Bij Access management draait het om toegang. Dat kan zowel fysieke toegang zijn (toegang tot een pand of een bepaalde ruimte in een gebouw) als een logische toegang (toegang tot systemen, applicaties, printers, shares, etc.). Wat als Access Management ’s nachts zou verdwijnen en we de volgende dag zonder zouden moeten doen? Welke impact heeft dit op de organisatie en haar informatiesystemen?
Authenticatie
Bij Identity Management toont de gebruiker aan dat hij is wie hij zegt dat hij is. Dit wordt ook wel authenticatie genoemd. De meest gangbare vorm van authenticatie is het ingeven van een username- en wachtwoord combinatie. Een andere vorm is de combinatie van ‘iets onthouden’ met het hebben van iets fysiek, bijvoorbeeld een gebruikerspas of een telefoon. Dit is sterke authenticatie.
Autorisatie
Naast authenticatie speelt autorisatie een rol. De autorisatie bepaalt de toegangsrechten van een gebruiker. Afhankelijk van de identiteit van de gebruiker (rol, functie en locatie binnen een organisatie) dienen de toegangsrechten in het netwerk te variëren. De relatie tussen de gebruiker en de toegangsrechten noemen we Access Management. De authenticatie bepaalt de autorisaties.
Informatiebeveiliging
Wanneer Access Management dus wegvalt kan iedere gebruiker overal bij. Dit is met het oog op informatiebeveiliging niet wenselijk. Een ziekenhuis bijvoorbeeld, moet kunnen garanderen dat patiëntgegevens alleen worden ingezien en bewerkt door de betreffende zorgverleners. En in de financiële wereld moet worden voorkomen dat bedragen overal bekend zijn of dat iedereen een transactie zou mogen verrichten.
In de zakelijke markt is het niet nodig dat alle gebruikers de HR-gegevens van eenieder kunnen inzien. Wanneer Access Management niet zou bestaan is bovenstaande niet langer te garanderen. Daarnaast is er zonder Access Management ook geen controle en overzicht van de toegangsrechten.
Fysieke toegang
Wanneer Access Management weg zou vallen, zou ook fysieke toegang niet langer controleerbaar zijn. Iedereen binnen een organisatie heeft bijvoorbeeld toegang tot de serverruimte en alle zorgverleners hebben toegang tot alle ruimtes in een ziekenhuis, zelfs een operatiekamer of medicijnenkast.
Wet- en regelgeving
Zonder Access Management is het niet mogelijk te kunnen voldoen aan bepaalde wet- en regelgeving. Het inloggen met een uniek username en wachtwoord is bijvoorbeeld dan niet mogelijk. Hierdoor kunnen ziekenhuizen niet beschermen wie patiëntdossiers kunnen openen en wijzigingen kunnen aanbrengen. Maar ook andere sectoren dienen te voldoen aan wet- en regelgeving.
Licentiekosten
Binnen een organisatie worden licentiekosten beperkt doordat alleen licenties worden uitgegeven wanneer de software nodig is voor het uitvoeren van de functie. Wanneer alle eindgebruikers in een organisatie alle applicaties kunnen gebruiken zonder goedkeuring van een (licentie)manager, lopen de kosten voor onnodige licenties zeer snel op.
Commercieel belang
Als laatste voorbeeld geef ik het belang van commerciële organisaties bij Access Management. Organisaties met een commercieel belang, denk aan uitgevers of Social Media partijen, bieden een deel van hun content gratis aan. Voor een ander deel moet de gebruiker zich authentiseren en ook betalen. Wanneer Access Management wegvalt is er geen onderscheid meer mogelijk tussen gratis en betaalde content.
Dit zijn maar een paar voorbeelden van de gevolgen van een wereld zonder Access Management. Een wereld zonder Access Management is een wereld mét veel zorgen.
Arnout van der Vorst (a.van.der.vorst@tools4ever.com) is Identity Management Architect bij Tools4ever, expert in Identity & Access Management (www.tools4ever.nl)
