Staat uw Identity Management op de tocht?

Een goed uitgedacht identity management beleid is al jaren een ondergeschoven kindje binnen organisaties. De meeste organisaties gaan pas met identity management aan de slag wanneer zij hier omwille van regelgeving of externe audits niet meer omheen kunnen. Dat is dan ook de reden dat andere landen hierop voorlopen ten opzichte van Nederland. Het naleven van compliance en audits is natuurlijk een hele goede aanleiding voor een strategisch identity management beleid, maar door hier de focus op te leggen doet een ander gevaar zich voor.

Technische inrichting Identity Management
Er zijn verschillende mogelijkheden voor het technisch inrichten van een identity management omgeving. Veel organisaties maken mijn inziens een minder logische keuze. Omdat zij zich blind staren op audits en regelgeving, implementeren zij vaak een BI-systeem of datawarehouse-achtige oplossing waarin toegangsrechten van medewerkers worden opgeslagen. Iedere maand haalt deze oplossing dan een CSV bestand met mutaties op bij de verschillende netwerksystemen (bijvoorbeeld HR-systeem, Active Directory). Vervolgens wordt uit deze database een rapport uitgedraaid en aan de hand daarvan worden inconsistenties ten aan aanzien van regelgeving opgeheven.

Vervuiling bronsystemen
Op het eerste gezicht klinkt dit heel logisch. Maar als we kijken naar andere mogelijkheden voor het technisch inrichten van een identity management omgeving, dan zullen organisaties zich realiseren dat deze werkwijze water naar de zee dragen is. Want als het netwerksysteem vervuild is – en dat is bij veel organisaties het geval – dan laat ieder CSV bestand ook ieder keer een vervuiling zien. Daarnaast is de ervaring dat organisaties al snel 1 à 2 FTE nodig hebben voor het managen van de maandelijkse rapportages. Tot slot, betekent een maandelijkse (en niet real-time) update van toegangsrechten dat ontslagen of tijdelijke werknemer nog steeds toegang hebben tot het bedrijfsnetwerk. Door deze aanpak komt het beheren van user accounts dus op de tocht staan.

Ik denk dat organisaties hun auditing proces anders kunnen inrichten, waarmee ook het beheren van user accounts wordt ondersteund. Ik adviseer organisaties om als eerste stap in hun identity management beleid user accounts (automatisch) te provisionen. De logs en rapportages kunnen worden gebruik voor auditing en compliance. Twee vliegen in één klap dus! En zelf meerdere vliegen, want ook workflow management en RBAC kunnen hier eenvoudig aan toegevoegd worden. En dat betekent een completere indentity management omgeving.

Geschreven door:

Tjeerd Seinen

Tjeerd Seinen is Identity Management Expert & co-founder van Tools4ever. Hij beschikt over zowel een technische als commerciële achtergrond en is daardoor in staat om kansen in de markt om te zetten in functionaliteiten voor producten en consultancy diensten.
Terug