Frågan är berättigad! Vem äger identiteterna i en verksamhet eller organisation?
Det handlar alltså inte om i vilket datasystem identiteterna ligger. Grundfrågan är egentligen ”Vem ansvarar för att informationen om en identitet är korrekt?”. Det kan tyckas trivialt, men när man tänker efter, vilka identiteter hanterar vi egentligen i en verksamhet?
Vi talar inte bara om anställda, som oftast sorterar under HR eller personalavdelningen. Vi har ju nästan alltid ett antal andra personer som rör sig i verksamheten – konsulter och temporär arbetskraft, affärspartners, kunder, men också till exempel hantverkare och lokalvårdare, som måste komma in i lokaler och utrymmen. Vem har ansvaret för dem? Vem ser till att nyckeln som lämnas ut kommer åter när hantverkaren är färdig? Vem ser till att kundregistret för försäljningsportalen rensas korrekt så att man uppfyller personuppgiftslagen?
Det är ju inte IT-avdelningens ansvar att nyckeln kommer tillbaka, eller hur? Då kan inte heller ägarskapet för identiteter i verksamheten ligga på IT.
Återigen, hantering av identiteter är och förblir en verksamhetsfråga och måste hanteras i verksamhetens processer, även om detta naturligtvis ska understödjas av väl fungerande IT-processer och system.
Kontakta mig gärna om du vill höra mer om Identitets- och Behörighetshantering (Identity and Access Management - IAM)