Dit blog is eerder gepubliceerd op CIO.nl.
Wie ben je? En kan je dat bewijzen?
Deze twee vragen stelt de technologie die je gebruikt je elke dag opnieuw. We maken inmiddels gebruik van een aantal verschillende manieren om die vragen te beantwoorden: van het intypen van complexe wachtwoorden die we hopelijk kunnen onthouden tot en met het scannen van onze vingerafdrukken op onze smartphones. Identity management is een belangrijk onderdeel van ons IT-gebruik. Het zorgt voor beveiliging van onze data en dat vertrouwelijke informatie verborgen blijft voor onbevoegden.
Als je daar eens goed over nadenkt, kom je tot de conclusie dat mobiliteit eigenlijk wordt gedreven door identiteit. Van het beheren van je agenda, lezen van je mail, het boeken van een taxi tot en met het kopen van een maaltijd; elke applicatie vraagt informatie over je identiteit. Soms op basis van een IP-adres of zakelijk profiel, maar steeds vaker ook op basis van een social media-account. Op onze persoonlijke apparaten is de authenticatie sterk vereenvoudigd voor eenvoudige toegang. Deze maken gebruik van een federated identity-aanpak waardoor alle applicaties direct toegankelijk zijn zodra de hardware ontgrendeld is.
Wanneer het echter aankomt op organisatorische processen, zoals het opslaan van klantgegevens of het berekenen van salarissen, volstaat een dergelijke beveiligingsaanpak gewoonweg niet. Om compliant te blijven met de richtlijnen die gelden in de markt zullen bedrijven hun data achter complexere barrières moeten stallen zodat ze beter beschermd zijn tegen externe dreigingen. Dit brengt tegelijk ook weer uitdagingen met zich mee: gebruikers verwachten namelijk eenzelfde ervaring als ze met hun eigen apparaten hebben. Dat is in een zakelijke omgeving met veel hogere security-levels echter vrijwel onmogelijk. Voor gebruikers kan het benaderen van zakelijke data zo moeizaam lijken dat ze het niet eens willen proberen. Ze moeten eerst een VPN opzetten om toegang te krijgen tot applicaties, die vervolgens vragen om tweefactor-authenticatie. De productiviteit daalt en werknemers raken gefrustreerd. De voordelen van mobiel werken worden zo snel teniet gedaan.
En dat is precies de kern van het probleem: tech werkt alleen wanneer de gebruikers het proces echt begrijpen. Alles wat er extra gedaan moet worden is ballast. Wanneer je aan de slag gaat met identity management, is het daarom belangrijk te focussen op twee gebieden: authenticatie en beveiliging.
Eenvoudige toegang
Ondanks dat het invoeren van wachtwoorden lange tijd de voorkeur had voor een goede beveiliging, lijkt deze methode zijn beste tijd te hebben gehad. Ook hier is de vraag van consumenten weer de drijvende kracht voor organisatorische verandering gebleken. Voor mensen die gewend zijn geraakt aan het deblokkeren van hun telefoon met hun vingerafdruk voelt het invoeren van een ellenlang wachtwoord om toegang te krijgen tot hun werkomgeving als nogal ouderwets. Het is ook niet echt effectief. Wachtwoorden kunnen altijd geraden of gekraakt worden door gebruik te maken van de juiste technologie. Dat dit echt zo is, blijkt wel uit dit experiment van Ars Technica, dat laat zien hoe kinderlijk eenvoudig een hacker in minder dan een uur 14.800 wachtwoorden kraakt door gebruik te maken van een cluster met computers.
Nieuwe ontwikkelingen in biometrische security zijn onder andere retina scans, gezichtsherkenning en het herkennen van lichaamstaal. En ondanks dat we qua biometrische identificatietechnologie nog niet op het niveau zitten van X-Men: Days of Future Past, waarin de mutantenpopulatie geïdentificeerd wordt via een remote scan van hun DNA, wordt de technologie op steeds grotere schaal toegepast in de markt. Google heeft gezworen dat het wachtwoorden voorgoed in de ban doet en wil dat voor elkaar hebben voor het einde van dit jaar…
Dit betekent simpelweg dat data nog steeds veilig moet worden opgeslagen, maar de toegang tot die data eenvoudiger moet zijn dan ooit tevoren.
Identity management voor het bedrijf
Identity management zal altijd belangrijk blijven en biometrische authenticatie is een methode die organisaties in de toekomst meer zullen inzetten. Er zijn echter andere software-gedreven systemen, zoals het tracken van toetsaanslagen, die kunnen helpen de kloof te dichten en een organisatie kunnen klaarstomen voor het gebruik van een dynamischer IT-systeem. Het enthousiasme voor eenvoudigere en betere toegang is aanwezig, maar de technische kennis om dit te realiseren is vaak niet. Veel organisaties maken nog gebruik van een legacy-infrastructuur waardoor het een uitdaging is nieuwe technologie in gebruik te nemen. Bedrijven hebben behoefte aan een technologiepartner die hen kan helpen dit gat te dichten.
In het cloud-tijdperk van vandaag vraagt identity management om single sign-on zodat IT de one-to-many-relaties tussen de corporate identiteit van een gebruiker en alle andere identiteiten die zij hebben in de cloud en diverse SaaS- en mobiele apps, kan blijven beheren. Wanneer een gebruiker start, of belangrijker nog, stopt met zijn baan, zal toegang direct moeten kunnen worden toegekend of ingetrokken. En voor IT-afdelingen die onder constante tijdsdruk werken, is het fijn als dat gestroomlijnd en geautomatiseerd wordt, waardoor het foutgevoelige handwerk van het aanmaken en afmelden van gebruikers tot het verleden behoort.
De oude wereld van perimeter-beveiliging is dood. Elke CIO komt er vroeg of laat achter dat de applicaties en informatie van zijn organisatie zich overal bevinden. Zowel binnen als buiten het datacenter. Uiteindelijk gaat modern identity management over het begrijpen en controleren van de stroom aan data en applicaties. Voor medewerkers geldt dat ze toegang moeten hebben tot hun ‘identiteit’ die zowel eenvoudig als veilig is: een online versie van henzelf die de infrastructuur van de organisatie herkent en snel toelaat tot het systeem.
Jij weet immers heel goed wie je bent. En dat zou je organisatie ook moeten weten.