De aanschaf van software voor het beheer van identiteiten in bedrijfsnetwerken is alleen te rechtvaardigen bij de inzet van webtechnologie voor het gebruik van applicaties. Een massale overstap is dan ook niet één-twee-drie te verwachten.
"Het cynisme van de pers over het nut en de noodzaak van beter identiteitsbeheer in netwerken wordt alleen overtroffen door de scepsis bij directeuren die de beslissing over dergelijke investeringen moeten nemen", zei Art Coviello, ceo RSA Security, vorige week tijdens een bezoek aan Nederland. Het was een kort moment van realiteitszin in de georganiseerde discussie die Coviello had met Helmutt Broda, cto Emea Sun, Ivan Lepla, senior consultant Telindus, en Robert Arsenault, ceo Betrusted. Ze deden allemaal hun zegje over de mogelijkheden en toekomst van digitaal identiteitsbeheer, waarmee gebruikers van internettechnologie hun identiteit en privileges in verschillende omgevingen kunnen gebruiken.
Alle heren zijn van mening dat digitaal identiteitsbeheer een impuls moet krijgen om internet overeind te houden. "Het beheer van losse wachtwoorden wordt voor bedrijven en consumenten zo langzamerhand een nachtmerrie", zei Broda van Sun. Coviello wees op de plicht van fabrikanten van identiteitbeheersystemen om samen te werken: "initiatieven als de Liberty Alliance en de Passport-technologie van Microsoft moeten en zullen op termijn met elkaar overweg kunnen. Als dit niet lukt, faalt de industrie. Het bedrijfsleven zal dan zijn investeringen in identiteitsbeheer helemaal staken, waardoor een aantal fabrikanten het niet na zal vertellen."
Langzame overstap
Een belangrijke reden waarom organisaties schoorvoetend in identiteitsbeheer investeren, is de hoge prijs voor deze systemen. Lepla van Telindus rekende voor dat een hoge investering in een apart systeem voor identiteitsbeheer alleen te rechtvaardigen is voor grote organisaties. "Voor bedrijven onder de vijfduizend werknemers is de implementatie van een beheersysteem voor identiteiten binnen het bedrijfsnetwerk niet te rechtvaardigen door de hoge kosten." Hij schatte dat de meeste implementaties uitgingen van een investering van honderd dollar per te beheren identiteit. De meeste kosten zitten hem niet in de aanschaf van het systeem (20 procent) maar in de aanpassing van achterliggende bedrijfsprocessen (80 procent). Een vergelijking met peperdure en mislukte pki-implementaties is daarom volgens hem gerechtvaardigd.
Coviello is het niet met Lepla eens dat de hoge investering in identiteitbeheer alleen voor grote organisaties lonend is. Coviello koppelde de investering aan de technologie. De meeste applicaties draaien op dit moment in een client/server-omgeving. Aparte systemen voor identiteitbeheer zijn door de bestaande methoden en technieken binnen deze omgevingen minder noodzakelijk. Pas als een organisatie grootschalig het web gaat inzetten om eigen applicaties te distribueren onder werknemers of partijen buiten de onderneming, valt een investering te verantwoorden. Eventuele besparingen zoals efficiëntie in het beheer spelen een veel minder grote rol bij een keuze voor een centraal systeem voor beheer van identiteiten. "Op dit moment is het gebruik van wachtwoorden, hoeveel het er ook zijn achter een firewall, heel goed te verantwoorden."
Antivirus-golf
Na afloop van de discussie meldde Coviello dat de investeringen in beveiligingssoftware groeien. "Net als bij antivirus halen bedrijven ook steeds meer hun hand van de knip voor verbetering van authenticatiemogelijkheden in hun bedrijfsnetwerken. Beide investeringen hebben volgens mij te maken met de opkomst van breedbandnetwerken. Het stimuleert blijkbaar toegang op afstand en nieuwe bedrijfstoepassingen. Daarnaast schatten ook steeds meer kleinere bedrijven de gevaren realistisch in. De impact van virussen rechtvaardigt een investering in deze software. Hetzelfde geldt voor kaping van gebruikerscodes en wachtwoorden."
De Nederlandse proef met het stemmen voor het Europees parlement via internet volgend jaar, noemt hij brutaal. "Ik ben erg benieuwd hoe men dit denkt te kunnen beveiligen", aldus Coviello. Het geeft volgens de topman goed aan dat Nederland net als veel Scandinavische landen een voorsprong heeft met de inzet van internettechnologie, bijvoorbeeld op het gebied van bankieren via internet. Zelf gebruikt hij niet het internet om te bankieren. "In de VS hebben klanten van banken het gebruik van wachtwoorden op internet omarmd. Dat is mij niet veilig genoeg. Wat dat betreft is Europa met het gebruik van ssl-technologie (secure socket layer) nu al een stuk beter af." < BR>