Identity and Acess Management was altijd al een discipline met uitdagingen en valkuilen. Afdoende beveiliging van de bedrijfsmiddelen zonder het leven van de gebruikers te vergallen, is een kunst op zich, zeker in een wereld waarin leveranciers zich weinig gelegen laten aan de oplossingen van anderen en net zo makkelijk weer eens een afwijkende methode van of protocollen voor authenticatie bij hun product introduceren. Maar zolang die zaken nog intern op te lossen waren, viel ermee te leven.

Nu echter liggen de zaken nog gecompliceerder. De ontwikkelingen rondom cloud en BYOD hebben wereld van IAM al stevig veranderd, maar naar verwachting zal the internet of things de boel helemaal op zijn kop gooien. In 2020 zal de IAM-architectuur daarom in niets lijken op wat we nu onder IAM verstaan, stelt Gregg Kreizman, research VP bij Gartner. Op de Gartner IAM Summit in Los Angeles, schetste hij 7 belangwekkende IAM-trends om in de toekomst rekening mee te houden.

1 Iedere gebruiker is een consument

Consumentenproducten veranderen de verwachtingen van medewerkers. De interfaces zullen meer gaan lijken op wat we kennen van de business-to-consumermarkt, en minder op de gekende constructie met authenticatie vanuit Microsofts Active Directory. Die omslag krijgt de komende zes jaar gestalte. In 2020 zal 80 procent van de digitale toegangsrechten gevormd zijn door de mobiele en non-pc-architecturen, schat Gartner, tegen 5 procent nu. Kreizman: “Dat houdt ook in dat de gebruiker verwacht dat authenticatie vanaf een smartphone echt moet zijn toegesneden op dat device. Hij moet niet het idee krijgen dat het allemaal gekopieerd is van het procedé zoals dat bij de klassieke pc werd gebruikt.”

2. Er ontstaat een markt voor identiteiten

Er zal druk ontstaan om identiteitscontrole te outsourcen, voorspelt Gartner. Er zullen bijvoorbeeld identificatiemethoden in zwang komen via de camera en de microfoon van smartphones die door derden worden verzorgd. In 2020 zal – aldus Kreizman – 60 procent van de digitale identiteiten waarmee bedrijven interactie hebben, geborgd zijn door externe, onderling concurrerende identiteitsleveranciers, tegen 10 procent nu. Als reden voor deze verschuiving voert Kreizman aan dat gespecialiseerde identityproviders beter in staat zullen zijn om de snelle ontwikkelingen rondom bijvoorbeeld biometrie te volgen en om hun producten en procedures continu daarop aan te passen.

3. Het einde van het principe ‘niet meer dan nodig’

Security en authenticatie drukken (te) zwaar op de IT-budgetten en dus is er een omslag in het denken nodig. De mantra van Kreizman daarbij is people centric security. “Het principe is nu veelal: je krijgt alleen toegang tot dat wat je volgens de organisatie nodig hebt. Maar dat gaat verschuiven naar: je krijgt toegang tot alles wat niet expliciet verboden is.” De meeste mensen zullen immers gegevens die voor henzelf en hun organisatie van belang zijn niet naar buiten brengen. Vanuit die gedachte verdient het aanbeveling om de meer alledaagse data en informatie af te schermen met een basic-beveiliging tegen pottenkijkers van buiten en een state of the art beveiliging in te stellen voor de echt vitale informatie. Naar schatting van Gartner zal in 2020 80 procent van de bedrijven hun medewerkers geen beperkingen meer opleggen aan het raadplegen van gegevens die niet bedrijfskritisch zijn; nu is dat minder dan 5 procent, stelt Gartner. Dat heeft ook consequenties voor het budget dat ze uittrekken voor IAM: de bestedingen zullen tegen die tijd 25 procent lager liggen dan nu. Advies van Kreizman: “Investeer een gedeelte van het geld dat je uitspaart wel in een goede realtime monitoring van wat je mensen doen en welke bestanden ze zoal raadplegen.”

4. De huidige prijsmodellen worden onhoudbaar

Kreizman: “Onze gedachte was altijd: IAM bespaart je organisatie uiteindelijk geld. Nu echter zien we dat er in toenemende mate kanttekeningen worden geplaatst bij die opvatting. IAM-trajecten worden complexer en vanuit de business heerst de perceptie dat het teveel tijd en teveel geld kost. Organisaties willen af van grote projecten waarin ze met behulp van een dienstverlener een IAM-architectuur implementeren. En ze zullen in afnemende mate bereid zijn te betalen per gebruiker. Dat geeft veel administratieve rompslomp, en draait er onherroepelijk op uit dat men betaalt voor ID’s die niet in gebruik zijn. Transactie- en processorgebaseerde prijsmodellen zullen dus aan populariteit winnen. Deze tendenzen zullen ertoe leiden dat de kosten van IAM in 2020 in reële termen 40 procent lager zullen liggen dan vandaag de dag. Nu al zie je dat ontwikkelingen als identity as a service en inloggen via socialmedia-profielen de markt stevig opschudden.”

5. Attributen nemen de plaats in van rollen

De context waarin iemand toegang zoekt tot bedrijfsnetwerken gaat een steeds belangrijker rol spelen naarmate personen via verschillende ingangen en apparaten contact leggen. Toegangscontrole op basis van attributen – waarbij bijvoorbeeld bepaalde datatsets alleen toegankelijk zijn via de met inlogcode beveiligde laptop van medewerker X zolang hij in Nederland is – wordt daarbij de regel. Nu nog maken bijna alle organisaties gebruik van rolgebaseerde toegangscontrole. Gartner verwacht dat in 2020 70 procent is overgestapt op attribuutgebaseerde toegangscontrole. Daarbij zullen organisaties toegangsregels deels moeten ‘samenstellen’ met attributen die ze van derden in de markt moeten verkrijgen, wat het opstellen en controleren van de naleving van regels nog een hele klus kan maken.

6. Identiteitsbeheer wordt eindelijk slim

Analyse gaat voor organisaties een sleutelrol spelen om een wie-is-wie-beeld te krijgen. Identiteitsbeheer moet naadloos aansluiten op het werk van specialisten in business intelligence. In 2020 zal 60 procent van de organisaties voordeel trekken uit toepassingen voor identiteitsanalyse en –intelligentie, denkt Gartner, tegen minder dan 5 procent nu. Kreizman: “Edward Snowden heeft meer ontketend in IAM dan alle ontwikkelingen van de afgelopen 20 jaar. We monitoren niet genoeg wie welke bestanden bekijkt. Die gegevens zijn uiteraard interessant voor je risico-analyse, maar ze kunnen je ook waardevolle klantinformatie opleveren. Praat eens met de jongens van Business Intelligence en kijk hoe je IAM en analytics kunt combineren.”

7. Internet of Things zorgt voor complicaties

Kreizman grijnzend: “Dacht u dat IAM voor mobile lastig was? Wacht dan maar eens af tot the Internet of Things werkelijk losbarst. Dit verandert het speelveld ingrijpend. De mobiele revolutie geeft een eerste inkijkje in de complicaties waar organisaties mee te kampen krijgen. Slimme meetapparatuur en verschillende types sensoren zullen het besef doen ontstaan dat ‘op internet niemand weet dat je een sensor bent’. Het Internet of Things zal er tegen 2020 voor gezorgd hebben dat het concept identiteitsmanagement ook betrekking heeft op wat mensen bezitten, delen en gebruiken. Uw organisatie krijgt contact met een heel scala aan apparaten waarvan een ID gemanaged moet worden. Wen er maar aan.”

Adviezen Gartner zou Gartner niet zijn als het zijn toekomstverwachtingen niet liet uitmonden in een aantal adviezen voor de IAM-discipline binnen organisaties: Richt u in de planning op goedkopere IAM-oplossingen die makkelijerk schaalbaar, sneller in te voeren, intelligenter, branchespecifiek en mensgericht zijn. Onderzoek de mogelijkheden van andere oplossingen dan in-huissoftware. Houd de ontwikkeling van IAM-standaarden rond federatie bij. Benut bestaande data voor analysedoeleinden en plan hoe u aan aanvullende data komt. Evalueer branchespecifieke IAM-oplossingen Geef voorrang aan de gebruikerservaring bij nieuwe investeringen in IAM om frictie bij de acceptatie door medewerkers zo klein mogelijk te maken. Wees niet bang om eens rond te shoppen bij nieuwe en andere leveranciers. Begin met een klein projectje en zie hoe dat uitpakt.