Ingen av cheferna ville hantera digitala identiteter så VD:n bestämde sig för en ny och kreativ lösning.
Vi vet alla att information är makt. Trots det tror de flesta att det är it-avdelningen som måste ta hand om företagets personuppgifter. Sanningen är den att modern hantering av digitala identiteter har mycket lite att göra med it och allt att göra med god styrning.
Många av dagens organisationer måste hantera enorma mängder personuppgifter. När mängden dataposter ökar behövs något slags datasystem för att hantera dem, oavsett om det handlar om uppgifter som rör anställda, partner, försäljare eller kunder.
Var det någon som sa ”datasystem”? Det låter som ett jobb för teknikavdelningen! Visst, vi behöver it-avdelningen för att underhålla systemen och hantera alla tekniska frågor, men nyckeln till lämplig identitetshantering ligger någon annanstans än i datacentret.
Incidenter ger perspektiv
Jag hörde talas om ett företag som anställde en ny vd för några år sedan. Hennes förra arbetsgivare hade utsatts för ett cyberangrepp. På sitt nya företag frågar hon hur det går med identitets- och åtkomsthanteringen på varje möte med ledningsgruppen. Om det finns några problem får ledningsgruppen veta det omedelbart.
Enligt Ray Wagner på Gartner spelar det ingen roll vem som ansvarar för de digitala identiteterna, även kallad IAM (Identity Access Management), i en organisation, så länge som denna person ingår i ledningen. Det är någon i den högsta ledningen som får förklara för media varför en anställd kunde manipulera konfidentiella företagsuppgifter eller varför ett intrång orsakade så mycket skada. Det är alltid chefen som blir intervjuad, inte it-avdelningen.
Lyckligtvis är det inte lika svårt att hantera IAM som det kan verka. Nixu har haft ett par kunder som har hanterat digitala identiteter mycket framgångsrikt.
En ovanlig IAM-lösning
En av våra kunder hanterade löpande 15 000 personuppgiftsposter och planerade att utöka sina digitala tjänster ännu mer. Ledningsgruppen diskuterade hur man skulle hantera identitet och åtkomst i den växande organisationen. Vd:n var övertygad om att de behövde en ansvarig person som tog hand om IAM-frågorna.
”Några frivilliga?” frågade vd:n och tystnaden sänkte sig över rummet. Männen och kvinnorna i ledningen var upptagna och hade svårt att uppbåda engagemang för IAM. ”Okej, inga problem”, sa vd:n. ”Vi börjar med den som kommer först i alfabetisk ordning!”
Så den i ledningen som kom först i alfabetet tog ansvar för IAM – under det första året. Året därpå fortsatte nästa person och så vidare. Den som hade ansvaret behövde inte nödvändigtvis känna till alla IAM-detaljer. I praktiken var det den utsedda ledningsmedlemmen som såg till att IAM hade tillräckligt med resurser och hade förutsättningar att utvecklas.
Nyckeln till god styrning, gott ledarskap och god cybersäkerhet
Rutiner och tydliga ansvarsområden – det är vad god styrning, gott ledarskap och god cybersäkerhet innebär på riktigt. Visst är det enkelt?
Inom IAM innebär god styrning att organisationen vet vilka åtkomsträttigheter som delas ut och till vem samt vad som kan göras med en specifik kontotyp. I en digital identitets livscykel inbegrips olika rättigheter, såsom när kundförhållanden, anställningar eller partnerskap tar slut. Det måste finnas en god förståelse för vad som händer när roller ändras, vem som ger åtkomst, vilken åtkomst som beviljas och vilken som dras tillbaka. När allt flyter på är det ingen som ens märker det.
Testa ditt företags säkerhetsmognad vad gäller IAM. Till testet: nixu.com/sv/DI