10 IAM-trender för 2023

10 IAM-trender för 2023

Inför det nya året lyfter vi fram 10 trender inom Identity and Access Management som vi tycker är intressanta att hålla koll på i år. Av de olika IAM-ämnen och tekniker som vi har behandlat är vissa ganska konkreta och andra kanske mer diffusa, och hur relevanta trenderna är för din organisation varierar förstås.

Arne Vedø-Hansen

Arne Vedø-Hansen
09. januari 2023

1. Att bara förlita sig på lösenord är ute

Om du år 2023 skyddar dina IT-resurser enbart med lösenord, utan att ytterligare säkra dem med flerfaktorsautentisering och andra åtgärder har du nog slumrat till. Men frukta inte; om det finns en punkt här som du har svårigheter att införa en säkerhetsåtgärd finns support att få.

Kom ihåg att det alltid är bättre att ha ett problem som löses lite sent än att  ignorera ett problem tills du inte kan göra något åt det längre.

CW_illustrasjon_hacked01


2. Lösenordsfri autentisering är helt möjligt

Som vi redan har nämnt är lösenord som säkerhetsmekanism potentiellt problematiskt. Det vi har sett under det senaste året, och som kommer att mogna ytterligare under 2023, är att man kan autentisera vanliga användare på ett säkert och användarvänligt sätt utan att behöva använda lösenord överhuvudtaget.

Man måste fortfarande planera både införandet och driften väl, och användarna måste få lämplig utbildning, information och stöd, men tekniken och gränssnitten i de berörda systemen är nu så bra att tröskeln för autentisering utan lösenord är ganska lätt att komma över.

→ Läs om 5 fördelar med lösenordsfri inloggning


3. Autentiseringsnycklar är på väg

Autentiseringsnycklar (passkeys) har redan diskuterats under en längre tid, men nu har stora aktörer som Google, Microsoft och Apple verkligen börjat lägga sin tyngd och sina ansträngningar på att få det infört. 

Att gå på djupet med vad autentiseringsnycklar är och varför de kommer att göra stor skillnad för hur användarautentisering fungerar är mer än tillräckligt material för att täcka en separat artikel, men de viktigaste fördelarna är:

  • Användarna behöver inte längre komma ihåg eller ta hand om lösenord. Adjö gula post-it-lappar!
  • Tjänsterna kommer inte längre att lagra lösenord; om det sker ett inbrott i tjänsten där tjuvar får tag på användardata kommer de inte att kunna använda dem för att logga in som användaren senare, och de kommer inte heller att kunna ta med sig dem till andra tjänster eftersom användaren inte kommer att ha ett enda lösenord på flera tjänster.


4. Zero Trust är grundregeln

Det finns gott om exempel där tjuvar har fått in en fot i dörren till datorsystem och sedan mödosamt arbetat sig inåt för att bygga upp privilegier och gradvis få mer och mer tillgång till privilegierade system och data. 

Nya system måste utformas så att dessa möjligheter utesluts så gott det går, och befintliga system måste uppdateras så att de möjligheter som för närvarande finns undanröjs.

→ Läs mer om Zero Trust


5. On- och offboarding kan ske utan fysisk närvaro

En viktig del av onboarding-processerna har ofta varit att nya användare måste infinna sig fysiskt, ofta med ett pass eller annan fysisk legitimation, för att man ska vara helt säker på att de är den de säger sig vara. Ett blad med användarnamn och lösenord för åtkomst till användarkontot och allt annat som kan behövas i uppstartsprocessen brukar överlämnas.

I spåren av pandemin har distansarbete ökat kraftigt och fler och fler organisationer öppnar upp för möjligheten att inte anställda behöver vara fysiskt närvarande för att kunna utföra ett tillfredsställande arbete.

Genom att koppla identitetskontrolltjänster till onboardingprocessen, som BankID i Norge eller MitID och NemID i Danmark, kan man virtuellt utföra delar av de processer som tidigare var tvungna att göras ansikte mot ansikte.


6. CIAM är ett viktigt fokusområde

Många organisationer är på god väg att ta itu med IAM för anställda och andra som definieras som interna, dvs. "enterprise IAM". Många har börjat se säkerhets- och effektivitetsvinster.

CW_illustrasjon_CIAM

Om det är dessa erfarenheter som gör att de nu har börjat se hur man kan uppnå liknande fördelar även för kundanvändare kan vi inte säga med säkerhet, men det råder ingen tvekan om att trycket kring Customer Identity and Access Management (CIAM) är mycket större nu än för ett eller två år sedan. Trycket kommer att fortsätta att öka fram till 2023.

→ Läs mer om CIAM


7. Ökad användning och inverkan av AI och maskininlärning

Precis som maskininlärning och AI vinner mark på andra områden kommer IAM också att använda denna teknik för att stödja system och processer. Initialt är detta relaterat till att upptäcka och hantera säkerhetsincidenter, vilket vi redan ser med till exempel Oktas ThreatInsight. På lång sikt finns det många olika delar av IAM som kommer att kunna dra nytta av detta.


8. Molnbaserad PAM

Privileged Access Management (PAM) har under många år handlat om serveråtkomst och Windows-domänadministration. I takt med att infrastrukturen och tjänsteportföljen utvecklas för de flesta organisationer, ökar också behovet av PAM. Den måste på ett holistiskt sätt relatera till allt från Windows/Linux, Azure/Amazon/Google, Kubernetes och containrar och allt det där.

CW_illustrasjon_teamwork

Dessutom räknar vi med att organisationer kommer att vilja öka storleken på "PAM-paraplyet" för att täcka större användargrupper och fler åtkomster, även när det gäller datamängder, för att uppnå PAM-värde på fler ställen än vad som traditionellt har varit målet för PAM.


9. Lagar, krav och bestämmelser

Resultatet av flera års historia av säkerhetsincidenter, dataförluster och "kreativa" lösningar kring personuppgifter, dyker det upp allt fler lagar, krav och bestämmelser som påverkar organisationers behov av och krav på IAM-system och de processer som de måste använda.

Många organisationer håller just nu på att upprätta cyberförsäkringar och det finns många åtgärder som ska dokumenteras och genomföras i deras arbete och uppföljning.

Detsamma kan sägas om certifieringar som omfattar tjänsteområden som inkluderar IAM. IAM-systemen kommer alltså inte bara att kunna leverera säkerhet och effektivitet i olika sammanhang, utan också kunna dokumentera det på ett bra och regelbundet sätt.

Dessutom är Schrems II-frågan långt ifrån löst, vilket kommer att påverka nästan alla diskussioner om norsk/europeisk användning av amerikanska och amerikanskägda molntjänster.


10. Konsolidering av IAM-marknaden

Under de senaste åren har vi sett en ökande tendens för de stora aktörerna på IAM-marknaden att förvärva eller slå sig samman med andra aktörer för att öka sina marknadsandelar eller förvärva förmågor där de tidigare var svaga. Detta gäller både bland de leverantörer som finns på marknaden (som Oktas förvärv av Auth0) och de som är involverade i att leverera och implementera dessa system. Det finns ingen anledning att tro att detta är något som kommer att avta under 2023 eller därefter.

Fler artiklar

Vad är egentligen Identity and Access Management (IAM)?

Vad är egentligen Identity and Access Management (IAM)?

Väd är Single Sign-On (SSO)?

Väd är Single Sign-On (SSO)?

10 trender inom IAM för 2024

10 trender inom IAM för 2024

5 åtgärder för att bli redo för NIS2 med Identity and Access Management

5 åtgärder för att bli redo för NIS2 med Identity and Access Management

Resebrev från Oktane 2023

Resebrev från Oktane 2023

Hur kan IAM hjälpa till att säkerställa compliance?

Hur kan IAM hjälpa till att säkerställa compliance?

Cloudworks Group AS

Cloudworks Norge
Cloudworks AS
Org.nr. 927 879 662

Karenslyst allé 2
0278 Oslo
(+47) 22 49 07 30
kontakt@cloudworks.no