Waarom heb je een IAM-oplossing nodig?
De vraag naar Identity & Access Management (IAM) oplossingen is de laatste jaren sterk toegenomen. Sterker nog, het einde van deze snelle groei lijkt nog niet in zicht. Onderzoeksbureau Marketsandmarkets verwacht dat de IAM-markt tussen 2022 en 2027 bijna verdubbeld tot 25,6 miljard dollar. Een groot deel van deze investeringen in IAM-oplossingen zullen volgens recent onderzoek van Forrester gedaan worden in cloud gebaseerde IAM-oplossingen. Ruim 80 procent van de IT-beslissers heeft al cloud gebaseerde Identity & Access Management oplossingen geadopteerd, of is van plan om dit in de komende twee jaar te doen. Maar is de cloud hiermee dan de grote drijfveer voor de groei van de IAM industrie of spelen er andere katalysatoren mee? En waarom zou jouw organisatie ook een Identity & Access Management strategie moeten hebben? In deze blog gaan we in op de belangrijkste redenen waarom een organisatie een IAM-oplossing implementeert.
In dit artikel
Identity & Access Management
Tools4ever is inmiddels ruim 20 jaar een belangrijke speler binnen de Identity & Access Management markt. En in die periode hebben wij een verschuiving gezien in de reden dat klanten een IAM-oplossing implementeren. Voordat we hier op in gaan is het echter belangrijk om te definiëren wat een IAM-oplossing is en doet:
Identity & Access Management omvat processen, beleidsmaatregelen, en systemen die de digitale identiteiten van gebruikers op een veilige en gestroomlijnde wijze beheren.
Het is hiermee een verzamelbegrip voor een verscheidenheid aan technologieën zoals ‘User Provisioning’, ‘Service Automation’, en ‘Access Management’. Die elk ook weer opgebouwd zijn uit zaken als ‘identity lifecycle management’, ‘workflow management’, ‘single sign-on’ etc. Samengevat komt het er echter op neer dat Identity & Access Management een drietal concepten omvat om er zorg voor te dragen dat de juiste gebruikers, op het juiste moment, de juiste toegang, tot de juiste applicaties hebben: identificatie, authenticatie, en autorisatie. Wanneer gebruikers toegang willen tot systemen of data moeten zij zichzelf eerst identificeren met de bij hun account behorende gebruikersnaam. Als hun identiteit is vastgesteld via het geldende authenticatieproces, zoals een wachtwoord of token, krijgen gebruikers wanneer zij over de juiste autorisaties beschikking toegang tot de informatie die ze nodig hebben.
Waarom een IAM-oplossing?
In de definitie van IAM zien we reeds twee belangrijke containerbegrippen: veilig en gestroomlijnd. Traditioneel gezien kreeg met name de laatste de meeste aandacht. Gestroomlijnd omvat efficiëntie en kostenreducties. De laatste jaren is onder druk van steeds strenger wordende wet- en regelgeving echter juist compliancy en beveiliging de boventoon gaan voeren. Hieronder zullen we in meer detail op deze drijfveren inzoomen en een aantal veelvoorkomende uitdagingen toelichten.
Efficiëntie en kostenreductie
Organisaties maken gebruik van een grote hoeveelheid heterogene applicaties. Ze draaien zowel on-premise als in de cloud en gebruiken elk hun eigen standaarden en protocollen. Vooral de grote toename van cloudapplicaties maakt dat het voor IT-afdelingen steeds lastiger wordt om applicaties met elkaar te integreren en hierin organisatiebrede beveiligingsmaatregelen af te dwingen. Vrijwel elk van deze applicaties heeft immers zijn eigen gebruikersdatabase wat leidt tot een groot aantal geïsoleerde silo’s van identiteiten. Het beheer van al deze accounts en hun rechten leidt tot veel foutgevoelig en handmatig werk aan de kant van IT-afdelingen. Voor de organisatie is het effect daarnaast zichtbaar in de vorm van slechte gebruikerservaringen en verminderde productiviteit.
Handmatig mutatiebeheer
Wanneer er een nieuwe medewerker binnenkomt heeft diegene accounts nodig in verschillende applicaties en systemen. Ook moet de medewerker rechten in deze systemen krijgen om zijn of haar functie te kunnen uitvoeren. Maar daar stopt het niet. De medewerker krijgt in de loop der tijd wellicht een andere functie waarbij een verhoging van rechten nodig is of wellicht een geheel andere set aan autorisaties. Maar welke rechten moet hij behouden en welke moeten geplust of nog belangrijker: juist ontnomen worden. De medewerker gaat trouwen of scheiden waardoor zijn of haar naam veranderd en dit in zijn gebruikersprofielen moet worden aangepast. Er wordt een afdelingsoverstijgend project gestart waarvoor tijdelijk toegang nodig is tot de folder van de financiële administratie. Deze hoort alleen kort daarna wel weer ingetrokken te worden. En uiteindelijk gaat de medewerker een keer vrijwillig of gedwongen uit dienst waardoor zijn toegang ontnomen en zijn accounts opgeruimd moeten worden.
Het is zomaar een greep uit de vele mutaties die zich kunnen voordoen voor een gebruiker. Het is belangrijk dat dit correct, maar vooral ook tijdig gebeurd. Met de vele schijven en informatiestromen die hier tussen zitten: denk aan de manager die een sollicitant aanneemt, dit moet doorgeven aan een HR-medewerker die deze moet opvoeren in het HRM-systeem, hiervan de ICT-afdeling op de hoogte moet stellen om vervolgens de juiste IT middelen ter beschikking moet stellen, is het erg moeilijk om een handmatig maar toch efficiënt en effectief proces hiervoor te gebruiken.
Verminderde gebruikerservaring en productiviteit
Voor medewerkers resulteert handmatig mutatiebeheer daarbij al snel in een slechte gebruikerservaring. Zeker in deze tijd waarin organisaties springen om nieuwe medewerkers wil je dat zij een soepel mogelijke onboarding ervaren en vanaf dag 1 productief kunnen zijn. Wanneer medewerkers lang moeten wachten op toegang tot de informatie om hun werk te kunnen doen of wanneer zij de verschillende inloggegevens van tientallen applicaties dienen te onthouden leidt dit echter juist tot ergernis en een verminderde productiviteit. Deze balans tussen enerzijds een efficiënt werkende IT-afdeling en een goede gebruikerservaring voor medewerkers en anderzijds het hanteren van een hoog niveau qua beveiliging en controle, is erg lastig wanneer er een handmatig gebruikers- en autorisatieproces wordt gehanteerd.
Veel helpdesk tickets
Volgens onderzoek van Gartner zijn maar liefst 30 tot 50 procent van de IT helpdesktickets gerelateerd aan wachtwoord resets en account heractiveringen. Dit betekent dat servicedesk medewerkers een enorme hoeveelheid van hun tijd kwijt zijn aan deze relatief simpele repeterende handeling die toch al gauw 40 euro per ticket kost. En gedurende de tijd dat een medewerker wacht op herstel van zijn wachtwoord of account is ook hij of zij niet productief. Dit levert jaarlijks al snel een grote kostenpost op voor zowel ICT als de gehele organisatie. De medewerkers kan je het zonder IAM-systeem echter moeilijk kwalijk nemen. Wie lukt het immers wel om tientallen verschillende combinaties van gebruikersnamen en wachtwoorden van minimaal 8 tekens bestaande uit hoofdletters, kleine letters, cijfers en speciale tekens te onthouden die bovendien regelmatig gewijzigd moeten worden en dat dan ook nog eens vanaf verschillende apparaten?
Een andere veelvoorkomende reden om een ticket in te schieten bij de IT-helpdesk zijn problemen met autorisaties. Iemand heeft geen toegang tot een bepaalde applicatie. Of heeft wel toegang tot, maar niet voldoende permissies binnen de applicatie. Iemand gaat een project leiden en heeft daar een netwerkfolder voor nodig. Zulke aanvragen komen 9 van de 10 keer binnen bij de helpdesk. Zij zijn immers degenen die dit uitvoeren weten medewerkers. Maar hoe weet de helpdesk of een verzoek wel uitgevoerd mag worden? En als iemand belt hoe weten zij dan of degene aan de telefoon überhaupt echt die persoon is? Het gevolg: de helpdeskmedewerker moet de leidinggevende gaan bellen of mailen om dit te controleren. Moet wachten tot er akkoord is. Dit weer registreren in een ITSM-oplossing. Om dan eindelijk de medewerker van de juiste rechten te kunnen voorzien. Een omslachtig en tijdrovend proces met veel risico’s op fouten.
Hoge softwarelicentie kosten
Gemiddeld wordt ongeveer een derde van het IT-budget uitgegeven aan on-premise en SaaS softwarelicenties. Vooral gespecialiseerde applicaties als Microsoft Visio en Adobe Creative Suite zijn niet goedkoop. Het is erg gebruikelijk om de licenties voor dergelijke softwarepakketten per gebruiker af te rekenen. Onderzoek laat echter zien dat er jaarlijks miljarden worden weggegooid aan ongebruikte licenties. Het is niet heel moeilijk om de rekensom te maken welke kostenreductie je kan behalen als er niet meer licenties worden uitgedeeld dan nodig. Ook wanneer software slechts sporadisch gebruikt wordt kan een IAM-oplossing hierin ondersteunen. Deze kan tijdelijke toegang aan gebruikers ook weer automatisch ontnemen.
Compliancy eisen wet- en regelgeving
De laatste jaren is er steeds strengere wet- en regelgeving doorgevoerd die organisaties verantwoordelijk maakt voor het correct en veilig beheren van de toegang tot klant- en medewerkergegevens. Met de Algemene Verordening Gegevensbescherming (AVG) als meest bekende privacy wetgeving. Organisaties moeten tegenwoordig duidelijke procedures hebben voor wie toegang heeft tot welke informatie en deze wijze waarop deze informatie is beveiligd. Iets waar auditors op hun beurt streng op toezien, en ook de Autoriteit Persoonsgegevens (AP).
Accumulatie van rechten en conflicterende permissies
Op het vlak van autorisaties gaat er vaak een hoop mis bij organisaties. Het toekennen van autorisaties is meestal niet het grootste probleem. Gebruikers trekken immers wel aan de bel als ze iets missen. Omgekeerd ligt dit heel anders. Een gebruiker zal niet snel uit zichzelf aangeven dat ze teveel toegang hebben en deze teruggeven. Met als gevolg dat eenmaal toegekende rechten veelal nooit meer worden ingetrokken. Ze hebben tijdelijk Visio nodig voor een project, sluiten zich voor een jaartje aan bij de OR, veranderen van functie of afdeling, etc. Deze accumulatie ofwel opeenstapeling van rechten kan echter nog schrikwekkendere vormen aannemen. Wat te denken van de zogenaamde conflicterende, of ook wel toxic, permissies. Een tekenend voorbeeld is een medewerker die zowel facturen kan goedkeuren als betalen.
Gebruikers kunnen over de tijd heen een hoop rechten verzamelen waar zij eigenlijk geen ‘recht’ meer op hebben, maar waar niemand meer naar omkijkt. Ook managers niet, want die vinden het veel belangrijker dat iemand zijn werk kan doen in plaats van dat deze misschien bij een folder met gevoelige data kan. Daarnaast is het ook maar zeer de vraag of een manager hier weet van kan hebben.
Copy user in plaats van least privilage
Als je als organisatie dan ook nog eens een ‘copy user’ beleid hanteert beland je al snel in een beveiligingsnachtmerrie. Informatiebeveiligingsmanagementsystemen als de ISO 27001 en 27002, Baseline Informatiebeveiliging Overheid (BIO) en NEN 7510 hameren daarom op het least privilege principe. Gebruikers moeten toegang hebben tot de applicaties en informatie die essentieel zijn voor hun werk, maar niet meer dan dat. IT-afdelingen moeten op hun beurt kunnen aantonen dat dit ook daadwerkelijk het geval is. Een handmatig proces kan dit nauwelijks bijbenen. Laat staan dat je hier op kan rapporteren en terug kan halen hoe iemand een recht heeft verkregen. Allemaal vraagstukken waarvoor Identity & Access Management oplossingen biedt.
Bescherming tegen datalekken
Vandaag de dag lees je in het nieuws bijna dagelijks wel wat over grootschalige hacks, ransomware-aanvallen en datalekken. Het moge duidelijk zijn dat cybercriminaliteit floreert. Cybercriminelen worden steeds professioneler en ook steeds beter in het plaatsen van grootschalige aanvallen om gevoelige bedrijfsdata en persoonsgegevens te bemachtigen. Een datalek brengt hoge kosten met zich mee. Het kan enerzijds de bedrijfsvoering volledig verstoren, zie bijvoorbeeld de recente ransomware-aanval op de Mediamarkt. Maar naast deze directe kosten deelt de Autoriteit Persoonsgegevens tegenwoordig ook hoge boetes uit. Zij straffen organisaties die hun beveiliging niet op orde hebben of verzaken om tijdig melding te doen hard af. En dan hebben we nog niet gesproken over de mogelijke reputatieschade die dit met zich meebrengt. Het is voor organisaties dan ook van cruciaal belang om maatregelen te nemen om datalekken te voorkomen.
Menselijke fouten
Waar mensen werken worden echter fouten gemaakt. Werknemers klikken ondanks de jaarlijkse cybersecurity trainingen toch op een malafide link. Een IT’er kopieert voor een nieuwe medewerker per ongeluk ook de OR-rechten mee van een collega in een vergelijkbare functie. Of hij of zij vergeet om een account van een ontslagen medewerker dicht te zetten. Een IAM-oplossing kan de risico’s en impact van verspreiding van gecompromitteerde accounts voorkomen door het toepassen van sterke authenticatie, het minimaliseren van rechten en het tijdig afsluiten van (orphan) accounts. En het voorkomt ongeoorloofde toegang tot gevoelige bedrijfsdata door zowel in- als outsiders.
Dus waarom heb je een IAM-oplossing nodig?
Hierboven hebben we veel voorkomende uitdagingen beschreven wanneer je als organisatie nog niet gebruik maakt van een (goed ingerichte) IAM-oplossing. Herken jij een of meerdere van deze uitdagingen? Dan is het goed om na te denken over een IAM-strategie voor jouw organisatie. In de volgende blog gaan we dieper in op hoe User Provisoning-technologie binnen een Identity & Access Management oplossing deze problemen precies kan tackelen.
Wil je meer weten over de mogelijkheden van de IAM-oplossingen van Tools4ever? Download dan onze whitepaper Identity as a Service of neem contact op voor een gratis demo!