När är en IAM behovsanalys lämplig?
Det finns ett antal faktorer att ta hänsyn till när du skaffar en IAM-lösning, samt situationer som gör det lämpligt för en verksamhet att genomföra en behovsanalys.
Till exempel kan verksamheten behöva hjälp med att utarbeta en IAM-kravspecifikation eller att välja en lämplig lösning, eller så kan det behöva modernisera en befintlig IAM-lösning. Många organisationer befinner sig också i en övergångsfas från en on-prem IT-arkitektur till molnlösningar, vilket också kan utlösa behovet av en omfattande analys.
En behovsanalys kan också vara användbar för företag som upplever utmaningar med identitetshantering – som såsom mycket omfattande manuellt arbete, dålig kontroll, undermålig styring eller tidigare anställda som fortfarande har med kvarvarande tillgång. Detsamma gäller för organisationer som måste följa myndighetskrav som GDPR eller ISO 27.00x, samt behöver att dokumentera förändrings- och revisionsprocesser i samband med åtkomsthantering.
En önskan att implementera en Zero Trust-säkerhetsarkitektur, eller behovet av en säkrare och användarvänligare inloggningslösning, kan också vara goda skäl för att göra en behovsanalys.
Vad är en behovsanalys?
Behovsanalysen är en kartläggnings- och rådgivningtjänst och huvuddelen av kartläggningen genomförs i form av intervjuer och workshops.
I denna process bör minst en heltidsresurs dediceras som har insikt i organisationens systemportfölj, kunskap om säkerhetsarbete, och god förståelse av organisationens behov. Därutöver kommer det att stärka processen om ytterligare resurser som exemeplvis säkerhetschefen, HR-chefen och applikationsägarna deltar efter behov..
Tjänsten anpassas efter kundens situation och behov, och inkludera bl.a:
- Struktur och roller: Vad är affärsstrukturen, vilka användarkategorier ska lösningen innehålla och vem är ansvarig för att auktorisera åtkomsterna?
- On- og offboarding: Vilka är de befintliga rutiner finns för uppstart och avslut av användare samt åtkomsthantering?
- Självservice och automation: Vilka processer kan automatiseras, vad kan lösas med självbetjäning och vilka system och applikationer som kan integreras?
- Risk och sårbarhet: Vilka system är affärskritiska eller innehåller sekretessbelagd information, och vilka är riskerna med oönskad åtkomst?
- Governance og compliance: Vilka krav ställer organisationen på säkerhet och efterlevnad och vilka processer som kan eller bör förbättras??
Vad är resultatet av analysen?
Behovsanalysen resulterar i en omfattande rapport som överlämnas och granskas med er organisation.
Rapporten ger en översikt över organisationens nuvarande situation och mål samt presenterar ett grundligt och heltäckande konceptförslag med rekommendationer för hur behoven och målen bör åtgärdas.
I konceptförslaget ingår vanligtvis:
- Utkast till rollmodell anpassad till verksamhetens organisering
- Underlag för en långsiktig IAM-strategi med grupperade och prioriterade åtgärder
- Översikt över integrationsteknik för prioriterade applikationer
- Översikt över källor till identitetsinformation och all annan affärsinformation
- Översikt över automationsplan och rekommenderade självservicefunktioner
- Designrekommendation för processer i samband med on- och offboarding av användare
Konceptförslaget kan även att vara användbart som kravspecifikation vid en efterföljande upphandlingsprocess. Därtill kommer organisationens förståelse för ämnesområdet att öka - vilket både förbättrar kompetensen inför framtida upphandlingar, och bidrar till att öka medvetenheten för organisationen som helhet.