“IAM als voorwaarde voor veilig werken”

Steven Daniëls, CEO Grabowsky:

Identity & Access Management (IAM) is een containerbegrip. Wanneer er audits op de agenda staan, wordt erover gesproken binnen de Raad van Bestuur, maar ook de engineer in de operatie is ermee bezig. Iedereen benadert IAM in zijn/haar eigen vocabulaire en het is zelden of nooit bij één partij belegd. Dat maakt IAM tot een bijzondere uitdaging.

Grabowsky – specialist op het gebied van Identity Driven Security – werd in 1986 opgericht door Igor Grabowsky in een tijd dat het zakelijk gebruik van internet begon te groeien. Steven Daniëls hanteert sinds 2017 het roer bij Grabowsky, tien jaar na zijn komst bij het bedrijf. “Geen bedrijf timmert al zo lang aan de IAM-weg als pionier Grabowsky,” benadrukt hij. “Daarom weten wij dat IAM voor iedere organisatie anders is. Of het nu gaat om het voorkomen van reputatieschade, het voldoen aan wet- en regelgeving, het beschermen van de privacy van gebruikers, het verhogen van efficiency of het benutten van nieuwe kansen. Voor ons begint IAM bij het begrijpen wat een klant nu écht drijft.”

 

IAM is geen doel op zich

Vanuit de historie werkte IT aan IAM aanvankelijk voor efficiencywinst. Vanaf 2000 kwam daar met SOx – en alles wat er later aan toezicht en regelgeving bij is gekomen – de compliancy-component bij. Ineens werd de CFO hoofdelijk aansprakelijk voor het autorisatiemanagement. De laatste jaren verschuift de focus naar risk, gedreven door trends als cloud en mobile. Daniëls benadrukt dat IAM geen doel op zich is, maar dat het een oplossing moet bieden voor zorgen die de business heeft. “Het gaat niet alleen om de techniek, maar je wilt maatregelen treffen tegen risico’s. Natuurlijk zit in de kern van die maatregel een stuk techniek, maar het werkt pas als de mensen eromheen meegenomen worden en de processen geoptimaliseerd zijn.”

 

De klantvraag

Het tot in de haarvaten begrijpen van de klantvraag is niet eenvoudig. De meeste organisaties ondervinden het tekort aan goede mensen met IAM-kennis en ervaring. Daniëls: “Nog steeds willen organisaties zelf de kennis ontwikkelen en behouden, maar dat is alleen voor de hele grote bedrijven nog haalbaar. Steeds meer verschuift onze dienstverlening richting managed services en de cloud, waarbij de echte specifieke IAM-kennis niet langer bij de klant ligt. Met business consultancy geven wij organisaties inzicht in hun risico’s en drijfveren. Iedereen onderschrijft dat het om people, process, technology gaat, met nadruk in die volgorde. Alleen zie je dit zelden terug in de praktijk. Toch zijn de mensen en het proces de basis waarop we de technologie moeten vormgeven.”

 

Awareness

Veel organisaties, met name in de zorg en bij de overheid, zijn helaas nog niet optimaal voorbereid op effectief risk management. “Omdat veel organisaties de afgelopen twintig jaar hun processen wilden handhaven, is er veel maatwerk gebouwd”, vertelt Daniëls. “Het resultaat is dat deze in beton gegoten IT niet meer aansluit bij de risico’s en drijfveren van de business van vandaag. Daarom is het belangrijk dat organisaties naar hun processen gaan kijken, naar hun verantwoordelijkheden en naar de kwaliteit van hun data. Dat zijn enorme uitdagingen, maar een voorwaarde om de gang naar de cloud te kunnen maken. Daarom pleit ik vurig voor het versterken van awareness bij mensen. Tijdens workshops hanteren we vaak incidenten uit de eigen praktijk van een organisatie. Dan vallen de ogen uit hun kassen. ‘Gebeurt dit bij ons!?’ Ik ben zeker geen doemdenker, maar laten we de huidige situatie als een nulmeting beschouwen om het vanaf daar beter te gaan doen. Mensen moeten weten hoe ze kunnen bijdragen aan het beschermen van informatie. Gelukkig zien we dat die awareness langzaam maar zeker groeit, met de AVG en diverse incidenten als duwtje in de rug.”

 

Vertrouwen

Grabowsky staat voor ‘Trusted Acces Delivered’. “Organisaties willen online betrouwbaar zijn en juist daarom moet hun IAM kloppen”, benadrukt Daniëls. “Geen enkele organisatie wil in het nieuws komen vanwege een datalek. Het is daarom belangrijk dat iedereen die toegang wil tot een organisatie gebruik maakt van dezelfde voordeur en waar de ‘portier’ bepaalt wie toegang krijgt en tot welke informatie. Die ‘portier’ moet wel goed gebriefd zijn en de mensen herkennen. We hebben het dan over identity assurance, access assurance en activity assurance. En waar de techniek dan draait maakt daarbij niet uit. De stap naar de cloud is voor de meeste organisaties nu een logische. Sommige organisaties houden hun systemen on premise, bijvoorbeeld in de vitale infrastructuur. Andere bedrijven willen wat ze hebben opgebouwd borgen, maar willen onderhoud en ontwikkeling uitbesteden. Die klanten helpen wij met onze managed services.”

 

Familie

Veel organisaties menen dat hun bestaansrecht uitsluitend ligt in een zo hoog mogelijke waarde voor aandeelhouders. Bij Grabowsky gelden andere waarden. Grabowsky is een soort van ‘familie van professionals’ met een focus op klant- en medewerkerstevredenheid. “Als je een lange termijnvisie mag en kan hebben, levert dat zoveel meer op,” aldus Daniëls. Groei is daarbij geen doel op zich. Wij streven naar tevreden medewerkers, want daar is de klant het meest bij gebaat.”

www.grabowsky.com

 

 

Gerelateerde berichten...