Betydelsen av identitets- och åtkomsthantering (IAM) har snabbt förändrats de senaste åren och är under ständig utveckling. Från att huvudsakligen ha varit ett stöd till nätverksfunktioner (t.ex. multifaktor-autentisering för VPN/brandväggar) har IAM blivit en central funktion i verksamheten. Det stora antalet applikationer, system, datorer, telefoner, molntjänster och lokala tjänster i kombinationen med kravet att rätt användare har tillgång till rätt information vid rätt tidpunkt, ger IAM en central roll i organisationens digitala värld.
Samtidigt ser vi ökade säkerhetshot och fler efterlevnadsregler som måste uppfyllas. Ökad digitalisering i samhället förstärker också betydelsen av IAM.
Hur ska en organisation tänka kring valet av IAM-produkter? Många söker en "silver bullet", dvs en enda produkt som löser alla identitets- och åtkomstproblem. Det kan kännas bekvämt att ha en enda leverantör. Andra använder en "best-of-breed"-strategi med flera leverantörer för olika IAM-behov. De flesta organisationer hamnar någonstans mitt emellan dessa strategier.
Många av de verktyg som används idag är fortfarande väldigt tekniska och skrivna av ingenjörer för ingenjörer. Det finns en stor acceptans för att verktyg för att hantera identiteter, åtkomst och uppföljning är tekniska. "Det är så verktyget fungerar", säger IT.
En förskoleansvarig i en större kommun berättade att hen ansvarar för att ge kollegor på förskolan behörighet till en förskoleapplikation. Hen sa: "Jag går bara in och söker upp dem utifrån deras användarnamn på sex tecken, för att sedan lägga till dem i en säkerhetsgrupp som heter kommun-forskolan-vargen-applikation-35461-53223."
Jag: Hur får du tag på deras användarnamn?
Hen: Jag frågar dem personligen.
Jag: Vet du vad en säkerhetsgrupp är?
Hen: Nej, men IT har sagt att jag ska göra så här.
Jag: Kan du se flera säkerhetsgrupper?
Hen: Ja, många, men jag vet inte vad de betyder.
Jag: Ser du andra menyer och data där du är inne och ändrar?
Hen: Ja, massor, men jag vet inte vad de betyder.
Jag: Hur vet du att du lägger till dina kollegor i rätt säkerhetsgrupp?
Hen: IT har gett mig namnet på den, så jag går alltid in i den.
Min slutsats från samtalet: Bygg ett enkelt formulär där förskoleansvarig bara kan se vilka som har behörighet till applikationen. Gör det lätt för dem att hitta och lägga till personer. Använd en nomenklatur som är begriplig för verksamheten, i det här fallet den förskoleansvarige!
Notera att ingen förändring behöver ske i bakgrunden. Användare läggs fortfarande till i rätt säkerhetsgrupp. Den tekniska komplexiteten göms för verksamheten, vilket skapar en mer effektiv och lättförståelig process.
Ovan är bara ett exempel på en enkel funktion som kan adderas för att snabbt öka effektiviteten i verksamheten, ovanpå befintlig infrastruktur.
Jag tror att framtidens IAM kommer att bestå av små lösningar som snabbt skapar mervärde genom att effektivisera verksamheten, som ett komplement till befintlig infrastruktur. Många "silver bullet"-lösningar kommer fortfarande att behöva kompletteras för att optimera verksamhetens effektivitet.
Titta gärna på några exempel där Fortified IDs lösningar har använts för att effektivisera verksamheten, spara pengar och generera fler affärer: https://fortifiedid.se/sv/use-case
Anders Björk, Senior Sales Engineer IAM, Fortified ID