Implementatie Identity & Access Management: een hoofdpijn dossier! Deel 2 over IAM - VP&P
Search Icon
×

Implementatie Identity & Access Management: een hoofdpijn dossier!

Implementatie Identity & Access Management: een hoofdpijn dossier!


Banken, verzekeraars, overheid, gezondheidszorg en IT-sector. In veel sectoren zijn voorbeelden te vinden van datamisbruik. Sommige situaties halen het nieuws, maar dat is slechts het topje van de ijsberg. Met een goede IAM-implementatie kan veel (potentieel) misbruik worden voorkomen of snel worden gedetecteerd. Helaas wordt het inrichten van IAM vaak onderschat. Te weinig management prioriteit, te weinig risico bewustzijn, een complex systemenlandschap en veel veranderingen zijn bekende valkuilen voor een goed IAM. Dit artikel gaat in op de implementatie knelpunten voor een goed Access Management. Het volgende artikel gaat over Identity Management.

Misbruik van data en systemen vaak gevolg van slecht IAM


Een medewerker die ongemerkt geld naar een eigen rekening overboekt. Medewerkers die in bedrijfssystemen op zoek gaan naar informatie over Bekende Nederlanders. Een IT-medewerker die een klantsysteem platlegt, terwijl hij dacht een testsysteem aan te passen. Medewerkers die na hun vertrek nog steeds toegang hebben tot de systemen en gegevens van hun oude afdeling. Typische voorbeelden van niet-functionerende IAM-processen bij organisaties. Terwijl de opdracht zo simpel lijkt: “Zorg ervoor dat elke medewerker de juiste toegangsrechten tot systemen en data heeft”. Het klinkt eenvoudig, maar dat is het in de praktijk niet. De implementatie van een goed functionerend Access Management kent vier knelpunten:

1.       Te weinig bestuurlijke en operationele aandacht

2.       Complex systemenlandschap

3.       Aantoonbaarheid compliance

4.       Organisatorische veranderingen.

1. Te weinig bestuurlijke en operationele aandacht


Organisaties zien een goede IAM-inrichting vaak als complex en/of als een administratief issue. Andere onderwerpen krijgen meer prioriteit en budget. Het vinden van een eigenaar op executive niveau is niet eenvoudig. Vaak wordt dit belegd binnen IT (Infrastructuur) of Risk/Security. Helaas beschouwen andere afdelingen dat als een vrijbrief voor gemakzuchtig gedrag. Medewerkers kennen elkaar of zichzelf soms onderhands toegangsrechten toe. Managers keuren personele en operationele wijzigingen ‘blind’ goed, zonder na te denken over mogelijke incorrecte toegangsrechten. Zonder bestuurlijk eigenaarschap en voldoende risicobewustzijn in de dagelijkse operatie is IAM gedoemd te mislukken.

2. Complex systemenlandschap


De financiële sector en de overheid zijn typische sectoren die worstelen met een complex systemenlandschap met een diversiteit aan moderne en oudere systemen, waarvan een toenemend deel in de Cloud zit. In zo’n systemenlandschap zijn de toegangsrechten op verschillende manieren geïmplementeerd. Hierdoor vormen HR-systemen, operationele systemen en IAM-tools geen misbruik-proof geheel: te veel handmatige activiteiten, te veel verschillende IAM processen, te weinig maatregelen om misbruik te voorkomen en te weinig mogelijkheden om misbruik te detecteren.

Een bijzonder aandachtspunt binnen het systemenlandschap zijn de zogenaamde ‘privileged accounts’. Hiermee krijgt de gebruiker vergaande rechten op risicovolle systemen en/of data, zoals databases. Het belang om het aantal gebruikers met die rechten (‘superusers’) te beperken, is evident. Ook moet het daadwerkelijk gebruik van die rechten via digitale kluizen en uitgebreide monitoring strak worden gemanaged.

3. Aantoonbaarheid compliance


In de toets op integere bedrijfsvoering door accountants en toezichthouders is IAM-compliance een vast element. Maar, het aantonen van de compliance is niet zo simpel. Kan worden aangetoond dat er niets buiten het voorgeschreven IAM-proces plaatsvindt? Leidt een personele mutatie altijd tot aanpassing van de toegangsrechten? Worden checks uitgevoerd op ongewenste combinaties van toegangsrechten? Weten managers welke toegangsrechten hun medewerkers hebben? In welke mate worden IAM-risico’s met preventieve checks afgedekt? Wordt potentieel misbruik in de dagelijkse operatie gemonitord? Is bij uitbesteding van werk aan derden de compliance goed vastgelegd in afspraken en wordt die compliance periodiek gecontroleerd? In veel organisaties vergt de aantoonbaarheid elke keer een forse dosis handmatig werk, omdat de IAM-compliance niet is geborgd in de operationele processen. Het risico op serieuze tekortkomingen is daardoor onnodig groot.

4. Organisatorische veranderingen

Door digitalisering en toenemende concurrentie passen bedrijven hun organisatie regelmatig aan. Centralisatie van bedrijfsprocessen, integratie van bedrijfsonderdelen en samenwerking met derden komen in steeds meer sectoren voor. De nieuwe afdelingen, functies en processen vragen in de transitie-aanpak om aandacht voor IAM, om de toegangsrechten van medewerkers weer op de juiste manier in te richten voor de nieuwe organisatie.

Het verschuiven van IT-oplossingen naar de Cloud en het uitbesteden van bedrijfsprocessen naar derde partijen maakt de IAM-uitdaging nog groter. Wie mag welke activiteiten uitvoeren en welke toegangsrechten zijn daarvoor nodig? Hebben de outsourcing partner en eventuele onderaannemers toegang tot klant- of financiële data? Kan de IAM-compliance in de hele procesketen worden aangetoond, inclusief de uitbestede delen? Het werken met bedrijven in andere jurisdicties kan hierbij nog een extra complicatie zijn.

Het werken met Agile teams heeft ook consequenties voor IAM. In traditionele organisatievormen hadden medewerkers veelal herkenbaar gescheiden activiteiten. Deze functiescheiding was één van de pijlers voor het inrichten van IAM. In de Agile teams vormen business, IT en Risk één team. Dit team heeft de verantwoordelijkheid voor zowel de dagelijkse operatie als het implementeren van veranderingen. Een Agile team is normaliter klein, tussen de zeven en tien medewerkers. In zo’n klein team moet iedereen meerdere activiteiten kunnen uitvoeren, met het risico dat de combinatie van toegangsrechten de medewerker ongewenste kansen op misbruik en fraude biedt. Dit vraagt om extra aandacht voor IAM tijdens het implementeren van de Agile werkwijze.

Niet alleen goed Access Management nodig, maar ook Identity Management

In dit artikel lag de focus op de uitdagingen op het gebied van Access Management: ‘zorgen dat een medewerker de juiste toegangsrechten heeft’. Maar weten we eigenlijk wel zeker wie die medewerker is? Als je alleen op je fysieke werkplek bij bedrijfssystemen en -data kan, vormt de fysieke toegang tot een gebouw een deel van de IAM-bescherming. Bij veel organisaties kun je ook buiten de locatie van het bedrijf werken. Dan wordt een smartcard of een ander ‘token’ gebruikt bij het aanmelden op een bedrijfssysteem. Maar die beveiliging brengt extra kosten met zich mee en wordt als gebruikersonvriendelijk ervaren. Dus willen we onszelf met een mobiele telefoon, vingerafdrukken of irisscans kunnen identificeren. De technologie lijkt volwassen genoeg. Maar is het ook betrouwbaar genoeg om daarmee de identiteit zonder twijfel te kunnen vaststellen? Hier gaan we in het volgende artikel op in.
Douwe

Douwe van der Meer

Lees meer over Douwe

Volg ons op LinkedIn, regelmatig posten wij updates over onze visie op de sector en over bureauontwikkelingen.