Håndtering af digitale identiteter

Heikki Numminen

Lead Consultant, Digital Identity

October 14, 2019 at 10:52

Vi ved alle, at data er magt. Alligevel tror de fleste mennesker, at det er it-systemet, som skal håndtere virksomhedens personoplysninger. Sandheden er, at vore dages digitale identitetsstyring handler meget lidt om it og rigtig meget om god ledelse.

Nu om dage skal organisationer håndtere store mængder af personoplysninger. Når mængden af dataregistreringer vokser, har du brug for et system til at håndtere dem, uanset om det er data om medarbejdere, partnere, leverandører eller kunder.

Var der nogen, der sagde ’systemer’? Det lyder som en opgave for teknologiafdelingen! Rigtigt, vi har brug for it til at vedligeholde systemer og håndtere alle de tekniske problemer, men nøglen til korrekt identitetsstyring skal findes et andet sted end i datacenteret.

Kritiske hændelser sætter tingene i perspektiv
Jeg har f.eks. hørt om en virksomhed, der for nogle år siden ansatte en ny administrerende direktør. Hendes tidligere arbejdsgiver havde været offer for et cyberangreb. I den nye virksomhed stiller hun følgende spørgsmål på alle ledelsesmøder: Hvad sker der på området for identitets- og adgangsstyring? Hvis der er anledning til bekymring, er ledelsen omgående opmærksom på det.

Ifølge Gartner er det ligegyldigt, hvem der ejer den digitale identitet, også kaldet IAM, i organisationerne, så længe ejeren er en del af ledergruppen. Det er et medlem af den øverste ledelse, som skal forklare for medierne, hvorfor en medarbejder var i stand til at manipulere med fortrolige virksomhedsoplysninger, eller hvorfor et databrud forvoldte så meget skade. Det er altid chefen, der interviewes, ikke it-supporten eller teknologileverandøren.

Emnet digitale identiteter opfattes stadig som ret vagt og usexet for den øverste ledelse. Heldigvis er varetagelsen af IAM ikke så svært, som det kan se ud til.

En IAM-løsning ud af boksen
En af vores kunder håndterede 15.000 registreringer af personoplysninger og planlagde at udvide deres digitale tjenester yderligere. Virksomhedens ledelse drøftede, hvordan de skulle styre identitet og adgang i deres voksende organisation. Den administrerende direktør var overbevist om, at de havde behov for en person med ansvar for varetagelse af IAM-problemer.

“Er der en, der melder sig frivilligt”? Den administrerende direktør spurgte, og der blev stilhed i mødelokalet. Alle ledelsesmedlemmer, mænd som kvinder, havde travlt og brændte ikke for IAM. “Ok, det er ikke noget problem,” sagde den administrerende direktør. “Vi starter med den første i alfabetisk orden”!

Så det ledelsesmedlem, der kom først i alfabetet, blev ansvarlig for IAM - det første år. Derefter fortsatte nr. 2 i alfabetet det næste år og så fremdeles. Den person, der havde ansvaret, behøvede ikke nødvendigvis at kende IAM i detaljer. I praksis tog den ansvarlige leder ejerskab og garanterede, at AIM fik de nødvendige ressourcer og udviklingsmuligheder.

Nøglen til god forvaltningsskik, ledelse og cybersikkerhed
God forvaltningsskik i IAM betyder, at organisationen ved, hvilke typer adgangsrettigheder der uddeles og til hvem, og hvad der kan gøres med en konkret kontotype. I den digitale identitets livscyklus er der forskellige rettigheder involveret, såsom hvornår kundeforhold, ansættelser eller partnerskaber ophører. Der skal være god mening med, hvad der sker, når roller skifter, hvem tildeler adgangsrettigheder, hvilke adgangsrettigheder tildeles, og hvilke fjernes. Når alt dette fungerer, som det skal, vil man ikke engang lægge mærke til det.

Rutiner og klare ansvarsområder - det er, hvad god forvaltningsskik, ledelse og cybersikkerhed reelt handler om. Enkelt, ikke?

Tag testen på nixu.com