Bestuurders houden zich liever niet bezig met Identity Management, dus pakt de CEO het anders aan

André Koot

André Koot

Lead Security Consultant

September 30, 2019 at 09:36

We weten allemaal dat data inherent is aan macht. Toch denken de meeste mensen dat het uitsluitend de IT-afdeling is die zich bekommert over de persoonsgegevens van een bedrijf. De waarheid is anders: hedendaags Identity Management is niet zozeer een kwestie van IT, maar heeft alles te maken met goede governance.

Organisaties beheren tegenwoordig enorme hoeveelheden persoonsgegevens. Deze substantiële groei in data vraagt om systemen die dit kunnen verwerken – of het nu gaat om gegevens van medewerkers, partners, leveranciers of klanten.

“Systemen? Dat klinkt als iets voor de IT-afdeling!” We hebben de IT-afdeling inderdaad nodig om systemen te onderhouden en technische problemen op te lossen, maar de oplossing voor passend Identity Management ligt niet in het datacenter.

Traumatische ervaringen veranderen de kijk op de zaak

Ik hoorde van een bedrijf dat een paar jaar geleden een nieuwe CEO aanstelde. Haar voormalige werkgever was ooit het slachtoffer geworden van een cyberaanval. In haar nieuwe functie stelt ze tijdens elke bestuursvergadering dezelfde vraag: “Wat is er gaande op het gebied van Identity & Access Management?”.  Zo blijft het bestuur steeds op de hoogte van de gang van zaken en van eventuele problemen.

Volgens Gartner maakt het niet uit wie binnen een organisatie verantwoordelijk is voor Identity Management, als deze persoon maar deel uitmaakt van de leiderschapskring. Het is een directielid die aan de media mag uitleggen hoe het kan dat een medewerker met vertrouwelijke bedrijfsgegevens kon sjoemelen of waarom een datalek zoveel schade kon aanrichten. Het is altijd de baas die wordt geïnterviewd, niet de IT-medewerker.

Het onderwerp Identity Management is voor directieleden nog altijd een beetje vaag en onaantrekkelijk. Gelukkig is de aanpak van identiteits- en toegangsbeheer (of IAM, voor Identity and Access Management) eenvoudiger dan het soms lijkt. Een aantal klanten van Nixu heeft een goede manier gevonden om digitale identiteiten te beheren.

Een kant-en-klare IAM-oplossing, een waargebeurd verhaal

Een van onze klanten beheert 15.000 records met persoonsgegevens en is van plan de digitale dienstverlening verder uit te breiden. Het bestuur voert overleg over hoe ze identiteiten en toegang in de groeiende organisatie kunnen managen. De CEO is ervan overtuigd dat er één persoon moet worden aangewezen voor alles wat met IAM te maken heeft.

 

nixu-IAM

“Vrijwilligers?” vraagt de CEO tijdens een overleg, waarna het onmiddellijk stil wordt in de vergaderzaal. Iedereen heeft het druk en niemand is bijzonder enthousiast over IAM. “Oké, geen probleem!”, zegt de CEO, “Dan nemen we gewoon de eerste op alfabetische volgorde.”

En zo krijgt gedurende het eerste jaar een op alfabetische volgorde gekozen bestuurslid verantwoordelijkheid voor IAM. In het jaar daarna neemt nummer twee het over, enzovoort. De betreffende bestuurder hoeft niet per se kennis te hebben van alle IAM-details. Hij of zij draagt de eindverantwoordelijkheid en garandeert dat IAM over voldoende resources en capaciteiten kan beschikken om te kunnen floreren.

De belangrijkste factor voor goed bestuur, leiderschap en cyberveiligheid

Goed bestuur op het gebied van IAM betekent dat de organisatie weet welke typen toegangsrechten worden toegekend en aan wie, alsook waar een specifiek accounttype voor kan worden gebruikt. De digitale identiteitslevenscyclus omvat verschillende rechten, bijvoorbeeld op momenten dat een klantrelatie, dienstverband of partnerschap wordt beëindigd.  Er moet duidelijkheid zijn over wat er gebeurt wanneer rollen veranderen, wie toegang verleent, waar toegang toe wordt verkregen en welke toegangsrechten worden ingetrokken. Als dit allemaal soepel verloopt, merkt niemand er iets van.

Routines en duidelijke verantwoordelijkheden - dat is waar het bij goed bestuur, leiderschap en cyberveiligheid om draait. Klinkt eigenlijk heel simpel, nietwaar?

Heeft uw bedrijf het digitaal identiteitsbeheer op orde? Doe hier de test: nixu.com/nl/DI