Hoe implementeer je Identity Governance and Administration (IGA) optimaal?

Share this post:

Identity Governance & Administration (IGA) is uitgegroeid tot een essentiële schakel binnen veel organisaties. De manier waarop ze IGA implementeren blijkt echter sterk afhankelijk van het type activiteit en het specialisme van de IT-afdeling. Heliview en IBM brachten diverse specialisten samen voor een rondetafelgesprek. De inbreng van onder meer security managers, special risk managers en user access managers bracht meer verheldering over het onderwerp.

Over het het IGA portfolio van IBM is hier meer te lezen.

Definitie

Wim Feyants van IBM opende na een korte introductie van de aanwezigen de debatten met een verduidelijking van het centrale onderwerp. Hij gebruikte Gartners definitie als uitgangspunt: IGA solutions manage digital identity and access rights across multiple systems. The tools accomplish this business-critical function in today’s highly distributed computing environments by aggregating and correlating identity and access rights data to enhance control over user access.

We onthouden dat IGA-processen de digitale identificering en toegangsrechten via verschillende systemen stroomlijnen. Ze gaan die data ook verenigen en met elkaar laten interageren. Het aspect ‘governance’ treedt sterk op de voorgrond. Je wil als organisatie immers weten waarom mensen toegang hebben tot een bepaalde applicatie en nagaan of die toegang gewettigd is. IGA bevindt zich volgens de hypecyclus van Gartner in een mature fase en verdient daarom alle aandacht.
Lees meer over IGA leveranciers in  Gartner’s 2018 Magic Quadrant for Identity Governance and Administration.

Tot de belangrijkste kerncapaciteiten van IGA behoren onder meer life cycle management, workflow approval, certicatiecampagnes (wie heeft toegang en waarom), de verantwoording ten opzichte van auditors en het genereren van rapportages en analyses. Niet elke organisatie heeft nood aan het volledige pakket. Een onderneming moet dus goed aftoetsen welke oplossing een concrete meerwaarde biedt. De gebruikservaring is essentieel en werkt in beide richtingen. Wie toegang aanvraagt, wil die via een eenvoudig proces krijgen. De organisatie beoogt dan weer een vlotte implementatie van IGA in haar processen en een integratie met de bestaande ITSM-tools.

Voordelen van geoptimaliseerde IGA

Een gedegen IGA-beleid biedt heel wat voordelen. Het helpt organisaties om compliant te zijn en eventuele pijnpunten op het vlak van toegangsrechten in kaart te brengen en aan te pakken. IGA draagt ook bij tot efficiëntie door middel van een gestroomlijnd identificatie- en toegangsproces. IGA maakt het verder mogelijk om snel nieuwe rollen toe te kennen en nieuwe applicaties binnen de bestaande IGA-processen te integreren.

IGA en de business
Binnen de grenzen van data security heerst unanieme eensgezindheid over het nut van IGA. De business zelf neemt vaak een eerder afwachtende, zelfs terughoudende positie in. Dat is een onnodige tweespalt, aangezien IGA de volledige bedrijfsvoering raakt. Elke ICT- of IGA-verantwoordelijke hanteert een eigen strategie om de business te overtuigen. Een audit kan een aanknopingspunt vormen. Een – bij voorkeur klein – incident of probleem blijkt in de praktijk vaak een concreet startpunt. Andere gesprekspartners vinden het belangrijk om de diverse afdelingen binnen de business op hun verantwoordelijkheden te wijzen. Uiteindelijk gaat het altijd om de data van de business.

De betrokkenheid vergroot wanneer het mogelijk is binnen de geledingen van een organisatie een Identity Governance verantwoordelijke te benoemen, naar analogie met een Data Protection Officer binnen de GDPR context. Het risico bestaat wel dat de verantwoordelijke die extra taak onvoldoende ter harte neemt en bij problemen met de beschuldigende vinger richting IT en data security wijst. Een stapsgewijze aanpak kan eveneens soelaas bieden. Het is volgens dat scenario raadzaam om eerst de oplossingen met de grootste waarde of de grootste risicobeperking te implementeren en daarop voort te bouwen. Welke strategie je ook hanteert, het kan uiteraard geen kwaad om je geloofwaardigheid en autoriteit in de strijd te werpen. Af en toe tegen de haren instrijken behoort nu eenmaal tot het lot van elke IT-afdeling.

ABAC versus RBAC

Over de keuze tussen Role-Based Access Control (RBAC) of Attribute-Based Access Control (ABAC) bestaan uiteenlopende meningen. Waar RBAC rollen gebruikt om autorisaties te verstrekken, gaat ABAC uit van de kenmerken of attributen van een gebruiker. Een deelnemer aan een project kan via het ABAC-model bijvoorbeeld in één tijd automatisch toegang krijgen tot de projectgegevens en de projecttools en opgenomen worden in de mailinggroep, zonder dat je telkens een individuele rol toekent. RBAC is statischer en heeft als voordeel een grote beheersbaarheid en vlotte rapportering. ABAC stelt daar een meer dynamisch karakter en fijnmazige automatisatie tegenover. Het traditionele RBAC-model kan voor IoT-toepassingen en ondernemingen met een beperkt aantal rollen volstaan. Waar een grote dynamiek met veel autorisaties en rollen heerst, lijkt een hybridemodel aangewezen. De deelnemers van het rondetafelgesprek beschouwen ABAC versus RBAC eerder als een ‘en’- dan een ‘of’-verhaal.

Eigen tools of ‘off the shelf’

De stelling ‘wat je zelf doet, doe je meestal beter’, blijkt op het vlak van IGA niet voor elke organisatie van toepassing. De keuze hangt in grote mate af van de eigen competenties. IGA-tools die je zelf bouwt, horen sterker of meer geïndividualiseerd te zijn dan wat de markt aanbiedt. De factor budget speelt een belangrijke rol. Deelnemers die de markt nog volop verkennen, hadden de operationele kosten voor een eigen IGA-tool lager ingeschat dan de aangehaalde kosten van 1,5 miljoen tot 2 miljoen euro per jaar. Dat bedrag valt onder meer toe te schrijven aan de kennisvergaring en onderhoud. In het voordeel van eigen tools pleit de aanwezigheid van kennis in eigen huis, maatwerk en een efficiënte en gemakkelijke interpretatie. Al is niet iedereen overtuigd van het concurrentie voordeel dat eigen IGA-tooling kan bieden.

Ook voor wie tools aankoopt, ligt er aardig wat werk op de plank. Aangekochte IGA-tools vragen immers integratie en personalisatie. Bouw je een oplossing rond een bestaande Identity Management tool, dan zorg je er idealiter voor dat je die eigen inbreng (onder meer met behulp van API’s) kan ontkoppelen. Op die manier laat je de mogelijkheid open om later voor een andere IGA-oplossing te kiezen. Vraag is ook of je eerst het bestaande access management moet modelleren en op basis daarvan een tool hoort te kiezen, dan wel of je beter het access management aanpast aan de aangekochte tool. Iedereen rond de tafel was het er alleszins roerend mee eens dat organisaties enorm snel evolueren. Dé optimale tool bestaat bijgevolg helaas niet. Of zoals één van de deelnemers het treffend samenvatte: “Perfectie is de vijand van het goede!”