Identity and Access Management (identitets- och behörighetshantering) är ett system för att hantera och reglera digitala identiteter och vilken behörighet dessa ska få. Ramverket omfattar även processer kring hur användare tilldelas en identitet, hur dessa identiteter ska skyddas, samt vilken teknik som i sin tur stödjer detta skydd. IAM är en grundläggande del i en organisations säkerhetssystem.
Varför är IAM viktigt?
IAM, eller Identity and Access Management, är ett viktigt verktyg för säkerhet och effektivitet inom organisationer och företag. Med IAM hanterar du användarkonton och tilldelar användare olika typer av åtkomstbehörigheter baserat på deras behov. IAM kan förenkla processer, minska säkerhetsrisker, effektivisera resursanvändning och hjälpa er att efterleva EU:s dataskyddsförordning (GDPR).
Förenklade processer
IAM kan underlätta och automatisera viktiga processer såsom registrering av nya användarkonton, ändring av behörigheter och återställning av lösenord. Tack vare IAM kan dessa processer skötas automatiskt, utan att först behöva gå via ert företags IT-avdelning. Förenklade processer är särskilt viktigt i komplexa verksamheter med många olika avdelningar och hög personalomsättning.
Ökad säkerhet
Genom funktioner som t.ex tvåstegsverifiering och SSO (single sign-on) kan IAM se till att minska säkerhetshoten mot er organisation. Genom IAM kan ni sätta samman olika system och på så sätt få en bättre överblick över vilka användare som finns i systemet, samt vad de har för behörighet. I ert IAM-system kan ni också sätta upp regler som försvårar för icke-behöriga att komma åt känslig data.
Smartare resursanvändning
Tack vare IAM slipper ni lägga dyrbar tid på monotona uppgifter som att tilldela åtkomst eller skapa nya konton. Samtidigt slipper användarna sitta och rulla tummarna medan deras åtkomstförfrågningar hanteras manuellt. Genom funktioner som rollbaserad och attributbaserad åtkomstkontroll sköts detta nämligen på automatisk väg. Detta frigör mängder av dyrbar tid som era anställda istället kan lägga på mer konstruktiva saker.
Dataskyddförordningen (GDPR)
IAM kan hjälpa ert företag att efterleva dataskyddsförordningen genom att tillhandahålla funktioner för DSAR (data subject access requests) och datalagringspolicies. På så sätt kan ni säkerställa att personuppgifter är skyddade och endast används för de syften de var avsedda för.
Hur fungerar IAM?
Ett välfungerande IAM-system bör stödja din verksamhets processer på så sätt att det ska hindra obehöriga från att ta del av information de inte har rätt till. På samma gång ska IAM-systemet säkerställa att behörig personal enkelt kommer åt den information de behöver, utan dröjsmål. Hur dessa processer ska styras bestäms i sin tur genom fördefinierade regler och policyer.
Här gäller det att hitta en bra balans mellan säkerhet och tillgänglighet. I takt med att vår ökade användning av data, appar, externa system, hemarbete osv., så ökar också kraven på säkerhet.
För företag med få anställda är detta ofta inget större problem, då det är lätt att hantera och få överblick över de olika behörigheterna, samt upptäcka intrångsförsök och ovanlig aktivitet.
I mer komplexa organisationer med många behörighetsnivåer ser behoven naturligtvis lite annorlunda ut. Här krävs det att man tar ett samlat grepp om de delar som rör behörighet, personuppgifter och åtkomst, och samlar alla berörda parter (HR, bemanning, livscykelhantering av användardata, system och resurser, verksamhet, informationssäkerhet, revision och IT) för att få dem att samverka tillsammans och arbeta på ett enhetligt sätt mot ett gemensamt mål.
Nyfiken på att läsa mer om IAM? I artikeln Identitets- och Behörighetshantering (IAM) – Ramverk för leverans förklarar CGI:s IAM-expert Peter Carlsson vad som är viktigt att tänka på för att lyckas med sin identitets- och behörighetshantering.
IGA (Identity Governance and Administration)
Som ett resultat av de ökade säkerhetskraven har många större företag gått över till ett så kallat IGA-system (Identity Governance and Administration). IGA liknar på många sätt IAM, med skillnaden att det förra erbjuder större möjligheter att styra hanteringen på såväl ett övergripande plan som på detaljnivå. IGA kan antingen skötas manuellt eller med stöd av olika system. Det viktiga är att det finns dokumenterade processer med ett tydligt definierat ansvar kring hanteringen av användarkonton och behörighet. Vidare behövs rutiner kring de olika behörighetsnivåerna och vem som får tilldela dem. För att säkerställa att rutinerna följs krävs även regelbunden granskning av verksamhetens konton och vem som har åtkomst till vad, samt att alla steg i hanteringen går att spåra och analysera.
Hur ser ert IAM-behov ut idag?
Oavsett vilken bransch ni tillhör, hur stort ert företag är eller vad ni har för framtidsplaner så är det viktigt att hanteringen av behörighet och identiteter fungerar utan förhinder. I tillägg finns det en lång rad juridiska och ekonomiska skäl till varför identitets- och behörighetshantering måste skötas på ett korrekt sätt.
På CGI har vi lång erfarenhet av att hjälpa företag och organisationer att implementera IAM i sina verksamheter. Våra strategier går ut på att först analysera hur er IAM fungerar i nuläget, samt att utifrån faktorer som mognadsgrad, prioriterade drivkrafter och ambitionsnivå ta fram en gemensam målbild på hur systemet ska förbättras. Detta inkluderar bland annat klargörande av roller och fastställande av gränssnitt mellan processer.
I vår broschyr IAM Översikt kan du läsa mer om hur vi arbetar med identitets- och behörighetshantering.
Läs mer om IAM och cybersäkerhet i vår blogg
I vår blogg hittar du mängder av intressanta artiklar, kundcase och framtidsspaningar om allt från cybersäkerhet till identitets- och behörighetshantering.