20 augustus 2015 -
'Wat zou er gebeuren als Access Management ’s nachts zou verdwijnen en we de volgende dag zonder zouden moeten doen?' En "'elke impact heeft dit op de organisatie en de informatiesystemen?'
Dat zijn vragen die Arnout van der Vorst, Identity Management Architect bij Tools4ever, zich stelt. Hij maakt een voorstelling van deze situatie.
Bij Access Management in zijn puurste vorm draait het om toegang. Dat kan zowel fysieke toegang zijn (toegang tot een pand of bepaalde ruimte in een gebouw) als en logische toegang (toegang tot systemen, applicaties, printers, shares, etc.). Access Management wordt vaak genoemd in combinatie met Identity Management en deze twee begrippen hebben ook nauw verband met elkaar.
Authenticatie
Bij Identity Management toont de gebruiker aan dat hij is wie hij zegt dat hij is. Dit wordt ook wel authenticatie genoemd. Het meest gangbare mechanisme van authenticatie is het ingeven van een username en wachtwoord combinatie. Een andere vorm van authenticatie is de combinatie van ‘iets onthouden’ met het hebben van iets fysieks. Bijvoorbeeld een gebruikerspas, mobiele telefoon, token, vingerafdruk, etc. Dit is een sterke vorm van authenticatie.
Autorisatie
Naast de authenticatie speelt de autorisatie een rol. De autorisatie bepaalt tot welke content een gebruiker toegang heeft in het netwerk. Deze content zijn bijvoorbeeld systemen, applicaties, printers, shares, etc. Waar de authenticatie nog redelijk eenvoudig is, is de autorisatie vaak een complex karwei. Want afhankelijk van de identiteit van de gebruiker (functie, rol en locatie binnen een organisatie) dienen de toegangsrechten – en dus ook de content - in het netwerk te variëren. De relatie tussen het individu (gebruiker) en de content noemen we Access Management. De authenticatie bepaalt namelijk de autorisaties. Alleen op deze manier kan worden gegarandeerd, dat gebruikers niet te veel rechten hebben en bij informatie kunnen die voor hen niet zichtbaar zou moeten zijn.
Informatiebeveiliging
Hieruit blijkt direct het risico dat zou ontstaan wanneer Access Management weg zou vallen. Dat zou betekenen dat iedere gebruiker bij alle content zou kunnen en dat is met het oog op informatiebeveiliging zeer onwenselijk. Een ziekenhuis bijvoorbeeld moet kunnen garanderen dat patiëntgegevens alleen worden ingezien en bewerkt door de betreffende zorgverleners. En in de financiële wereld moet worden voorkomen dat bedragen overal bekend zijn of dat iedereen een transactie zou mogen verrichten. In de zakelijke markt is het niet nodig dat alle gebruikers de HR-gegevens van eenieder kunnen inzien. Wanneer Access Management niet zou bestaan is bovenstaande niet langer te garanderen. Tevens is er zonder Access Management ook geen controle en overzicht van wat de toegangsrechten van een medewerker nu precies zijn en of deze wel kloppen met hetgeen ooit is bepaald.
Fysieke toegang
Zoals gezegd betreft Access Management ook fysieke toegang. Wanneer Access Management weg zou vallen zou ook fysieke toegang niet langer controleerbaar zijn. Iedereen binnen een organisatie heeft bijvoorbeeld toegang tot de serverruimte en alle zorgverleners hebben toegang tot alle ruimtes in een ziekenhuis, zelf een operatiekamer of medicijnenkast. Dat is natuurlijk een ondenkbare situatie.
Wet- en regelgeving
Toegang tot het bedrijfsnetwerk start gebruikelijk met het invoeren van een wachtwoord en gebruikersnaam of het scannen van een gebruikerspas. Wanneer Access Management komt te vervallen en het niet langer nodig is met een persoonlijk netwerkaccount in te loggen, zou toegang tot het bedrijfsnetwerk alleen kunnen worden gerealiseerd met een generiek account. Dus één gebruikersnaam en wachtwoord die door alle medewerkers worden gebruikt. Om geen kostbare tijd te verliezen werd dit in het recente verleden ook nog wel gedaan op poliklinieken in ziekenhuizen, maar de meeste ziekenhuizen willen af van deze werkwijze. Want op deze manier is niet zichtbaar en te herleiden wie welke actie bijvoorbeeld in een patiëntendossier heeft gedaan en dat is juist een eis die wordt gesteld door wet- en regelgeving. Maar ook andere sectoren dienen te voldoen aan wet- en regelgeving, denk bijvoorbeeld aan Sarbanes-Oxley voor de financiële sector.
Licentiekosten
Als eindgebruikers ongecontroleerd toegang hebben tot alle resources, betekent dat zij ook toegang hebben tot alle applicaties die in een organisatie worden toegepast. Dat zal een behoorlijke druk geven op de licentiekosten. Licentiekosten worden opgebouwd door relatief lagere kosten van bulk software en hogere kosten voor software die slechts door een kleinere groep medewerkers in de organisatie wordt gebruikt, bijvoorbeeld Microsoft Visio en Adobe. Wanneer alle eindgebruikers in een organisatie alle applicaties kunnen gebruiken zonder goedkeuring van een (licentie)manager, lopen de kosten voor onnodige licenties zeer snel op. Maakt u voor uw organisatie maar eens een rekensom.
Commercieel belang
Er zijn commerciële organisaties die veel belang hebben bij de authenticatie van de gebruikers, denk bijvoorbeeld aan uitgevers of een partij als LinkedIn. Deze organisaties bieden vaak een deel van hun content gratis aan, maar voor een veel groter deel van hun content moet de gebruiker zich kunnen authentiseren en uiteraard betalen. Wanneer Access Management wegvalt is er geen mogelijkheid meer om een onderscheid te maken tussen gratis en betaalde content.
Dit zijn een aantal voorbeelden van de kwesties die kunnen ontstaan bij een wereld zonder Access Management. En zo zijn er natuurlijk nog veel meer voorbeelden te verzinnen. Een wereld zonder Access Management is een wereld mét veel zorgen.