Afgelopen 25 mei 2018 is de Algemene Verordening Gegevensbescherming (kort AVG) van kracht geworden. Bij veel organisaties is dit mede aanleiding geweest om eens kritisch te kijken naar de organisatie, techniek en processen rondom het beheer van identiteiten, toegang en bevoegdheden (in Engels: IAM). Bij veel organisaties is men tot de ontdekking gekomen dat er geen bevredigende antwoorden gegeven kunnen worden op onderstaande vragen rondom het beheer van identiteiten, toegang en bevoegdheden in het kader van de (wettelijke) verplichting voor Informatiebeveiliging (o.b.v. bijv. de ISO27001) en Privacy (AVG).

Antwoorden op onderstaande vragen kunnen niet of niet goed gegeven worden.

  • Welk doel heeft dit account?
  • Wie is eigenaar van dit account?
  • Wat is of wordt gedaan met dit account?
  • Wordt dit account nog wel gebruikt?
  • Waarom heeft dit account juist deze rechten?
  • Welke (bedrijf/technische) processen zijn afhankelijk van dit account?
  • Welke (bedrijf)risico’s zijn geassocieerd met dit account?
  • Welke (compliance) eisen zijn geassocieerd met dit account?

Om wel de bevredigende antwoorden te kunnen geven moeten de problemengebieden drastisch aangepakt worden via de juiste aanpak.

Als IT er mee aan de haal gaat, dan is de eerste stap vaak het vergroten van transparantie in de wijze waarop medewerkers toegang krijgen tot de benodigde systemen, informatie en devices. Soms ook door de complexiteit te verhullen door nog meer techniek toe te passen. Soms ook door het stroomlijnen (o.b.v. scripts en workflow) van in-, door- en uitstroom processen en het (gedwongen) groeperen van rechten in systeemrollen.

Problemen ontstaan vaak bij het (business)uitgangspunt: het is een transparante en niet complexe rol-gebaseerde toegang en het kunnen uitvoeren van (soms verplichte) controleprocessen. IT is geen eigenaar van de bedrijfsprocessen en zal dus (technische) keuzes maken die wellicht haaks staan op de wensen van de business.

Gaandeweg het (IT) project blijkt dat het veel lastiger dan vooraf ingeschat en voordat de organisatie het goed en wel door heeft zijn ze maanden verder in de tijd, zonder concrete resultaten.

Terug naar de tekentafel dus: “Wat was de businesscase vóór de start ook alweer?”

  • Aanbieden van één uniform identificatie en autorisatieproces.
  • Vergroten van effectiviteit en efficiency van de IDU-, en autorisatieprocessen door papierwerk, beheerlast en wachttijden te minimaliseren.
  • Reduceren van complexiteit autorisatiebeheer.
  • Verantwoordelijkheden expliciet maken, zodat de verantwoordelijken ook aanspreekbaar zijn.
  • Compliance en performance meetbaar maken, zodat deze aantoonbaar en toetsbaar worden.
  • Vergroten flexibiliteit door organisatie en techniek te scheiden.
  • Beveiligen van bedrijfsgegevens en -middelen (objecten of assets)

Om dit mogelijk te maken is het nodig dat het IAM-traject geen IT-feestje is of wordt. Om de echte businesscase drivers te achterhalen is het nodig dat de (business) proceseigenaren aan het stuurwiel komen, zij vertegenwoordigen immers de business. IT is slechts een (inhouse) serviceprovider.

SeKuRiGo is met 10 jaar ervaring een betrouwbare partner op het gebied van informatiebeveiliging, identiteits- en toegangsbeheer, risicomanagement en IT-audit. Op deze gebieden adviseren wij onze klanten op het gebied van naleven van wet en regelgeving, risicobeheersing en operationele slagkracht. Daarbij nemen we graag verantwoordelijkheid bij de analyse, het ontwerp, de realisatie en aantoonbaarheid van beheersmaatregelen. Grotere organisaties in verschillende branches in de Nederland behoren tot de klantenkring. SeKuRiGo helpt u bij het maken van strategische en tactische keuzes op het gebied van informatiebeveiliging, identiteits- en toegangsbeheer, risicomanagement en IT-audit.

Mocht u behoefte hebben aan een kritische blik naar uw IAM-project, of extra mankracht, schroom dan niet om contact met ons op te nemen, wij helpen u graag.