Waarom iam niet meer is weg te denken

Uit onderzoek dat TrustBuilder samen met Forrester Research uitvoerde, blijkt dat elk bedrijf op een eigen tempo aan zijn digitale transformatie werkt. Op basis van de studie zijn bedrijven in vijf verschillende maturiteitsklassen ingedeeld worden, gaande van ‘digital developers’ (die hun catalogus aan producten en diensten nu aanbieden via een website of een app), over ‘experience experts’, ‘connected companies’, ‘ecosystem extenders’, tot ‘monetizing masters’ waarbij bedrijven digitale ecosystemen aanbieden en de eigen diensten aanvullen met diensten van derde partijen, die eventueel als extra bron van omzet dienen. Denk aan KBC en andere banken, die via de app niet alleen hun financiële diensten aanbieden, maar ook de mogelijkheid om tickets voor openbaar vervoer te boeken.

In elk stadium van dit maturiteitsmodel treffen we andere security-use-cases aan, die door iam opgelost worden: single sign-on, multi-factorauthenticatie, federated identity management, api-security… Zonder iam komen bedrijven gewoon niet vooruit op de maturiteitscurve.

Wanneer bedrijven digitale diensten ook buiten de landsgrenzen aanbieden, hebben ze nood aan een iam-oplossing die internationale identiteitsproviders ondersteunt. Een bedrijf kan niet volstaan met het aanbieden van bijvoorbeeld enkel Itsme, want die oplossing is slechts in een handvol landen actief. Dus moeten ook lokale identiteitsproviders ondersteund worden om klanten in alle landen een gelijkwaardige  klantenervaring te bieden.

Een derde factor die iam  belangrijk maakt, is de toegenomen regelgeving, bijvoorbeeld rond GDPR/AVG en heel specifiek in de financiële sector ook rond open banking, know your customer en de strijd tegen witwassen. En iedere consument merkt de laatste tijd dat multi-factorauthenticatie vaker ingeschakeld wordt om betalingen te beveiligen.

Fijnmazige beveiliging
Dat iam nu ‘incontournable’ geworden is, betekent niet dat iam-leveranciers op hun lauweren kunnen rusten. Integendeel. Iam wordt gevraagd om steeds complexere vraagstukken op te lossen zonder de gebruikerservaring aan te tasten, of de it-afdeling extra te belasten.

Om voor een fijnmazige beveiliging te zorgen, is sinds enkele jaren een overgang gaande van role-based access control (rbac) naar attribute-based access control (abac). We leven in een bijzonder dynamische maatschappij, waar klanten of medewerkers een veelheid aan rollen kunnen opnemen en steeds sneller van rol veranderen. Waar vroeger de use cases makkelijk te catalogeren vielen als ofwel business to consumer (voor eindklanten), ofwel business to employee (voor werknemers) is door de toegenomen digitale transformatie de werkelijkheid veel complexer. Denk maar aan verzekeraars, met werknemers, klanten en partners. Die toegenomen complexiteit maakt dat rbac achterhaald is, omdat de context onvoldoende is te capteren en omdat het onderhoud van een rbac-systeem een ware Sisyfusarbeid wordt.

Een verdere evolutie en vereenvoudiging vinden we in persona-gebaseerde authenticatie. Als gebruiker van digitale systemen hebben we immers meerdere personas. Beeld je de situatie van een onderwijsinstelling in: eenzelfde individu kan docent zijn van die school, maar tegelijk ook een alumnus. Elk van die personas heeft andere toegangsrechten, en in veel bedrijven moet je dan als individu twee verschillende sets aan gebruikersnamen en paswoorden gebruiken per persona. Persona-gebaseerde authenticatie laat de gebruiker toe van persona te wisselen en slechts één set credentials te gebruiken.

Tenslotte is personalizatie belangrijk – ook in security. Een andere belangrijke toevoeging aan iam-oplossingen is daarom het ophalen van informatie van zowel interne als externe bronnen en het verwerken van die informatie in complexe access policies van een bedrijf. Een dergelijke ‘policy information broker’ kan bijvoorbeeld op basis van een ip-adres nagaan vanaf welke locatie een gebruiker zich aanmeldt, en in een database opzoeken of die locatie al dan niet aanvaard is. Op die manier is fraude te voorkomen.

Complexere systemen kunnen leiden tot extra werk voor de nu al overbelaste it-afdelingen. Daarom schrijft iam zich tegenwoordig ook in op de trend naar low-code, en worden gebruiksvriendelijker interfaces gebouwd voor ontwikkelaars en securityspecialisten. Beide trends komen de productiviteit van it ten goede. Tegelijk wordt een deel van de administratie in handen gegeven van de eindgebruikers: die kunnen via een self-serviceportal zelf een aantal gegevens aanpassen, en zelfs sommige van hun rechten delegeren, bijvoorbeeld om onkostennota’s goed te keuren wanneer ze zelf met vakantie zijn.

De iam-wereld is in volle beweging, dat merkte je op Cybersec Europe. Ten voordele van de eindgebruiker. Ten voordele van de it-afdeling. Maar vooral met het oog op een betere beveiliging en een betere gebruikerservaring.