Data governance en access governance zijn meestal gescheiden initiatieven. Aangezien ze beiden vanuit de identiteitscontext worden opgelost, is één filosofie de betere benadering. Beide draaien uiteindelijk om de identity bij datatoegang en de beveiliging ervan.
Over deze blogger
Dave Vijzelman heeft een ruime ervaring in het ontwerpen en implementeren van Identity en Access Management (IAM)-oplossingen. Zijn focus ligt vooral op toegang en data governance-strategieën. Daarnaast heeft hij ook een brede kennis van de technische aanpak van Identity en Access management (IAM). In zijn huidige functie als Senior Solution Architect voor Dell Software is Dave verantwoordelijk voor de architectonische benadering van Access en Data Governance-oplossingen. Dave heeft een brede ervaring in een aantal zakelijke en industriële sectoren.
Classificeren van informatie leidt tot de meeste organisaties tot een data governance model. Dit is voor de meeste organisaties een uitdaging. Ze moeten dan definiëren: wat is vertrouwelijk, wat is niet vertrouwelijk, wat is geheim? Op het eerste oog lijkt dat wel duidelijk, maar de praktijk is niet zo simpel. Vandaag delen we informatie met een productiepartner, maar morgen staan we tegenover elkaar, als concurrenten. Dus moet intellectueel eigendom niet in handen vallen van die ander. Er moet niet teveel gedeeld worden. Dat bereik je deels door classificatie van data. Maar het komt voor een groot deel ook neer op hoe mensen met die data om moeten gaan. Dat laatste is dan access governance.
Onwetendheid is hoofdoorzaak
Meestal hebben organisaties wel goed omschreven wat wel en niet mag. Maar hoe moet je dat controleren en hoe moet je dat afdwingen? Daar zit vaak de pijn bij organisaties. Enerzijds gaat het er om dit efficiënt in de processen van je organisatie te gieten. Anderzijds draait het ook om awareness. Mensen weten vaak niet dat ze vertrouwelijke informatie delen. ‘Even iets kopiëren naar een extern webmailaccount.’ De meeste fouten gebeuren dan ook door onwetendheid.
De situatie wordt nog extra complex gemaakt door veranderende omstandigheden. Bepaalde informatie kan op een bepaald moment in tijd veel gevoeliger zijn dan voorheen. Of veel gevoeliger dan later. Bijvoorbeeld bij het moment van een productintroductie, of bij het betreden van een nieuwe markt, of juist na het verlaten van een markt. Het is dus niet statisch; er zit dynamiek in.
Van statische structuur naar context-gedreven aanpak
Door die veranderingen kunnen access governance en data governance niet simpelweg per silo worden aangepakt. Het moet op basis van context: wie heeft toegang tot welke data, en wanneer, plus waarom? Mag bijvoorbeeld iemand bepaalde informatie copy-pasten? De antwoorden op die vragen zijn niet gebijteld in steen. Focus je dus op díe data die voor jouw organisatie van belang is. Leer daarbij omgaan met dynamische verandering.
Cruciaal is de selectie van data. Het beeld bestaat dat veel organisaties niet goed weten hoeveel belangrijke data ze wel niet hebben. Daar tegenover staat de realiteit dat veel data helemaal niet van belang is, blijkt uit statistisch onderzoek van partijen als PwC en Deloitte. Zo is 60 tot 70 procent van de data op internet niet relevant. Daarnaast is een klein deel juist heel belangrijk.
Een olifant opeten
Het verschilt per organisatie hoeveel data en welke data relevant en belangrijk is. Er is geen heilige weg, die voor iedereen te bewandelen is. De eerste stap die een organisatie moet nemen op zijn eigen weg is het aanmaken van een risico-profiel. Waar liggen mijn risico’s, bij welke informatie? Inzicht daarin komt in vier stappen: monitoren, risico’s inschatten, profielen aanmaken, en dan pas daarop acteren. Het monitoren maakt duidelijk wie toegang heeft tot welke data, en waarom.
Maar al te vaak zijn er nog restanten uit het verleden: permissies of een filestructuur van een medewerker die allang niet meer in dienst is. Van wie is bepaalde data, of van wie wordt die data nu? Daarmee breng je data governance en access governance naar de eigenaar van het business-proces. Denk hoe dan ook in stadia. Een olifant eet je ook niet in één keer op.
