Jag har mer än en gång råkat på kunder som har uttryckt ett behov av att byta sitt identitets- och behörighetssystem eftersom de inte har fått ut önskade effekter av det. I flera av fallen har min respons varit ”varför?”, eftersom systemet som kunden önskat byta ut har varit bland de mest kompetenta produkterna på marknaden.
Enligt min erfarenhet är det inte systemet i sig som gjort att kunden inte fått ut förväntad affärsnytta, utan orsaken har snarare varit att det har blivit implementerat som vilket annat datasystem som helst och sen överlämnat till IT-avdelningen för förvaltning.
Normalt har en IT-avdelning ett ramverk eller metoder för att hålla ett system i drift med övervakning, incidenthantering, problemhantering etcetera. De har ofta också rutiner för ändringshantering med allt från hur de mottar en ändring till implementationen i produktion, förhoppningsvis med ett testförfarande däremellan så att ändringen fungerar som det är tänkt och inte samtidigt genererar fel i andra system i verksamhetens applikationsflora.
IAM däremot, kräver lite mer när det gäller att leverera till organisationen eftersom IAM inte handlar om IT utan om verksamhetsprocesser först och främst. För att kunna driva, förvalta och utveckla IAM inom en verksamhet krävs ett utökat och mer väldefinierat leveransramverk än vad som behövs bara för att hålla systemet uppe och rulla.
Många saker påverkar direkt eller indirekt identitets- och behörighetshantering
Vad som är svårt att hantera är den ständigt pågående och krävande uppgiften att hålla sina verksamhetsprocesser för IAM uppdaterade med vad som händer i verkligheten. Där är så många saker i en organisation eller verksamhet som direkt eller indirekt påverkar identitets- och behörighetshantering.
Organisatoriska förändringar
Hur anställning och avslut av anställning hanteras
Hur man hanterar inhyrd personal
Hantering av externa identiteter, t.ex. kunder, elever, studenter etc.
Förändrade säkerhetskrav eller regelverk
Ändrade lagar eller andra regelverk som styr verksamheten
Introduktion av nya applikationer eller tjänster
Utfasning av applikationer och tjänster
Ändringar i infrastruktur
Alla ovanstående punkter och fler därtill måste speglas i IAM-systemet för att det skall vara ett användbart verktyg för att organisationen skall kunna få kontroll, behålla kontrollen och framförallt bevisa att den har kontroll över sin identitets- och behörighetshantering.
Nyckeln till framgångsrik hantering av IAM är att ha ett väldefinierat ramverk för hur IAM skall levereras i organisationen.
Ett sådant ramverk måste bestå av standardiserade rutiner som stödjer organisationen, till exempel när det tas in en ny applikation i verksamheten, hur man skall sätta upp behörighetsdefinitioner, genomföra rollmodellering, arbetsflöde för godkännande, regelverk för ansvarsfördelning etcetera för applikationen. Liknande rutiner behöver finnas när en revisor kräver att man kör en kampanj för att återgodkänna behörigheter och användarkonton i olika system. IAM-systemet i sig själv ger oftast förutsättningarna för vem som skall godkänna eller ta bort en åtkomsträttighet för en användare, men ramverket behövs för kampanjgeneralen som styr när kampanjen skall startas och avslutas, när påminnelser skall skickas, när eskaleringar skall göras, vem som skall ta emot slutrapporten med mera.
Utan ett leveransramverk blir IAM ett slumpmässigt fungerande verktyg i verksamheten och möjligheten att nå förväntad affärsnytta när det handlar om en trygg och säker hantering av identiteter och behörigheter i organisationen blir näst intill hopplöst.
Kontakta mig gärna om du vill höra mer om Identitets- och Behörighetshantering (Identity and Access Management - IAM)