Identity and access management (iam) is nu sta-in-de-weg voor innovatie van werkplek. Gebruikers worden gek van tokens, complexe loginprocedures en vpn-connecties die retetraag zijn en er om de haverklap uit liggen wanneer ze mobiel werken. Nog voordat ze met hun werk zijn begonnen, weten ze alweer waarom ze de schurft hebben aan de eigen it-afdeling.
Er zijn 1001-redenen te verzinnen waarom it alles bij het oude moet houden en de digitale slotgracht liefst nog verder moet worden uitgediept. Maar anno 2014 kan je fortificatie oude stijl niet meer verkopen aan je gebruikers. Het moet slimmer en vooral simpeler.
Inloggen is nu nog uit een pre wifi-byo-cloud-tijdperk. Identiteitscontrole en toegangsmanagement worden in het jargon identity and access management genoemd, ofwel iam. Voor veel gebruikers is iam oude stijl een blok aan het been. Binnen hun organisatie is de iam-architectuur dan nog gebaseerd op het ‘oude’ wereldbeeld waarin er nog geen apps, sociale media en cloud bestonden. De company-issued desktop was leidend en alle applicaties werden on premise beheerd. In minder dan vijf jaar is dat beeld geheel gekanteld. Tablets en smartphones zijn nu de primaire devices; vaak zijn ze niet eens meer eigendom van het bedrijf (bring your own device) en steeds meer productiviteit, collaboration tools en business applicaties komen uit de cloud. In deze nieuwe wereld zijn zakelijke gebruikers als consument gewend geraakt aan het simpel inloggen op en via sociale media. Gemak dient de mens en snelle toegang is het resultaat. De wereld kantelt niet meer terug en daarom voldoet IAM oude stijl niet meer. Bedrijven kunnen dus niet langer inside-out hun iam-architectuur ontwerpen en regels opleggen, maar moeten zich aan dat nieuwe wereldbeeld aanpassen. Toch gaan veel uitbestedende multinationals er bij marktconsultaties voor werkplekuitbesteding nog steeds van uit dat hun eigen (lees oude) iam-architectuur leidend blijft. Gevolg is dat je ook blijft door etteren met de oude werkplek, waar toegangsbeveiliging vooral lijkt te bestaan uit steeds hogere drempels. Aparte tokens en overcomplexe two-way authenticatie zijn heel gebruikersonvriendelijk; vooral voor toegang tot systemen en data die helemaal niet zo confidentieel of privacygevoelig zijn.
Simple sign-on als requirement. Veel providers van software en sociale media in de consumentenwereld gebruiken Facebook en Google als identity provider. Als consument kan je inloggen met je Facebook-credentials of kan je – wanneer je bent ingelogd op Facebook – automatisch door naar een andere web-applicatie. Het gemak waarmee je daar als consument inlogt staat in schil contrast met de zware toegangscontrole die bedrijven nu hanteren voor hun eigen werknemers. Het kan en moet anders. Simple sign-on graag! Voor gebruikers is single sign-on het zichtbare deel van IAM. Met single sign-on (sso) kan een gebruiker toegang krijgen tot meerdere, onafhankelijk van elkaar opererende, applicaties met dezelfde username en password. Ook het uitloggen (sign-off) gaat met één handeling. In de regel is slechts minder dan 10 procent van de bedrijfsdata confidentieel. Daarom wordt contextual access management straks de norm. Bepaalde klantdata kan dan bijvoorbeeld wel tijdens kantooruren worden benaderd met een beveiligde notebook, maar niet op een zonddagmiddag vanuit een internetcafé met privé tablet. Naast de functie, worden dan ook locatie, device en tijd meegenomen.
Bring your own identity? Met autorisatie worden toegangsrechten om een object (zoals een dataset, een applicatie of straks zelfs een internet-connected meetsensor) te benaderen toegekend door de objecteigenaar. In de regel geldt tegenwoordig dat alleen je functie bepalend is voor het autorisatieniveau. Authenticatie is de identiteitscontrole en de stap voorafgaand aan autorisatie. Net als in de consumentenwereld kunnen gebruikers hun digitale identiteit ook in beheer geven aan partijen die zij vertrouwen zoals Google+, LinkedIn, KPN of zelfs BOL.com; vervolgens acteert deze partij als identity provider richting bedrijven. Deze trend heet bring your own identity (byoid). In Nederland komt Qiy met een bijzonder initiatief. Voor het controleren van een identiteit komen er steeds meer nieuwe mogelijkheden zoals het IP-adres van het device, de locatie van de gebruiker en biometrische gegevens van de gebruiker. Dit zorgt er voor dat er meerdere sloten op de deur komen. Veiliger kan dan ook echt simpeler. Met byoid blijft de uiteindelijke autorisatie in handen van de objecteigenaar. Sign-on kan zo voor niet-bedrijfskritische data en applicaties en niet-risicovolle transacties dezelfde look and feel krijgen als inloggen via sociale media. Is dat onzin en onveilig? Ik ben heel wat post-its tegengekomen in kantoren op bureaus en pc’s met inloggegevens, maar zelden voor iemands Twitter, Facebook of LinkedIn accounts. Gebruikers wijzen op hun eigen verantwoordelijkheden hoort bij simple sign-on.
Toon durf! Het vergt moed om je eigen bouwwerken op de schop te nemen en niet meer vast te houden aan het argument van ‘zo doen we het al jaren’. Wie A zegt door byod toe te staan, kan niet meer met droge ogen de regel proclameren dat werknemers zakelijk niets met hun eigen device mogen doen behalve het bijhouden van hun mail en agenda. Je moet dus ook B zeggen en zoveel mogelijk interne en externe functionaliteit ontsluiten. Wie B zegt en gaat voor een internet-centric workspace met zowel publieke als private clouds, kan het best beginnen bij iam en sso nieuwe stijl. Daar ligt de sleutel tot een harmonieus huwelijk tussen consumerized en corporate it. Belangrijk is om te kijken naar de nieuwe marktstandaarden en op een slimme wijze te sourcen. Je wilt blijven innoveren en adequaat kunnen reageren op security breaches.
Ewout, ik ga het artikel niet voor een 3e keer lezen om de handvatten op te lepelen.
Jan, decentraal gaat niet vliegen als je meer dan tien mensen in dienst hebt. Op een gegeven moment wil je weten wie welke dienst gebruikt en moet je een gebruiker gemakkelijk uit kunnen sluiten als deze uit dienst gaat, of als zijn functie verandert, al zijn er natuurlijk wel mogelijkheden dat gebruikers ook een lastpass / keepass gaan gebruiken als bijvoorbeeld SSO niet mogelijk is, goede voorlichting en delen van beleid is dan wel belangrijk. Goede tools kunnen helpen met om de shitty sign on beter te maken. Of ik dit gebruik moet toejuichen ben ik nog niet uit, al kun je dit overigens ook lastig voorkomen.
Zoals met elk ongefundeerde en boude bewering is het verstandig niet te diep in te gaan op de boodschap, maar op de gedachte erachter. Kennelijk denkt Marco Gianotten dat IAM de afgelopen jaren helemaal geen ontwikkeling heeft doorgemaakt en slechts een blok aan het been is van de mobiele werknemer. Staat Marco alleen met zijn idee? Ik ben bang van niet. Zo te zien heerst er nog veel onwetendheid ten opzichte van IAM.
De identity and access management-experts hebben nog een hoop voorlichtingswerk te doen, maar gelukkig spreekt de praktijk wél voor het gebruik van IAM. Neem nu de vele onderwijsinstellingen die al jaren gebruik maken van IAM. Deze instellingen doen dit niet omdat het mooi op papier staat, of uit beveiligingsoogpunt. Het inzetten van IAM levert vooral erg veel besparingen en efficiency op! Dus niks experimenteel, maar gewoon op z’n Hollands: identity and access management levert meer op dan dat je erin stopt. Reza Sarshar zegt in een bovenstaande reactie dat ‘IAM juist de zaken zoals BYOD ondersteunt en vereenvoudig maakt. […] Misleid aub de lezers die hier geen kennis van hebben niet!’ Ik ben het hier helemaal mee eens, maar pleit ook voor de hand in eigen boezem: laten we de lezers/klanten vaker en uitgebreider informeren, zodat een stukje zoals dat van Marco niet meer zoveel reacties zal uitlokken, maar gelijk wordt afgedaan voor wat het is: een artikel gebaseerd op onkunde.
@Ewout:
Dat artikel is door een collega van me geschreven. Hij ging daar op een aantal punten rondom 3W`s in. Hij heeft hem op een andere site gepubliceerd. Ik vind het niet netjes om de link van die site op Computable te publiceren. Mocht je er interesse in hebben dan verneem ik graag via e-mail.
@Henri:
Ik was ook benieuwd welke handvatten je van iemand zoals Marco krijgt die niks anders doet dan ICT-afdeling schofferen om zijn doel te bereiken. Iemand die in zijn presentatie een slap verhaal vertelt en zonder respect, de ict-afkortingen en namen belachelijk maakt om zijn publiek aan het lachen te krijgen zie ik meer als een clown dan een deskundige.
Je kunt vrij snel lezen en schrijven dus dat je het artikel voor de 3e keer moet lezen om daarop in te gaan vind ik een beetje “slappe excuses”.
@Bram:
Mooie aanvulling. We zien ook dat de ontwikkelingen op het gebied van IAM niet bekend zijn voor veel organisaties. IAM wordt snel verbonden met SSO terwijl de oplossing nog veel andere aspecten kent. IAM is je vertrek- en landingsbaan naar de cloud! Binnenkort ga ik weer een artikel hierover publiceren.
Reza, nou vooruit :
– Focus op simple-sign on.
– Neem publieke IAM in overwegeing aangezien een groot gedeelte van data niet hoog confidentieel is
– contextual access management wordt straks (mogelijk) de norm
– Toelichting op BYOID
– Denk aan meer controls die identiteit kunnen bevestigen zoals locatie, boimetrische gegevens, device, IP
– Niet kritische data zelfde gevoel gevel als inloggen op social media
– Denk opnieuw na en toon durf
– internet-centric workspace
En ja, bashen op een afdeling zeker in een algemeen context is niet chique.
@Henri
Dat er steeds meer attributen komen die identiteit kunnen bevestigen is waar, de vraag is echter of we dit ook allemaal wenselijk achten als ik overweeg dat het hier dus feitelijk om persoonsgegevens gaat. Betreffende publieke IAM waarbij de data niet (hoog) confidentieel is trek ik dus nut en noodzaak van dit soort oplossingen in twijfel. Toon durf is daarmee synoniem aan roekeloosheid waarbij we onze privacy offeren voor een klein beetje gemak.
Contextual access management doet in sommige fora nogal wat stof opwaaien doordat met name providers de data die verkregen wordt voor heel andere doeleinden gebruiken. Ik noemde je in een soortgelijke discussie al eens dr. Jekyll & mr. Hyde omdat persoonsgegevens wel confidentieel zijn waardoor ik me afvraag of het middel niet erger is dan de kwaal. Ik weet het, zelfs onze eigen overheid lapt de principes voor ‘Protection of Privacy and Transborder Flows of Personal Data’ aan haar laars maar dat wil nog niet zeggen dat jij moet collaboreren.
Recent was hier nog een opinie over imago van de ICT en cookies, we verbieden het één en promoten het ander als ik kijk naar de Big Data mogelijkheden die in SSO zitten. Sociale media kanalen zijn namelijk alles behalve sociaal en dienen vooral het marketing belang. BYOID vraagt dus inderdaad een mind-shift maar dan wel anders dan jij denkt, het gaat hierbij niet om het beschermen van de bedrijfsinformatie maar om het beschermen van de privacy van de gebruiker. En bedrijven die hier schijt aan hebben mogen hun producten stoppen waar de zon niet schijnt;-)
Weet je wat, geef maar al je sleutels aan mij en heb vertrouwen dat ik die niet ga delen met andere partijen zoals Facebook etc.
Nee dank je wel. ik vertrouw partijen zoals Facebook helemaal niet. Zoals niemand dat zou moeten doen. Voordat je het weet ligt de sleutel bij alles en iedereen. Ik zou zeggen, weltrusten voor alle naiëve it’rs daar.
Natuurlijk zijn partijen zoals Facebook niet te vertrouwen. Maar het is toch ook niet nodig om ze te vertrouwen?