Hvornår er det hensigtsmæssigt med en IAM-behovsanalyse?
Det er en række faktorer at vurdere ved anskaffelse af en IAM-løsning, samt situationer der gør det hensigtsmæssigt for en virksomhed at gennemføre en behovsanalyse.
For eksempel kan virksomheden have brug for hjælp til at udarbejde en IAM-kravspecifikation og vælge den rigtige løsning, eller den kan have behov for at modernisere en eksisterende IAM-løsning. Desuden er mange virksomheder i en overgangsfase fra en on-prem IT-arkitektur til cloudløsninger, noget der kan udløse behovet for en omfattende kortlægning.
En behovsanalyse kan også være nyttig for virksomheder, der oplever udfordringer med identitetsstyring – for eksempel meget manuelt arbejde, dårlig kontrol eller tidligere medarbejdere der stadig har adgang. Det samme gælder for virksomheder, der skal overholde lovkrav som GDPR eller ISO 27.00x og dokumentere forandrings- og revisionsprocesser i forbindelse med adgangsstyring.
Et ønske om at introducere en Zero Trust sikkerhedsarkitektur eller behovet for en mere sikker og brugervenlig login-løsning kan også være gode grunde til at gennemføre en behovsanalyse.
Hvad er en behovsanalyse?
Behovsanalysen er en kortlægnings- og rådgivningstjeneste, og hovedparten af kortlægningen udføres i form af interviews og workshops.
Til denne proces bør virksomheden dedikere mindst én fagligt ansvarlig person, der har god indsigt i systemporteføljen, kendskab til virksomhedens sikkerhedsarbejde og god forståelse for forretningsbehovene. Derudover vil det styrke processen, hvis yderligere ressourcer såsom sikkerhedschefen, den HR-ansvarlige og applikationsejerne deltager efter behov.
Tjenesten vil blive tilpasset kundens situation og behov og vil blandt andet omfatte:
- Struktur og roller: Hvordan er virksomhedsstrukturen, hvilke brugerkategorier skal løsningen omfatte, og hvem autoriserer adgangene?
- On- og offboarding: Hvordan er eksisterende rutiner for opstart og afslutning af brugere og håndtering af adgange?
- Selvbetjening og automatisering: Hvilke processer kan automatiseres, hvad kan løses ved selvbetjening, og hvilke systemer og applikationer kan integreres?
- Risiko og sårbarhed: Hvilke systemer er forretningskritiske eller indeholder klassificerede oplysninger, og hvad er risikoen ved uønsket adgang?
- Governance og compliance: Hvilke krav har virksomheden til sikkerhed og compliance, og hvilke processer kan eller bør forbedres?
Hvad er resultatet af analysen?
Behovsanalysen resulterer i en omfattende rapport som overleveres og gennemgås med virksomheden.
Rapporten giver en oversigt over virksomhedens nuværende situation og målsætninger og præsenterer grundige og omfattende konceptuelle forslag med anbefalinger til, hvordan behovene og målsætningerne skal håndteres.
Konceptforslaget inkluderer typisk:
- Udkast til rollemodel tilpasset virksomhedens organisering
- Grundlag for en langsigtet IAM-strategi med gruppering og prioritering af tiltag
- Oversigt over integrationsteknologi til prioriterede applikationer
- Oversigt over kilder til identitetsoplysninger og eventuelle andre forretningsoplysninger
- Oversigt over automatiseringsplan og anbefalede selvbetjeningsfunktioner
- Anbefalet udformning af processer i forbindelse med on- og offboarding af brugere
Konceptforslaget vil også være nyttig som kravspecifikation ved en eventuel påfølgende anskaffelsesproces. Derudover øger virksomheden forståelsen af fagområdet – noget som både forbedrer bestillerkompetencen ved videre anskaffelse, og bidrager til bevidstgørelse for organisationen som helhed.