Bedrijven in de Benelux kunnen nog veel stappen maken op gebied van Identity & Access Management

Uit een onderzoek dat in opdracht van CA Technologies onder 337 business en IT-managers is gehouden blijkt dat Identity en access management (IAM) belangrijk is om als Nederlands bedrijf te kunnen innoveren en te groeien. Een verrassend resultaat is dat organisaties uit de Benelux in vergelijking met andere Europese landen laag scoren op het daadwerkelijke gebruik van een IAM-strategie. Dat terwijl een groot deel van deze Benelux-organisaties wel de eigenschappen hebben om IAM succesvol in te zetten.

Het onderzoek heeft verder ook een aantal opmerkelijke trends laten zien:

• 84% van de bedrijven in Nederland en België stelt hun IT-toepassingen open voor gebruikers van klantorganisaties, consumenten of voor beide groepen.

• Daarnaast is er in de Benelux een aanzienlijke groei zichtbaar in het gebruik van cloud-diensten. Zij vinden Identity & Access Management (IAM) dan ook zeer belangrijk voor het leveren van toegang voor Software-as-a-Service (SaaS)-oplossingen en andere cloud-bronnen.

• Identificatie via sociale netwerken: Social media-identiteit blijkt in de Benelux de belangrijkste identiteitsbron.

• Bring Your Own Identity (BYOID) – 72% van de Europese organisaties willen Facebook, LinkedIn en andere sociale netwerken gebruiken – of gebruikt deze al – om potentiële klanten op te sporen en met hen te communiceren.

Paul Ferron, Director Security Solution EMEA bij CA Technologies, in een korte Q&A over de onderzoeksresultaten:

Q: De bezoekers op Dutchcowboys zijn niet allemaal IT-managers, kan je kort vertellen wat IAM is en hoe je hier als bedrijf voordeel uit kan halen?

“IAM staat voor Identity & Access Management. Dit is een methode om bedrijfssystemen en bedrijfsinformatie te beveiligen tegen onbevoegde toegang van personen. We zien de laatste tijd ook in Nederland steeds vaker dat privé-informatie op straat komt te liggen of dat cybercriminelen websites en applicaties hacken (denk maar aan de banken). Een goede beveiliging van de IT-systemen is dus cruciaal. Bij IAM gaat het erom dat je de digitale identiteit van gebruikers kunt vaststellen. Hierbij koppelt het systeem een digitale identiteit aan elke individuele gebruiker. Een persoon kan nooit meerdere digitale identiteiten toegewezen krijgen, dus iedereen heeft een unieke identiteit. Je kunt het vergelijken met een ID-kaart. Dit is een kaart waarmee iemand kan bewijzen dat hij ook daadwerkelijk is, wie hij zegt te zijn. Op het internet willen organisaties nu een zelfde soort identificatie-systeem invoeren. Dat is mogelijk via Identity & Access Management.

Met IAM kunnen bedrijven hun websites, webshops, mobiele applicaties, sociale media en IT-systemen beveiligen. Zodra een klant, gebruiker of consument via zijn digitale identiteit inlogt op bijvoorbeeld een mobiele applicatie, stelt de IAM-software via een aantal technische acties met absolute zekerheid vast dat degene die inlogt ook inderdaad de persoon is die hij/zij claimt te zijn. We noemen dit ook wel authenticatie. Vervolgens verleent IAM die persoon ook bepaalde en individuele rechten. Dit houdt in dat bijvoorbeeld een medewerker enkel toegang krijgt tot de systemen en informatie van het bedrijf dat voor zijn functie relevant en nodig is. Of een consument krijgt alleen zicht op delen van de webshop waarop hij zijn keuzes en mogelijke aankoop baseert. Een consument heeft op een webshop of webapplicatie immers niets in de systemen zelf te zoeken. Een laatste voorbeeld van het toekennen van rechten is wanneer een persoon wel de mogelijkheid krijgt op een website of op social media de gegevens in te zien, maar deze niet mag wijzigen.  

Bedrijven halen voordeel uit IAM doordat zij hiermee hun privé-, persoons- en bedrijfsgegevens en hun IT-systemen op de best mogelijke manier beschermen. Alles draait om het vaststellen van de identiteit van degene die inlogt. Op die manier worden ook mensen die met gestolen inloggegevens – zoals een gebruikersnaam en wachtwoord -proberen in te loggen, geweerd van bedrijfsgevoelige informatie en applicaties.“

Q: Uit recent onderzoek blijkt dat organisaties in de Benelux juist lager scoren in vergelijking met andere Europese landen op het daadwerkelijke gebruik van een IAM-strategie. Waar ligt dat aan?

“Op basis van mijn gesprekken met klanten denk ik dat het met name te maken heeft met het feit dat bedrijven uit de Benelux minder druk voelen vanuit controlerende instanties om de beveiliging van IT-systemen/applicaties ‘aantoonbaar’ beter onder controle te krijgen. In de Benelux heerst er een grotere vertrouwens- en samenwerkingscultuur dan in andere landen.“

Q: Een van de genoemde trends in het onderzoek is ‘identificatie via sociale netwerken’. Waarom zou ik als werknemer met mijn prive-facebook account zakelijk in gaan loggen? En brengt dat geen extra risico’s met zich mee (bijv. een gehacked facebook account)?

“Uiteraard zijn er hieraan voor- en nadelen en is dit iets wat goed moet worden overwogen. Neem bijvoorbeeld een bedrijf dat veel wisselende medewerkers heeft. Het steeds weer aanmaken van nieuwe digitale identiteiten en de rechten die daar mee gepaard gaan, is een kostbare zaak. Zeker voor medewerkers waar je nu al van weet dat ze misschien twee weken bij je werken. Vroeger hadden dit soort medewerkers simpelweg geen toegang tot IT-systemen, maar tegenwoordig is dat geen optie meer. De systemen waar ze echter toegang tot moeten hebben, zijn zogeheten lage risico applicaties. Het zijn geen mega belangrijke IT-systemen.  Voor deze groep kan het voordeel, van minder kosten door het gebruik van hun eigen facebook-ID, opwegen tegen het iets verhoogde risico.”

Q: Wat zijn de voordelen als klanten, consumenten en werknemers via bijvoorbeeld hun LinkedIn-account toegang krijgen tot bedrijfstoepassingen?

“Het beheren van de vele digitale identiteiten die een gemiddeld persoon heeft, is ondertussen een grote last aan het worden. Verder drijft de steeds sneller wordende economie mensen ertoe weinig geduld te hebben bij het beantwoorden van vragen. Onderzoek wijst uit dat als je een nieuwe klant vragen stelt om een profiel voor hem/haar te kunnen opslaan, dat voor elke vraag je 10% van de doelgroep verliest. Dus een formulier met Naam, Adres, Woonplaats, Gebruikersnaam, Wachtwoord, en Email, geeft je nog maar 40% van de originele doelgroep. Mensen maken massaal gebruik van de mogelijkheid om met Facebook/LinkedIn etc. te kunnen inloggen, omdat dat makkelijker en sneller is voor hun.“

Q: Zijn er verder nog onderzoeksresultaten die er voor jou uitspringen? Of zaken die we juist in Nederland in de gaten moeten houden?

“Met name het feit dat we blijkbaar achterlopen, moeten we nu omzetten in een voordeel. Door meteen over te stappen op een IAM-systeem van deze tijd, kunnen we veel sneller schakelen dan bedrijven die al veel hebben geïnvesteerd in een technologie die nu achterhaald is.”