Wanneer het onderwerp Identity & Access management (IAM) op de agenda van een organisatie staat, stelt het management veelal de vraag: ‘Wat is de impact van IAM op de business?’. In veel gevallen is de beleving dat IAM een onderwerp is dat de IT-afdeling betreft en niet interessant is voor de business.
Het tegendeel is waar. Moderne organisaties bestempelen data als het nieuwe goud. Om waarde toe te voegen aan de in de organisatie beschikbare data, wordt regelmatig gebruik gemaakt van openbaar en niet-openbaar beschikbare databronnen. Bij het delen van niet-openbaar beschikbare data stellen data-eigenaren eisen aan de implementatie van informatiebeveiliging.
IAM speelt hierbij een cruciale rol. Wanneer data gedeeld wordt tussen organisaties, is het van belang om te weten welke gebruiker tot welke gegevens toegang heeft en ook op welk moment en met welk apparaat de toegang is verkregen.
IAM omvat het beheer van de digitale identiteit, waarbij de identiteit gekoppeld is aan een natuurlijk persoon of apparaat. De onderstaande afbeelding toont de onderwerpen die aan IAM gerelateerd zijn.
IAM bestaat hoofdzakelijk uit beleid, processen en procedures. De techniek omvat oplossingen waarmee het IAM-beleid wordt ondersteund en om de onderwerpen in het bovenstaande schema te realiseren. Voor de business is, naast het mede opstellen en vaststellen van een IAM-beleid met bijbehorende processen, procedures en controles, een belangrijke rol weggelegd als data-eigenaar.
De data-eigenaar is verantwoordelijk voor onder meer de toegang tot de data. Het gevolg hiervan is dat de data-eigenaar de toegangsrollen definieert en verantwoordelijk is voor de toekenning van het lidmaatschap (de ‘rechten’) van een toegangsrol.
Op het moment dat IAM onvoldoende aandacht krijgt, brengt dit aanzienlijke risico’s met zich mee op het gebied van informatiebeveiliging. Wanneer IAM echter goed functioneert binnen de organisatie wordt een grote stap voorwaarts gezet op de volgende gebieden:
- Verlagen van het risico op cybersecurity gebied, wordt onder meer gerealiseerd door encryptie van IAM gerelateerde data en bescherming van gebruikers credentials;
- Centraal inzicht op gebied van toegangsbeveiliging, wordt onder meer gerealiseerd door centraal toegang toe te wijzen aan of in te trekken van de gebruiker;
- Verbeteren gebruikerservaring, wordt gerealiseerd door een eenduidig beleid, eenduidige processen/procedures, single sign-on en door self service voor gebruikersaccount gerelateerde zaken. Doorlooptijden voor realisatie van een gebruikersaccount en toegang tot data worden (sterk) gereduceerd;
- Verlagen van IT kosten, wordt gerealiseerd door het standaardiseren van beleid, processen/procedures en techniek. Door het automatiseren van processen worden bijvoorbeeld onnodige licentiekosten voorkomen;
- Voldoen aan wet- en regelgeving, de eisen op het gebied van IAM staan beschreven in de Baseline Informatiebeveiliging Overheid (BIO) thema Toegangsbeveiliging en de Algemene Verordening Gegevensbescherming (AVG).
De in het begin van dit artikel gestelde vraag: “Wat is de impact van IAM op de business?” kan als volgt worden beantwoord: voor een datagedreven organisatie is het een vereiste dat IAM, als onderdeel van informatiebeveiliging, is geïmplementeerd op basis van een vastgesteld beleid met de daarbij behorende processen, procedures en controles.
Het niet voldoen aan deze IAM-implementatie kan tot gevolg hebben dat niet-openbaar beschikbare databronnen niet toegankelijk zijn voor de organisatie en/of dat interne data onbedoeld toegankelijk is. Dit kan uiteindelijk grote impact hebben op de business. Naast het mede opstellen en vaststellen van IAM-beleid met de bijbehorende processen, procedures en controles, vervult de business een belangrijke rol als data-eigenaar.
