Home Security Weer wat nieuws: Identity Governance and Administration (IGA)

Weer wat nieuws: Identity Governance and Administration (IGA)

954
Windows 10

Het voorkomen dat onbevoegde of ongewenste personen bij gevoelige of vertrouwelijke informatie kunnen komen, is essentieel voor je concurrentiepositie en imago. Maar wist je dat Nederlandse en internationale wet- en regelgeving rondom privacy zelfs eisen dat organisaties dit aantoonbaar op orde hebben? Dit heeft geleid tot een heel nieuw marktsegment binnen Identity Management: Identity Governance and Administration (IGA).

IGA, wat is dat eigenlijk?
Identity Management (IDM) staat voor de authenticatie van gebruikers in de IT-omgeving. Identity en Access Management (IAM) is synoniem aan de autorisatie van de toegang die bevoegde gebruikers hebben tot voor applicaties en systemen, binnen of buiten het bedrijfsnetwerk. IAM is veel complexer dan IDM, want de toegangsregels hangen af van veel, en vaak wisselende, factoren, zoals de positie, het functieniveau, groepsdeelname en/of de rol(len) van de individuele gebruiker.

Door deze complexiteit ontbreekt het veel organisaties aan inzicht, overzicht en toezicht om echt te weten wat mensen precies mogen doen binnen en buiten het netwerk. Daarom is het goed om gebruikers en toegangsrechten te baseren op beleidsregels die de organisatie opstelt voor het hele proces van IAM. Met dit beleid bepaalt het bestuur wie er wanneer, en vanaf welke locaties of apparaten, toegang krijgt tot welke systemen en applicaties. Deze beleidsmatige aanpak, ook wel governance genoemd, zorgt voor registratie, analyse, controle en rapportage waarmee het bestuur verantwoordelijkheid kan nemen voor het gebruik van informatiesystemen en applicaties.

Het belang van governance wordt nog groter nu veel overheden, toezichthouders, brancheverenigingen en partijen in de leveringsketen eisen dat organisaties gedragscodes, richtlijnen voor goed bestuur en wet- en regelgeving aantoonbaar naleven. Dit wordt ook wel compliance genoemd. Governance dient daarom een standaard onderdeel te zijn van IAM. Het Amerikaanse marktonderzoeksbureau Gartner heeft hiervoor de term Identity Governance & Administration (IGA) bedacht.

Gebruikersrechten worden leidend
Het grootste verschil tussen IAM en IGA is dat IDM als losstaande oplossing niet meer voldoet. Het is dus niet meer Identity en Access, maar Identity is gelijk aan Access. Vaak werd het toekennen van gebruikersrechten standaard toegepast bij het opzetten van een gebruikersaccount. Vanuit IT gezien is dat een handige oplossing, want je kunt dat proces automatiseren. In de praktijk komt dat echter neer op ‘instellen en vergeten’. Dat is beleidsmatig niet verstandig, want je kunt nog steeds de klassieke vraag “wie heeft er toegang tot wat?” niet per identiteit beantwoorden. IGA dringt dieper door dan het accountniveau. Het stelt al bij het opzetten van een gebruikersidentiteit vast welke privileges de gebruikers volgens de beleidsregels werkelijk hebben.

Niet de gebruikersaccounts, maar de gebruikersrechten worden bij IGA leidend. Men maakt niet eerst een gebruikersaccount aan om deze vervolgens toegangsrechten te geven. Men stelt eerst de toegangsrechten op voor systemen en applicaties, zowel binnen als buiten het bedrijfsnetwerk en maakt vervolgens gebruikersaccounts die deze rechten krijgen. Dit betekent dat organisaties gebruikers en toegang niet meer hoeven te regelen per applicatie, maar dat zij dit regelen op basis van beleidsregels voor het toekennen en continu bijwerken van gebruikersrechten.

Privacy & IGA
IGA verbetert de efficiëntie, beveiliging en compliance door identiteitenbeheer te automatiseren voor fysieke, virtuele en cloudomgevingen. Het maakt IT meer flexibel en organisaties wendbaarder, wat hard nodig is om de concurrentiepositie te versterken in de huidige applicatie-economie. Door identiteiten en hun toegangsrechten op de juiste manier te beheren, is er minder risico dat organisaties het slachtoffer worden van hackers of dat zij te maken krijgen met de financiële of juridische gevolgen van een inbreuk op het informatiesysteem. Belangrijker nog, IGA helpt bij het beantwoorden van kritische vragen zoals: “Wie had er toegang tot welke bron en wanneer?” en “Hoe verkregen gebruikers toegang tot bronnen en waarom?” Toenemende maatschappelijke zorgen over privacy maken de weg vrij voor Identity Governance and Administration. De term IGA is nu nog niet ingeburgerd, maar let op mijn woorden: hier gaan we meer van horen!

Bram Haasnoot, RealOpen IT

1 REACTIE

  1. Mooie en interessant artikel. Nu, een aantal jaar later, blijkt inderdaad hoe waardevol IGA is. In deze tijd waarin het Internet steeds belangrijker wordt en organisaties steeds complexere structuren krijgen wordt het belang van Identity Governance & Administration steeds groter. Niet alleen voor de efficiëntie, maar ook voor de informatiebeveiliging en kostenbesparing levert dit duidelijke voordelen op. Las hier laatst een zeer interessante blog over op de website van Provisior wat mijn interesse voor IGA heeft gewekt.

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here