Goed change management is cruciaal bij elk IAM-project
Bij een Identity & Access Management-project (IAM) is zelden tot nooit sprake van een greenfield-situatie. Elke organisatie werkt op de een of andere manier al met toegangsbeheer. Zodra er aanleiding is om te veranderen of te vernieuwen, betekent dit dat je als organisatie ingrijpt in een bestaande situatie. Change management dus, waarmee direct duidelijk wordt dat IAM niet alleen gezien moet worden als een IT-project. Eigenlijk liggen op IT-vlak de minste uitdagingen. Tools en oplossingen voor IAM zijn tegenwoordig immers volwassen, werken op basis van configuratie in plaats van op echt ontwikkelaarswerk, zijn gebaseerd op standaarden en er is veel keus.
Uiteraard is het belangrijk om een goede selectie te maken van oplossingen die bij de organisatie passen, maar belangrijk is – zeker in het voortraject – om eerst goed zicht te krijgen op het volgende drieluik: governance/organisatie/compliance, proces en informatie, en technologie. Door deze drie vlakken goed in kaart te brengen, leg je een solide basis voor een succesvolle IAM-implementatie.
Governance/organisatie/compliance
Bij governance/organisatie/compliance gaat het om verantwoordelijkheid, eigenaarschap en in control zijn. Centrale vraag die hier wordt beantwoord, is: ‘wie mag wat?’ Met andere woorden: welke medewerkers hebben toegang tot welke applicaties en data? Bij het beantwoorden van deze vraag is het zaak om het eigenaarschap goed te definiëren. Bij een IAM-implementatie zijn altijd veel stakeholders betrokken. Op het moment dat iedereen eigenaar is van het drieluik governance/organisatie/compliance is niemand eigenaar. Daarom is het absoluut nodig om alle verantwoordelijkheden tot in detail vast te leggen, welke rollen bestaan en welke verantwoordelijkheden en autorisaties daaraan gekoppeld zijn, zodat er geen enkel misverstand mogelijk is. Dat is ook de basis voor compliancy. Je kunt immers aantonen dat alles goed is vastgelegd en voldoet aan regels.
Wat dit punt nog lastig kan maken, is de balans tussen gebruiksgemak en veiligheid. Vanuit organisatieoogpunt zijn veilige data en applicaties cruciaal. Maar dat beperkt een gebruiker in gebruiksgemak, waardoor het risico ontstaat dat medewerkers work-arounds gaan zoeken. Dat betekent dat alle spelregels glashelder moeten zijn en dat de juiste manier ook de makkelijke manier moet zijn. Het gaat uiteindelijk om enablement van elke gebruiker.
Processen en informatie
Onder deze punten regel je als organisatie belangrijke onderwerpen als instroom, doorstroom en uitstroom. Hoe verloopt het proces van autoriseren, welke uitzonderingen zijn bijvoorbeeld mogelijk? Bij deze onderwerpen speelt niet alleen de IT- of security-afdeling een belangrijke rol, maar vaak ook HR. Bij informatie gaat het om de kwaliteit van de data. Een proces kan 100 procent juist zijn, maar als de data die erbij horen, niet correct zijn, heeft zo’n proces geen of - nog erger - een tegengesteld effect.
Technologie
Wanneer de twee bovenstaande issues volledig zijn doorgelicht, kun je als organisatie op basis van productselectie met de juiste requirements een zoektocht starten naar de juiste technologie, die vervolgens geïmplementeerd kan worden. Daarbij is er altijd de kans op weerstand. Zoals al eerder opgemerkt, leidt een IAM-implementatie altijd tot een verandering van bestaande processen. Niet iedereen zal daar even blij mee zijn. Verandering kan bijvoorbeeld betekenen dat de IT-afdeling niet zomaar meer even snel een account aanmaakt of dat medewerkers accounts met elkaar kunnen delen. Daarom is het cruciaal om al bij de start heel goed te kijken naar alle persoonlijke belangen die er zijn. Elke medewerker zal overtuigd moeten zijn van het belang van goed en veilig toegangsbeheer.
Een IAM-project stopt niet als de tool is geïmplementeerd en in gebruik is genomen. IAM vraagt om continue aandacht. Het gaat erom een stabiele omgeving te creëren én die voor de lange termijn te houden. En juist daarom is een goede voorbereiding met oog voor alle aspecten van change management een voorwaarde voor een succesvolle en veilige inzet van IAM.
Jeroen Remie is securityconsultant bij Traxion, aanbieder van Identity Centric Security Services in Nederland en België met ruim 130 hooggekwalificeerde professionals. Traxion is onderdeel van Swiss IT Security Group.
Meer over
Lees ook
Storage-virtualisatie: nieuw wapen in strijd tegen cybercriminelen
Wanneer een DDoS-aanval op de organisatie plaatsvindt of cybercriminelen op een andere manier proberen de business-operatie van een bedrijf of overheidsorganisatie negatief te beïnvloeden, reageren veel IT-afdelingen door tal van security-tools in te zetten. Wie IT-beveiliging echter vooral vanuit oogpunt van business continuity bekijkt, komt al s1
ESET publiceert voorbeelden van scam-mails
Sommige scam-mails zijn bijna hilarisch amateuristisch. Maar andere pogingen zijn soms griezelig 'echt' en nauwelijks te onderscheiden van legitieme mails. Een mooi voorbeeld publiceert ESET op zijn website We Live Security: een mail van een Chinese firma die zich voordoet als een 'domain name registration supplier' die bedoeld is om te checken of1
Biometrie voor enterprise security: zinvol of onzinnig?
Nu steeds meer smartphones voorzien worden van biometrische sensoren, komt ook de vraag op wat dit soort security-maatregelen betekenen voor enterprise-organisaties? Richard Moulds, vice president Strategy bij Thales e-Security, vraagt zich in een artikel op Help Net Security af of biometrie voor zakelijk gebruik zinvol is. Of juist onzinnig? Een interessant punt dat Moulds aanstipt is de vraag of het aantal tokens bij gebruik van fingerprint scanners wel groot genoeg is. Bij gebruik van traditionele hardware tokens kunnen we putten uit een nagenoeg onbeperkt aantal tokens. Maar bij gebruik v1