IAM Expert Ricardo Kowsoleea van Cegeka aan het woord!

Welk onderwerp wil je graag uitlichten?

Identity & Access Management, of kortweg IAM, is een vakgebied in cybersecurity dat we binnen het cybersecurity domein “preventie” plaatsen. Het doel van preventie is om beveiligingsincidenten te voorkomen, maar daarnaast is het zeer belangrijk dat je als IT-gebruiker de juiste rechten hebt om je werk te kunnen doen.

IAM bestaat uit drie pijlers: Access Management, Identity Governance & Administration (IGA), en Privileged Access Management (PAM). Het zijn drie verschillende insteken op het thema identiteit. Of je nu bij een bank inlogt, op je Instagram aanmeldt of ‘s ochtends jezelf aanmeldt op het computersysteem van je werk: in al die gevallen moet je je aanmelden met een identiteit. Die identiteit speelt een belangrijke rol in een geautomatiseerde omgeving: wie ben je en wat mag je?

Wat de actuele ontwikkelingen in jouw vakgebied?

Het IAM-vakgebied is sterk geëvolueerd. Vroeger lag de focus vooral op ‘return on investment’, waarbij je kan denken aan het verminderen van calls naar de helpdesk of mensen zo snel mogelijk aan het werk krijgen bij in-dienst treden of gebruiksgemak zoals Single-Sign-On, met één gebruikersnaam en wachtwoord toegang krijgen tot verschillende doelsystemen.

Door regelgevingen zoals SOX, HIPAA en Basel II is rond 2003 de focus van return on investment verschoven naar compliance. IAM werd verplicht en werd daardoor vooral beschouwd als iets wat aangevinkt moest worden voor een audit en waar verder weinig mee gebeurde.

De laatste jaren zien we een verschuiving van compliance naar security, waarbij IAM leidend is in het beveiligingsbeleid. Vroeger was de firewall de toegangspoort tot je data, die zich on-premise bevonden. Die firewalls spelen nog steeds een rol. Maar nu data steeds vaker in de cloud staan, is het vaststellen van de juiste identiteit veel belangrijker geworden om toegang te krijgen tot data en applicaties.

Zie jij deze ontwikkelingen ook terug in bijvoorbeeld de media of op de werkvloer?

Zeker. Ransomware en moderne cyberaanvallen zijn enorm aan het toenemen. Niet alleen de grote bedrijven worden getroffen door beveiligingsincidenten, maar ook kleinere bedrijven zijn tegenwoordig een doelwit. Niet alleen de focus op security is hierdoor toegenomen, maar ook de IAM-programma’s zijn niet meer alleen voorbehouden aan grote bedrijven. En dat is maar goed ook! IAM is in deze huidige tijd niet meer beperkt tot maatwerk, er zijn inmiddels diverse gebruiksvriendelijke SaaS en managed services oplossingen op de markt gekomen, waarbij je alleen nog maar een connector met je eigen systemen nodig hebt.

Hoe laat jij je informeren over de ontwikkelingen?

De bron voor trends en ontwikkelingen zijn de bekende onderzoek- en adviesbureaus zoals Gartner en Forrester. Daarnaast verschaffen softwareleveranciers zelf ook veel informatie, echter moet je dat wel met de juiste bril tot je nemen. Daarnaast lopen softwareleveranciers vaak voor op wat de markt vraagt, m.a.w. ze hebben het over technologie waarvoor de marktvraag zich nog moet ontwikkelen. Heel veel informatie is online te vinden, maar je moet natuurlijk wel goed naar de broninformatie zoeken en hier met een kritische bril naar kijken. Niet alles wat online te vinden is, is automatisch de juiste informatie.

Hoe ben jij ‘expert’ over dit onderwerp geworden?

Dat is zo gegroeid. Ik heb mezelf in de afgelopen 22 jaar namelijk alleen maar op het IAM-domein begeven. Het bedrijf waarvoor ik werkte, inmiddels overgenomen door Cegeka, heeft altijd geïnvesteerd in kennisopbouw en kennisborging. Zodoende heb ik in heel Europa en zelfs daarbuiten conferenties en bijeenkomsten over dit topic bijgewoond. Inmiddels heb ik daardoor een groot netwerk opgebouwd en komt er nu ook veel informatie 'vanzelf' naar mij toe.

Wanneer is iemand in jouw optiek een expert en/of deskundige?

Nou, dat word je niet zomaar en dat kan je ook niet leren op school. Ik heb een heel leerprogramma ontwikkeld om van schoolverlater (HBO IT/Security) jezelf te ontwikkelen van Engineer naar Architect naar Consultant. Horizontaal instromen is eigenlijk geen optie ons vakgebied, je zal vanuit een technische basis jezelf moeten opwerken, verbreden en verdiepen. IAM is niet iets wat je er even bij doet, het is een vak waarin je specialist wordt.

Hoe zie jij de toekomst m.b.t. IAM?

In de nabije toekomst gaat IAM evolueren naar een managed service, en bij Cegeka breiden wij onze dienstverlening dan ook uit naar managed IAM-dienstverlening. Uiteindelijk willen we onze klanten ontzorgen op het gebied van de drie pijlers van IAM. In de toekomst moet IAM net zo eenvoudig worden voor de klant als Microsoft 365. Je betaalt dan een prijs per gebruiker per maand en klikt dit eenvoudig aan wanneer je het nodig hebt.