Strategisk eller taktisk innføring av IAM? To be or not to be.

19 05 2009

At sikkerhet er viktig hersker det vel ingen tvil om. Alle mener at sikkerhet er viktig, i teorien. Men det er ikke det samme som at det finnes en forankret og fungerende bevissthet rundt sikkerhet i norske virksomheter, spesielt når vi ser på informasjonssikkerhet. Men er det ikke slik at de fleste virksomhetene i dag har sine største verdier i nettopp informasjon? Informasjonssikkerhet er sjelden prioritert hos ledelsen, noe som resulterer i at mange virksomheter lider av bristende sikkerhet i sin informasjonshåndtering. Disse bristene er tydelige på flere områder, og i tillegg til 845327_medbevisstheten rundt alminnelig sikkerhet, er det synlig i valg av tekniske løsninger og økonomiske prioriteringer. Siden de økonomiske ressursene sjelden fokuserer på overgripende risikoanalyser er det vanskelig å vite hvilket nivå av sikkerhet som kreves, og dette fører igjen til feilaktige prioriteringer. Det er nødvendig å forstå at informasjonssikkerhet er betydelig mer enn IT-sikkerhet, og at området går på tvers av samtlige funksjoner i organisasjonen, og vi trenger derfor å tydeliggjøre ansvar og roller, samt flytte fokuset fra teknikk og over til strategisk planlegging, policyarbeid og styring.

Informasjon og systemene som behandler informasjon er kritisk for selskaper, og tilgang til pålitelig informasjon er en nødvendighet for å drive forretninger. Kontroll på hvilke brukere som til enhver tid har tilgang til hvilken informasjon er en viktig brikke i arbeidet med informasjonssikkerhet. Full kontroll på brukere og tilganger er et ufravikelig krav, og en effektiv måte å løse dette på er innføring av en Identity & Access Management (IAM) løsning. En brukers identitet og hvilke tilganger denne skal ha er det sentrale i IAM, og handler i bunn og grunn om alt som skal skje fra en bruker blir opprettet og helt til den en gang skal slettes.

Innføring av en IAM infrastruktur har de siste årene blitt et viktig og nødvendig fokus for mange bedrifter for å få bukt med det voksende problemet som er forbundet med brukeradministrasjon og tilgangskontroll. Noen av problemene er at brukere får for mye tilgang, at tilgang ikke fjernes, at tildeling tar for lang tid og revisjonsanmerkninger kommer på løpende bånd. Erfaring viser at en vellykket innføring av en IAM infrastruktur består av mye mer enn tekniske problemstillinger. Faktisk er det slik at ledelse og styring ofte er det mest utfordrende for en langvarig suksess. Det viser seg at i de prosjektene som har lykkes med IAM utgjør fokus på den tekniske implementeringen kun 20 % av den totale tiden og ressursbruken som er nedlagt. 80%  handler i stor grad om prosesser og organisasjon. Det sier noe om det forarbeid som må ligge til grunn og de leveransene av ikke-teknisk art som må leveres i de ulike fasene som et slikt prosjekt består av.

Et IAM prosjekt har svært liten mulighet for å lykkes ved kun fokus på teknologi. Flere og flere norske organisasjoner og bedrifter er nå blitt interesserte i å starte et IAM prosjekt, men dessverre ser de fleste på dette som et teknisk prosjekt hvor anskaffelse av en IAM løsning er noe av det første som skjer. Dersom du skulle bygge et hus er jeg villig til å vedde om at tomten kjøpesførst og at huset tegnes før snekkeren setter igang med sin jobb. Men IAM anskaffelsen foretas uten at alle krav er vurdert og dokumentert. Mange velger å kopiere andre selskaper krav og tror at de samme kravene vil gjelde for sin virksomhet. Dette er ikke spesielt fornuftig, og slurv forbundet med kravspesifikasjon som ikke er tilpasset egen organisasjon vil trolig straffe seg ved et seinere tidspunkt. Videre er det i de fleste tilfeller IT-avdelingen som er initiativtaker, og prosjektet er ikke forankret hos ledelsen eller andre interessenter utenfor IT-avdelingen. Disse IAM initiativene blir fort overrasket over kompleksiteten av denne type innføringer, som da gjerne allerede har gått langt over budsjett, er underbemannet med ressurser, og langt unna målet (hvis det i det hele tatt er definert et mål). Årsaken til at disse prosjektene feiler er som oftest mangelfull styring og ledelse, manglende planlegging, ignorering av behovet for å endre prosesser, og ikke feil i teknologien. Nøye planlegging og grundige forberedelser er grunnleggende suksessfaktorer for å innføre en IAM infrastruktur som gir strategiske verdier for virksomheten.

Det er i utgangspunktet to måter å løse et IAM problem på. Den taktiske måten og den strategiske måten. Vi sier at initiativ som i sin helhet er drevet av et IT perspektiv er en taktisk tilnærming. Dette er ofte drivere som for eksempel å redusere arbeidsmengden til brukerstøtte eller IT sikkerhetsadministrasjon. Dette karakteriseres ofte ved plattformspesifikke produkter, få eller ingen endringer av forretningsprosesser forbundet med ansettelser, endringer eller slettinger av brukere, og de har ikke spesielt stort behov av støtte og forankring hos ledelsen siden disse prosjektene har liten eller ingen påvirkning på hele organisasjonen. Taktiske løsninger kan levere raske resultater med lite omfang og har begrensede kostnadsbesparelser. En strategisk tilnærming derimot dekker hele virksomheten og påvirker hele organisasjonen hvor resultatet er en felles løsning med sentralisert eierskap. Fokuset er i mange tilfeller linket til risiko, effektivitet og konkurransefortrinn, og ofte med et sterkt fokus på styring og etterlevelse. Fordelene kan være store, men det gjelder også risiko. Et feiltrinn tidlig i prosessen kan sette hele prosjektet i fare. Strategiske prosjekter tar lenger tid å gjennomføre, ofte er det snakk om flere år, men en vellykket implementering vil gi desto større gevinst for virksomheten.

Share on Facebook

Reklamer

Handlinger

Informasjon

Legg igjen en kommentar

Fyll inn i feltene under, eller klikk på et ikon for å logge inn:

WordPress.com-logo

Du kommenterer med bruk av din WordPress.com konto. Logg ut / Endre )

Twitter-bilde

Du kommenterer med bruk av din Twitter konto. Logg ut / Endre )

Facebookbilde

Du kommenterer med bruk av din Facebook konto. Logg ut / Endre )

Google+-bilde

Du kommenterer med bruk av din Google+ konto. Logg ut / Endre )

Kobler til %s




%d bloggere like this: