, maar ook voor de marketing manager. Het hebben van een eenduidig beeld van de klanten, de rechten en hun gedrag heeft nu ook een toegevoegde waarde.
Van kostenpost naar inkomstenbron
Ik ben van mening dat het hebben van eenduidige wijze van Identity en Access Management niet meer gezien moet worden als een kostenpost maar als een potentiele inkomstenbron. Het bevat de mogelijkheid om extra flexibiliteit te bieden en klantvriendelijk te opereren. Ook geeft een goede inrichting een schat aan extra informatie die vooral voor andere (commerciële ) afdelingen relevant zijn. Door deze oplossingen op een dergelijke wijze te positioneren wordt de business case voor invoering opeens een stuk positiever. Er ontstaat zo een bredere belangstelling en een breder draagvlak voor Identity en Access Management.