Beheren van wie toegang krijgt tot informatie
Plotseling werd 'toegang' tot systemen en data ook voor niet-specialisten een cruciaal IT-thema. De recente massale overstap naar thuiswerken maakt weer eens duidelijk hoe afhankelijk organisaties zijn van IT, bijna hoe organisaties (soms) alleen informatietechnologie zíjn. Toch blijft de hardnekkige neiging bestaan technologie en organisatie geïsoleerd van elkaar te besturen. KPMG kiest voor een tegengestelde benadering.
Technologie creëert ongekende mogelijkheden en maakt organisaties tegelijkertijd kwetsbaar. Verbinding, contact en interactie stimuleren we het liefst maximaal – het is een motor van groei – maar tegelijkertijd willen we beheersen wie we toelaten, wanneer we hen toelaten en waar we hen toegang tot verschaffen. Ongewenste gasten bedreigen de veiligheid en leveren risico’s op, bijvoorbeeld op het gebied van compliance en privacy.
Wat is het belang van Identity en Access Management bij digitale transformatie?
De kwaliteit van Identity en Access Management (IAM) raakt de organisatie dus op vele manieren. IAM is daarom om te beginnen niet een technisch, operationeel vraagstuk, maar een onderwerp voor strategische keuzes, van het grootste belang voor het slagen van de digitale transformatie. In de cloud is IAM immers nog relevanter: de mogelijkheid de cloud vanaf elke locatie te benaderen, betekent een grotere noodzaak de veelheid aan toegangsopties te beheersen. Te vaak echter wordt IAM 'vergeten' en moet de schade achteraf worden hersteld. Tegen hogere kosten dan nodig en met een minder goed resultaat.
Veiligheid en compliance zijn de grootste risico's van een falend – of zelfs ontbrekend – IAM. Met het toenemen van het gebruik, het aantal en de complexiteit van IT-toepassingen worden die risico's alleen maar reëler. IAM richt zich op het mitigeren van die risico's, met een aanpak van onder meer identiteitsbeheer, autorisatiebeheer en toegangsbeheer.
Hieronder vindt u een compleet overzicht van de (negen) onderdelen van IAM volgens KPMG.
Bij IAM gaat het niet alleen om tooling
De technische oplossingen op deze gebieden vormen echter maar de helft van het verhaal, zo blijkt in de praktijk. Vaak genoeg gaat het mis: nieuwe medewerkers kunnen niet aan de slag omdat toegang tot systemen niet geregeld is, uit dienst getreden medewerkers hebben nog toegang, wachtwoorden worden gedeeld, kritieke systemen blijken (onnodig) toegankelijk voor velen, et cetera.
De voornaamste oorzaak van een slecht functionerend IAM is de fragmentarische benadering van technologie, gescheiden van andere kenmerken van de organisatie, zo ervaart KPMG. Wie technische oplossingen implementeert zonder begrip van de organisatie die daarmee aan de slag moet, vraagt om moeilijkheden. KPMG, bij uitstek gespecialiseerd in organisatiekennis, kiest daarom voor de integrale benadering: een IT-oplossing functioneert alleen als die aansluit of aansluiting weet te vinden bij alle andere aspecten van de organisatie. Zonder oog voor die organisatie en zonder grondige kennis daarvan wordt technologie geen oplossing, maar een probleem. Met zijn brede blik helpt KPMG dat te voorkomen.