Tijdens Identity2009 wordt er tijdens het cio-debat geconcludeerd dat compliance een te grote rol speelt in de discussie over identity en access management. IAM kent nog te veel een traditionele benadering met onvoldoende aandacht voor de infrastructuur die organisaties nodig hebben om kansen te ontplooien in de web 2.0-wereld.
Dit was 7 oktober de conclusie van een vijtigtal enthousiaste deelnemers in de zaal van het Kurhaus in Scheveningen tijdens het event Identity2009. Zij gingen in debat met elkaar en met Adri de Bruijn, partner van PwC, Tony de Bos, directeur en cio van DigiNotar, Jean Pierre Martens, cio van NOC*NSF, en Theo Mooren, cio van de Raad voor de Rechtsbijstand. De deelnemers discussieerde aan de hand van stellingen over de rol van de cio bij de ontwikkeling van identity en access management (IAM).
Het klassieke denken over IAM zoals het zelf centraal authenticiteitsmiddelen (tokens) uitgeven en controleren, rol based access control en netwerkbeveiliging, zit organisaties in de weg. De deelnemers aan de discussie wijzen op veranderende wijze van werken van organisaties in de 'open' wereld. De medewerkers of ingehuurde krachten werken vanuit huis, onderweg of vanuit het pand van een andere organisatie. Complexe relaties met medewerkers, klanten, leveranciers, onderaannemers worden via internet onderhouden. Sociale netwerken en algemeen beschikbare software spelen een essentiële rol in communicatie en bedrijfsprocessen.
Deze ontwikkeling stelt andere eisen aan IAM. Organisaties zullen moeten gaan vertrouwen op authenticatiemiddelen uitgegeven door derden, op authenticatie en controle van 'claims' of bevoegdheden uitgevoerd door trust-partijen in de markt. Een dergelijke benadering vereist het gebruik van open en de-facto standaarden zoals SAML, het aangaan van zogenaamde federaties, en toezicht op betrouwbaarheidsniveaus door de overheid of door de markt geaccepteerde toezichthouders.
Dit beeld wordt bevestigd door het eerder tijdens deze conferentie gepresenteerde European IAM Survey. Als eerste driver voor IAM noemen organisaties 'compliance'; er is kennelijk weinig aandacht voor business opportunities op dit gebied. Volgens deelnemers aan de discussie kan het feit dat personen beschikken over een verifieerbare elektronische identiteit kansen bieden op het gebied van het aanbieden van elektronische diensten en dus ook kostenbesparingen. De overheid loopt dus duidelijk voorop met de ontwikkeling van een marktmodel en infrastructuur voor e-herkenning.
De cio's geven toe dat dit de vraagstuk 'businessbreed' is. Het is niet voldoende dat cio's dit vanuit een ict-gezichtspunt benaderen. Al snel zijn de discussiepartners het eens dat betrokkenheid van de business van belang is om juist de kansen te zien. De cio zal juist de brug moeten weten te slaan tussen de business opportunities, de enterprise architecture-benadering en het compliance-vraagstuk. Dat wordt nog een hele opgave gezien de 'kennisachterstand' bij het topmanagement, 'emotie' van de eindgebruikers (bijvoorbeeld met betrekking tot het EPD) en de natuurlijke weerstand tegen veranderingen. De cio's concludeerden ten slotte dat IAM op moderne leest geschoeid echt nu op de agenda moet worden gezet om de boot niet te missen. We zullen zien of men daarin slaagt.
Marcel Jak