De essentie van identity- en access-management is dat iemand toegang moet hebben, om zijn of haar werk te kunnen doen. Dat is een oud IT-probleem, waar geen simpele oplossing voor bestaat. Huidige ontwikkelingen maken het des te complexer en des te dringender om het aloude vraagstuk te tackelen, met een bredere visie.
Over deze blogger
Steven heeft 20 jaar ervaring in Identity & Access Management en programma management. Sinds 2007 geeft hij leiding aan Grabowsky, een full service provider op het gebied van Identity Driven Security en is vanuit die rol ook inhoudelijk betrokken bij het adviseren van klanten op directieniveau. Steven is in 1997 gestart als PKI-consultant bij KPMG. Bij Quote Media Magazines en MarviQ (later XB) is hij uitgegroeid tot een ervaren en technisch inhoudelijke programma manager/consultant met specialisatie in Identity & Access Management en informatiebeveiliging in het algemeen. Ook werkte hij in commerciële functies zoals sales executive Identity & Access Management bij Getronics Pink Roccade.
De Nexus of Forces, zoals onderzoeksbureau Gartner het heeft geformuleerd, brengt forse veranderingen voor ook identity- en access-management. Deze nexus wordt gevormd door de convergentie en onderlinge versterking van vier factoren: mobility, cloud, social media en de informatie-explosie. Hoe ga je daar mee om? Want je kunt het niet links laten liggen.
Het kasteel werkt niet meer
Je gebruikerspopulatie is namelijk flink aan het veranderen. Vroeger was er het veilige kasteel van de eigen organisatie en de eigen IT-omgeving. Alles wat daar niet binnen was, behoorde tot de boze buitenwereld. Nu moet je iedereen gelijk behandelen: intern en extern. Dat heeft gevolgen voor vijf zaken: gebruikersbeheer, access, devices, access governance en data governance.
De feitelijke access komt neer op authenticatie en die moet nu context based en risk aware worden. De impact op devices betreft de wens van device-onafhankelijkheid (anyplace, anywhere, anytime). De gevolgen voor autorisatie omvatten de nuance als iemand geauthenticeerd is wat die persoon dan allemaal wel en niet mag qua toegang tot informatie.
De enorme groei aan informatie die organisaties hebben uit zich niet alleen in opslag, maar ook in applicaties en silo’s. Veel bedrijven hebben bijvoorbeeld nogal wat Sharepoint-sites in huis, welke data staat dan waar? En wie heeft daar toegang toe? De kunst van identity- en access-management is om dat nu niet meer per silo op te lossen, maar vanuit een heldere visie op het geheel. De gehele organisatie en het geheel van business processen inclusief policies.
Leg het dichter bij de business
Het feestje heeft niet alleen IT-genodigden. Om identiteit en toegang op een hoger niveau aan te pakken, moet dat worden gedaan vanuit de waarom-vraag. Waarom heeft de organisatie een bepaalde functionaliteit nodig? Daarmee komt de kwestie dichter bij de business-eigenaar te liggen en dus ook dichter bij het operationele nut.
De waarom-vraag valt te herleiden naar drie partijen die er sturing op hebben. Ten eerste de CIO, die streeft naar meer efficiency. Ten tweede de risk manager of auditor, die de organisatie controleert op compliance aan wet- en regelgeving. Door de crisis is er daar nogal wat meer van gekomen. Ten derde de business-eigenaar, die zijn klanten zo goed en snel mogelijk wil bedienen. Of dat nou werknemers binnen een eigen bedrijfsonderdeel zijn of klanten van de schade-afdeling bij een verzekeraar.
Meespelen op het veranderende speelveld
Cruciaal is dat de business de regie voert en dat IT de business begrijpt. Zodat er geen functionaliteit of projecten worden opgeleverd die niet voldoen aan de behoefte van de organisatie. Het helpt om bij realisatie van functionaliteit zeer regelmatig overleg te hebben waarbij de business-manager kan aangeven of de bedrijfsdoelen nog goed in zicht zijn.
Het is daarbij zaak om eventuele eilanden te verbinden tot een archipel. Het gaat om logica, zin en noodzaak. Veel bedrijven zijn al bezig op deelgebieden om identity- en access-management op te pakken. Een overkoepelende visie is nodig: dat geeft houvast en ook inzichtelijkheid. De essentie is niet veranderd: mensen hebben toegang nodig. Maar het speelveld is wel aan het veranderen.
