Vad är egentligen Identity and Access Management (IAM)?

IAM är avgörande för att säkerställa att rätt personer har tillgång till rätt system och data vid rätt tidpunkt. Vad innebär det, och varför är det så kritiskt?

Tidigare var det vanligt att endast få tillgång till företagets data när man var fysiskt på arbetsplatsen. Brandväggar och centraliserad infrastruktur med datacenter i källaren säkerställde att användarna hade tillgång så länge de var på jobbet. Alla som var utanför byggnaden betraktades som utomstående och blev utestängda från tjänsterna.

Med molnlösningar och hemmakontor har detta blivit mer komplicerat, och den digitala identiteten har blivit avgörande för att användarna ska ha tillgång till rätt system. Detta placerar IAM i förarsätet, både för att säkra systemen, men också för att erbjuda tjänster på ett bra sätt till de användare som behöver dem. CW_illustration

Vad är IAM?

IAM står för Identity and Access Management, vilket kan översättas till identitets- och åtkomsthantering.

Kärnan i IAM handlar om att användare ska kunna logga in och använda olika IT-tjänster, och att de får tillgång till att göra det de behöver och precis det de ska ha rätt att göra – och inte mer.

Kortfattat omfattar detta vanligtvis att säkerställa:

Korrekta och kompletta användardata
God översikt över aktiva användarkonton
Rätt användare har rätt tillgång
Säker identifiering av användaren
Användarvänlig inloggning på applikationer och tjänster
Så mycket automatisering som möjligt av skapande, underhåll och radering av användardata och tillgångar

Vad är Identity Management?

Identity Management, eller identitetshantering, handlar om att kunna identifiera och beskriva en användare. Vad är för- och efternamn? Vad är jobbtitel? Hur ser personen ut? Vilken avdelning jobbar personen på? Därefter måste man se till att informationen är korrekt och hålls uppdaterad, och att den skickas ut till de olika systemen och applikationerna som behöver ha denna insyn.

Även om inte alla företag har dedikerade IAM-system, så bedriver alla organisationer någon form av identitetshantering. Det vill säga rutiner och processer för att registrera och skapa användarkonton och tillgångar för nya anställda, och – förhoppningsvis – att ta bort dem igen när personen slutar. Och det är ett ganska stort spann på hur bra dessa processer är, hur väl de tar hänsyn till olika situationer och scenarier och hur bra de fungerar i praktiken.

När behöver företag identitetshantering?

Företag bör senast börja ha ett medvetet förhållningssätt till hanteringen av identiteter och tillgångar redan när de närmar sig 20 anställda. Då börjar man tappa överblicken över vem som gör vad, och man bör börja tänka på hur man löser det. Om man bör titta på dedikerade IAM-system beror på hur komplicerade företagets tjänster är, och hur stora krav man har på säkerhet.

Företag bör tänka på hanteringen av identiteter och tillgångar redan när de närmar sig 20 anställda.

Vad är Access Management?

Access Management, eller åtkomsthantering, handlar om vilka tjänster och applikationer användare ska kunna logga in på, samt vad de ska få tillåtelse att göra och vilken data de ska få insikt i när de är inne i tjänsterna.

I vissa tjänster ska man kunna logga in och redigera sina egna dokument, medan en annan person kanske ska ha möjligheten att gå in som en superanvändare med vidare privilegier och rättigheter att göra saker. Med ett ständigt växande antal tjänster och applikationer, blir detta en allt mer komplex logistik.

Sårbart med ett användarnamn och lösenord till alla system

Förr var det ofta så att du hade tillgång till åtta system med åtta användarnamn och lösenord. Det var inte ovanligt att se buketter av post-it-lappar som hängde runt arbetsplatsen för att folk skulle kunna komma ihåg vilket användarnamn och vilket lösenord som gick till vilket system.

Så småningom började man koppla samman systemen så att man endast behövde ett användarnamn och lösenord som sedan distribuerades ut till alla system. På så sätt uppnår man mycket bättre användarvänlighet, men säkerheten sjunker och man blir mer sårbar. Om du förlorar lösenordet, har inkräktaren plötsligt tillgång till alla de andra systemen också. Säkerheten är därmed aldrig starkare än det svagaste systemet.

Precis som en kedja aldrig är starkare än sin svagaste länk, så var säkerheten aldrig starkare än det svagaste systemet.

Central identitetstjänst för ökad säkerhet och användarvänlighet

En bättre lösning kan vara en central identitetstjänst (IdP), som genomför identifieringen på ett säkert sätt för de olika systemens räkning. När den centrala IdP:n intygar användaren, skickas besked tillbaka till systemet. Eftersom systemet inte har någon kunskap om hur användaren har autentiserats eller vilket lösenord användaren har, riskerar man inte att informationen kan användas för att logga in någon annanstans vid ett eventuellt intrång i en av tjänsterna. På så sätt har vi fått det bästa av två världar: både ökad användarvänlighet och ökad säkerhet.
CW_illustration

Frigörande av resurser, ökad effektivitet och förbättrad säkerhet

Efterhand som man får kontroll kommer man att se att arbetet frigör resurser och gör saker mer effektiva. Till exempel kan företaget spara pengar eftersom licenser blir lediga när man inte betalar för gamla användare, och eftersom användare och servicedesk inte behöver spendera mycket tid på lösenordsåterställning.

Det blir enklare att allokera resurser till vidare utveckling och implementering av lösningar som stödjer god identitets- och åtkomsthantering, när man ser att man sparar resurser och förbättrar säkerheten. Särskilt när man har gjort vinster tydliga för både verksamheten och slutanvändarna.

Gjort rätt kommer IAM att vara en "force multiplier" för ditt företag. Både i arbetet med att säkerställa solid säkerhet runt tjänster och data, samt att effektivt tillhandahålla bra tjänster till dina slutanvändare!