Het identificeren van stakeholders in access governance
Informatiebeveiliging: Meer dan alleen IAM
Vanuit ons perspectief is informatiebeveiliging het managen van wie toegang heeft tot wat. IAM, Identity and Access Management, wordt vaak gezien als het enige beroep om het wie, wat en waarom te managen.
Naar onze mening is dat niet zo. Het beheren van identiteiten en het beheren van toegang komen er een aantal zaken aan bod in verschillende domeinen. Bij identiteitsbeheer draait alles om het automatiseren van processen voor joiner, mover en leaver in een identiteitslevenscyclus. Het gaat over personeelsbeheer, klanten en consumenten, dingen, elk afzonderlijk object of elke dienst die mogelijk toegang moet krijgen tot alles wat moet worden beveiligd.
Toegangsbeheer is anders. Bij toegangsbeheer draait alles om het overhandigen van de sleutels van het kasteel. Maar deelt de sleutels uit en waarom? Mag dat wel? Op welk deel van het kasteel passen de sleutels? En waarom zou iemand de sleutels uitdelen?
Wie mag waarbij .. en WAAROM?
Het gaat in IAM dus om wie heeft toegang tot wat, en waarom. Vooral dat laatste stuk, het waarom gedeelte, ziet men vaak over het hoofd. Want bijvoorbeeld de implementatie van een Identity Governance Administration (IGA) tooling helpt je bij identiteitenbeheer. De wie-vraag dus. Vaak beheert zo’n tooling ook autorisaties in rollen, en dekt daarmee de wat-vraag.
Maar de vraag: “Waarom bevat een rol een autorisatie” of “Waarom krijgt iemand een rol of een autorisatie”, beantwoorden we een stuk minder makkelijk. Dit is het probleem van toegangsbeheer dat moet worden beheerd.
Over deze Whitepaper
In onze whitepaper Identifying the Stakeholders in Access Governance presenteren we een methode om de personen te identificeren die verantwoordelijk moeten worden gehouden voor het beantwoorden van de vragen.
Veel leesplezier! En als je wilt reageren, doe dat dan gerust!
