Om maar meteen met de deur in huis te vallen: "Begin niet zomaar met het regelen van de online bevoegdheden door middel van identity access management (IAM). Beter is het om eerst de strategie voor je digitale transformatie te bepalen. Pas als je ondernemingsdoelstellingen vaststaan en je weet hoe je bedrijfsvoering eruit gaat zien, wordt het tijd voor de vraag wie wat mag."
Dit stelde Mathijs Valk, vice-president Identity Operations bij KPN, onlangs tijdens een webinar over identiteits- en toegangsmanagement. IAM zorgt ervoor dat de juiste mensen of dingen toegang krijgen tot de juiste systemen, applicaties, data en locaties. Valk benaderde dit onderwerp over twee assen: de mens en de business.
Mensgerichte security-aanpak
Hij begon zijn betoog met de constatering dat digitale transformatie over mensen gaat in plaats van techniek. Het menselijk handelen verplaatst zich van de fysieke naar de digitale wereld. Gevolg is dat de security-aanpak vooral mensgericht moet zijn.
De corona-crisis heeft veel bedrijven met de neus op de feiten gedrukt. Voordat de intelligente lock-down begon deed elke onderneming de digitale transformatie in zijn eigen tempo. Dat veranderde toen half maart plotseling werknemers massaal gingen thuiswerken. Inmiddels is het tijd voor een evaluatie. Ondernemers moeten zich afvragen of er voldoende kan gebeuren zonder dat de veiligheid en compliance met voeten worden getreden. Bedrijven willen wendbaar zijn en snel kunnen inspelen op nieuwe situaties, maar mogen tegelijk niet te veel risico's nemen.
Muur rond systemen
Valk: “In de oude situatie bouwde je een muur rond je digitale infrastructuur. Systemen, applicaties en mensen werden zo beschermd. Met de overgang naar de cloud werken moesten echter gaten in deze muur worden geslagen. Je moest zorgen dat applicaties van buiten af toegang kregen tot bedrijfsgegevens. De eigen medewerkers moesten in de cloud gaan werken en kregen steeds meer bevoegdheden om hun werk goed te kunnen doen. Hiermee nam het aantal kwetsbare plekken toe.”
Tegelijk werden de aanvallers slimmer. Dit alles leidde ertoe dat klassieke muren niet meer werken. Zeker bij het werken in de cloud is het belangrijk dat je weet met wie je te maken hebt. Omdat personen zich op afstand bevinden, moet je hun digitale identiteit kunnen vaststellen. Gecontroleerd moet worden of de persoon wel degene is die hij zegt dat hij is. De uitdaging is de digitale identiteiten beheersbaar te houden, terwijl men toch wendbaar blijft.
Managed IAM
Steeds meer bedrijven besteden het beheer van identiteiten en toegangsrechten uit aan gespecialiseerde dienstverleners. KPN Security biedt zo'n Managed IAM Service Platform dat klanten snel inzicht en controle hierover geeft.
Valk noemde als voorbeeld een groot openbaarvervoerbedrijf dat met de vraag worstelde hoe toeleveranciers veilig bij data kunnen komen. Om die kwestie op te lossen heeft KPN eerst naar zichzelf gekeken en vervolgens bepaald wat er nodig is. Doel was niet zo zeer het probleem te fixen maar te bekijken wat IAM voor de business kan betekenen.
Volgens Valk hoort IAM in het hart van het bedrijf te zitten. Niet de techniek moet centraal staan, maar het accent dient te liggen op de vraag hoe IAM het beste waarde kan toevoegen aan een organisatie. Een voorbeeld: als toeleveranciers snel en veilig toegang krijgen tot bepaalde bedrijfsgegevens, wat levert dat je bedrijf dan op?
Trusted advisor
Valk benadrukt dat IAM niet iets is dat in één klap klaar is. “Het is een traject waarin klanten groeien naar volwassenheid. Dit gaat in stapjes.” Alle stakeholders moeten naar zijn mening samenwerken om dit tot een succes te maken. Gewerkt wordt aan een roadmap. KPN Security speelt daarbij de rol van trusted advisor, een facilitator die in staat tussen de IT van de klant en de andere bedrijfsafdelingen, kortweg de business.
Valk: “Onze betrokkenheid gaat ver. Als je alleen maar de software levert en vervolgens opstapt dan beperk je je tot het voorzien in een product in plaats van een oplossing. KPN wil de klant ontzorgen en alle dagelijkse taken rond IAM overnemen. Met de klant moet een dialoog op gang komen.”
IAM integreren in totale IT
Valk's voornaamste boodschap is dat IAM goed moet worden ingepast in het totale IT-landschap. “Die integratie is essentieel, anders haal je er niet de business value uit.” Niet alleen de rechten van de eigen medewerkers moeten worden geregeld, maar de hele keten moet hierbij worden betrokken, dus ook bijvoorbeeld externen en toeleveranciers.
Tijdens het webinar beantwoordden Valk en zijn commerciële productmanager Sander Steenbergen diverse publieksvragen. Volgens Steenbergen kan een goed ingerichte IAM ertoe bijdragen dat bedrijven wendbaarder worden. Tijdens de coronacrisis bleek dat interne en externe medewerkers veel beter kunnen thuiswerken als hun toegangsrechten goed zijn geregeld. Ook als van afdeling of project wordt gewisseld is dit van belang.
Ook mkb kan uitbesteden
Uitbesteding van IAM kan ook voor het mkb geschikt zijn. De dienst is schaalbaar, betaald wordt naar het aantal gebruikers. Ook werd gevraagd hoe machine learning in relatie staat tot IAM. Deze vorm van kunstmatige intelligentie stelt operators die belast zijn met de veiligheid in staat snel te reageren bij patroonafwijkingen. Als bijvoorbeeld een systeembeheerder ineens grote databanken gaat leeghalen kan dat een verdacht teken zijn. Het systeem kan dan automatisch worden afgesloten of de operator kan worden gewaarschuwd. Die kan dan een security analist inschakelen om te kijken wat er aan de hand is.
Verder benadrukte Steenbergen dat IAM de hele organisatie betreft, niet een specifieke applicatieset. Het is een misverstand te denken dat als je Microsoft 365 hebt alle rechten zijn geregeld. Valk: “Vergeten wordt dat Microsoft niet de integratie in het IT-landschap regelt. Bovendien moeten de administrators extra worden beveiligd. Mensen die net iets meer rechten hebben dan gebruikelijk krijgen extra monitoring.” Valk besloot het webinar met de oproep goed na te denken over de digitale strategie. Want die transformatie bepaalt uiteindelijk de IAM die nodig is.