Digitaal thuiswerken extra aanleiding om toegangsbeheer en autorisaties te automatiseren

Identity & access management

Nu medewerkers massaal vanuit huis werken en op afstand toegang nodig hebben tot bedrijfssystemen, staat de controle op die toegang meer in de aandacht. Gevoelige financiële bedrijfsdata staat tegenwoordig vaak in de cloud en moet op afstand beschikbaar worden gemaakt voor bijvoorbeeld uw finance professionals om ze efficiënt te laten werken. Wie heeft toegang tot welke systemen en bedrijfsdata en welke rechten (autorisaties) hebben zij? Organisaties doen er goed aan de processen voor 'identity & access management' (IAM) aan te scherpen en te automatiseren met behulp van een digitale GRC-tool voor governance, risk & compliance, vertellen PwC’ers Zouhair Taheri en Jeffrey van den Haak. 

Handmatige controle achteraf

Taheri: ‘Door de coronapandemie zijn we massaal meer gaan thuiswerken en willen daarvoor toegang hebben tot dezelfde systemen als op kantoor. Werkgevers zullen het thuiswerken ook na corona deels willen voortzetten. Dat maakt dat IAM nu des te meer in de aandacht staat.’

Waar lopen organisaties tegenaan bij identity & access management, nu mensen meer thuiswerken? Van den Haak: ‘De norm was heel lang dat de controle op toegangsprocessen op vaste momenten handmatig plaatsvindt. Zo zien we dat iemand van de IT-afdeling of financiële administratie eens per maand de toegangsrechten van medewerkers handmatig reviewt. Er wordt een rapport uitgeprint, daar worden de rechten in afgevinkt, en als een medewerker om nieuwe rechten vraagt, loop je naar een collega verderop om te overleggen of dat is toegestaan. Nu iedereen thuis zit, komt de inefficiëntie van dat proces meer aan de oppervlakte – zeker als je weet dat zo’n reviewproces ook geautomatiseerd en realtime kan verlopen.’               

Tijdelijke toegangsrechten monitoren

‘We zien ook dat toegangsrechten gedeeld worden tussen collega’s onderling’, vervolgt Van den Haak, ‘of dat rechten ‘tijdelijk’ uitgebreid worden om uitval op te vangen van collega’s op bijvoorbeeld de finance-afdeling, zodat de jaar- of maandafsluiting toch tijdig afgerond kan worden. De oplossing ligt in de steeds geavanceerdere GRC-tooling voor governance, risk & compliance. Hiermee kun je bijvoorbeeld meer grip houden door het monitoren van de (tijdelijke) rechten van gebruikers. Tooling kan inzicht geven in hoe de rechten zijn gebruikt – zoals welke transacties zijn uitgevoerd en welke bedrijfsdata zijn benaderd – en kan rechten automatisch laten intrekken.’

Tools voor governance, risk & compliance

Taheri: ‘GRC-tooling kan een uitkomst zijn voor organisaties die veel verschillende systemen gebruiken en voor wie toegangsbeheer ervan lastig is – omdat de systeemarchitectuur complex is bijvoorbeeld, of omdat er te weinig menskracht is voor afdoende functiescheiding tussen individuen. Daarbij kan een GRC-tool ook een goede manier zijn om kosten te besparen door automatisering. Zeker voor organisaties die op het punt staan om te gaan werken met een ERP-systeem in de cloud, is het een goed moment om bij het ontwerp daarvan de IAM meteen goed neer te zetten.’

Continuous monitoring

Dat met de GRC-tools technisch steeds meer mogelijk is staat buiten kijf, vertelt Van den Haak, ‘maar het is niet zo dat deze tools out of the box optimaal werken. Het is belangrijk om de governance-processen van de organisatie goed vorm te geven voordat ze geautomatiseerd worden. Te vaak zien we dat organisaties hun bestaande processen as-is automatiseren, waardoor belangrijke verbetermogelijkheden gemist worden.’

‘Als organisaties de implementatie verstandig aanpakken, dan biedt een GRC-tool geweldige mogelijkheden voor risicobeheersing,’ stelt Taheri tot besluit. ‘Zo kun je, in plaats van achteraf maandelijks een controle uitvoeren en achter de problemen aanlopen, 'continuous monitoring' toepassen: het systeem monitort de data realtime en geeft een melding bij afwijkingen. Op die manier hou je van begin tot eind grip op de meest complexe verzameling systemen.’