Een mooi motto uit een mooi verhaal van Alexandre Dumas over politieke intriges, hebzucht en eerzucht. Maar ook over drie (of waren het er vier?) musketiers die een helder doel voor ogen hadden. Motto en verhaal zijn ook van toepassing op Identity & Access Management (IAM).
Over deze blogger
Steven heeft 20 jaar ervaring in Identity & Access Management en programma management. Sinds 2007 geeft hij leiding aan Grabowsky, een full service provider op het gebied van Identity Driven Security en is vanuit die rol ook inhoudelijk betrokken bij het adviseren van klanten op directieniveau. Steven is in 1997 gestart als PKI-consultant bij KPMG. Bij Quote Media Magazines en MarviQ (later XB) is hij uitgegroeid tot een ervaren en technisch inhoudelijke programma manager/consultant met specialisatie in Identity & Access Management en informatiebeveiliging in het algemeen. Ook werkte hij in commerciële functies zoals sales executive Identity & Access Management bij Getronics Pink Roccade.
Binnen IAM hebben we allemaal te maken met onze eigen uitdaging en eigen expertise. Hoe realiseren we veilige en efficiënte toegang voor onze partners en klanten? Hoe zorgen we dat we in control komen over onze bevoegdheden? Hoe controleren we het gebruik van privileged accounts? Hoe stroomlijnen we de instroom-, doorstroom- en uitstroomprocessen? Verschillende afdelingen, met verschillende achtergronden en expertises en vooral ook verschillende doelen… Maar als we het iets abstracter bekijken, streven we allemaal naar hetzelfde doel: veilige en gecontroleerde toegang tot de digitale kroonjuwelen. En alleen samen zijn we in staat succesvol ons doel te bereiken.
Collectief doel
Van oudsher is de inrichting van IAM vaak overgelaten aan IT. Met een focus op de werkplek en een veelal ondersteunende rol van de IT, waarbij het adagium heerst: “IT lost het voor je op”. Zo is een gat ontstaan tussen de strategische doelen van de Business en de huidige inrichting van de IT-Infrastructuur. De toename in compliance-regels zorgt voor een toename in besef van de Business dat ze ook in de aansturing op IT-vlak een toenemende verantwoordelijkheid hebben. Aan IT te zorgen dat ze de Business dusdanig ondersteunen dat deze ook de verantwoordelijkheid kan nemen.
Veelal komen we dan op een ware kunstvorm: hoe zorgen we dat het geen IT-feestje wordt en hoe voorkomen we dat er buitensporig veel maatwerk ontstaat om datgene dat de Business wil te kunnen realiseren? Het is een delicaat spel om goed naar de processen te kijken en deze zoveel als mogelijk met standaardsoftware te ondersteunen. We willen immers een gebruiksvriendelijke, veilige, toekomstvaste en robuuste oplossing. Dit betekent onder andere dat we ook de processen, die soms met beperkingen uit het verleden zijn ontwikkeld, onder de loep mogen nemen. In dit delicate spel spelen ook vaak politieke aspecten een rol. Wie is in de lead? Wie betaalt er met welk budget voor? Wiens probleem zijn we aan het oplossen? De ervaring leert ons dat wanneer we die weg verder bewandelen, het einde zoek raakt. Dus hoe zorgen we dat we over de gevoelens van vandaag heen stappen, op weg naar een doel wat ons allemaal verder brengt? Daarvoor is kennis, begrip en nog veel belangrijker; samenwerking nodig! Vanuit de hoogste laag van het bestuur tot de architect op de werkvloer, samenwerkend naar een robuuste en toekomstvaste inrichting; samen door de modder, samen in de zon.
Wederzijds begrip
Samenwerking ontstaat door goed naar elkaar te luisteren en te begrijpen wat de drijfveren en uitdagingen van de anderen zijn. De komende jaren zal het belang van een goede IAM-omgeving alleen maar toenemen; het ‘nieuwe werken’ is allang niet meer nieuw en informatie verschuift, al dan niet gewenst, steeds meer naar de cloud. Grenzen vervagen en de informatiedichtheid neemt toe.
Ook Gartner stelt dat een goede grip op IAM essentieel is voor het succes van het Internet of Things (IoT). Het IoT brengt namelijk een veelvoud aan devices en services op vele verschillende punten in het ICT-ecosysteem. Dit stelt nieuwe eisen aan waar de digitale kroonjuwelen zijn, wie of wat welke bevoegdheden heeft, waarom ze die hebben en ook wanneer. Ook zal het werkveld van IAM hierdoor worden vergroot. Een toenemend spel tussen de drie musketiers; HR, IT en Security, waarbij de regie door de Business zal moeten worden gevoerd.
Nog een laatste tip, voor alle spelers op dit gebied: think big, act small. Een olifant eet je immers niet in één keer op.
Een vaag verhaal, vertel nu eens wat moeten organisaties concreet veranderen om hun systemen te beveiligen voor onbevoegde toegang tot applicaties en Data?
Beste Willem, allereerst dank voor je reactie. Goed om een dialoog te hebben.
Wat we precies moeten doen hangt af van de vraag wanneer we het goed hebben gedaan. Dat kan bijvoorbeeld zijn dat we aan regelgeving of een norm moeten voldoen, of omdat we het instroom, doorstroom en uitstroom proces willen optimaliseren of omdat we beter grip willen hebben op de toegang van systeembeheerders op kritieke systemen. Niet zomaar een technisch vraagstuk dus.
Bestaat 100% veiligheid? Nee. Het is dus altijd een mix van ‘people, process & technology’ in combinatie met boerenverstand. Uitgangspunt is wat de grootste risico’s zijn en welke maatregelen we moeten treffen om deze risico’s te minimaliseren.
Ik wil het graag concreter maken voor je, maar daarvoor heb ik meer inzicht in de achtergrond van je vraag nodig. Een forum is daarvoor wellicht niet handig dus als je een keer verder wil praten kan je me altijd bellen op 070 31 31 020.
Dank en groet Steven Daniels