Identity & Access Management verandert naam

De conferentie Identity & Access Management (IAM) heet vanaf 2011 Access Governance. Dat komt volgens organisator IIR ICT door de verschuiving die plaatsvindt in de securitymarkt. Maarten Stultjens van Elephant Security: ‘Vroeger was beveiliging een stuk technischer, maar nu gaat het vooral om het beheer van toegang. De meeste bedrijven verlenen hun toegang op de verkeerde manier.’

'Er moet vaak iets ergs gebeuren, voordat mensen beseffen dat het anders moet', zegt Rachel Marbus, it-jurist en adviseur bij adviesbureau KPMG. Ze leidt op de Access Governance het privacy-debat.

Maarten Stultjens is spreker tijdens de inleiding van de conferentie. Stultjens: 'Een voorbeeld van Access Governance die niet zo goed is verlopen tot nu toe, is die bij een Duitse bank. Daar ben ik nu bezig de autorisatiedata op orde te brengen, want de helft van de inlog-accounts is niet te herleiden naar een persoon en de functies van de medewerkers zijn niet goed geregistreerd. Het verlenen van toegang op basis van 'need-to-know' is hierdoor onmogelijk. Het ict-beheer registreert wel dat er iemand wordt aangemeld, maar een verdere structuur van het beheer ontbreekt er vaak aan. Wat doe je als een werknemer van functie verandert of weggaat?'

Op de agenda

Marbus en Stultjens merken dat access governance steeds vaker op de agenda komt bij bedrijven. Marbus: 'Maar er is nog een grote slag te maken. Veel bedrijven beginnen er niet aan omdat het geld kost. Je verdient geen geld met access governance, denken ze, maar het kan je een hoop geld kosten als je het niet op orde hebt. Bij banken hebben zich recent enkele incidenten voorgedaan als gevolg van ontoereikend autorisatiebeheer. Controle op toegangsrechten is een belangrijke randvoorwaarde om als organisatie de risico's rondom primaire processen te beheersen.'