Autorisatiemanagement, allang geen niche meer
In IT projecten is autorisatiemanagement een onderwerp dat steeds meer aandacht vraagt. Dankzij de AVG uiteraard maar ook omdat de impact van fouten steeds zichtbaarder wordt. We zien het terug in het groeiende aantal opdrachten.
117.000 cv’s in twee weken
De overheid heeft regelmatig aansprekende opdrachten. En dat al die mooie projecten helaas nog wel eens worden overschaduwd door nieuws over IT problemen bij diezelfde overheid. En dan vraag je er bijna om, twee dagen later haalde het UWV de voorpagina’s. De uitkeringsinstantie meldde dat iemand in korte tijd via een werkgeversaccount op werk.nl 117.000 cv’s en de contactgegevens van kandidaten had verzameld.
De reacties waren uiteraard niet van de lucht en de vergelijking met dating sites was snel gemaakt. Die maken de contactgegevens van hun leden tenminste niet rechtstreeks toegankelijk voor anderen. Niet helemaal eerlijk die vergelijking, want een werkzoekende wordt natuurlijk liever vandaag dan morgen door een werkgever benaderd. Terwijl je op een datingsite misschien toch liever eerst even de kat uit de boom kijkt. De kans dat een werkgever na een afwijzing alsnog dagelijks hinderlijk met bossen bloemen op de stoep staat, is nu eenmaal een stuk kleiner.
Uitdagingen rondom autorisatiemanagement
Het voorval illustreert wel direct de uitdagingen waarmee vrijwel alle bedrijven en organisaties te maken hebben. Het is steeds lastiger om onze werk en dienstverlening volledig te digitaliseren en tegelijkertijd scherp te blijven op welke personen op welk moment toegang mogen hebben tot applicaties en gegevens. Een uitdaging die met de striktere AVG en privacywetgeving van vorig jaar alleen maar groter is geworden. Identity en Access Management (IAM) – waarin autorisatiemanagement een centrale rol speelt – vormt dan ook zonder uitzondering een belangrijk aandachtsgebied binnen grote IT projecten.
Want we willen mensen die eenmaal hebben ingelogd graag zonder extra hindernissen toegang geven tot al hun data en applicaties (Single Sign-On). Maar ook zorgen dat bij een functieverandering automatisch de toegangsrechten mee veranderen, het zogenaamde Role Based Access Control. En hoe voorkom je dat een vertrokken medewerker nog maandenlang ongemerkt toegang heeft tot informatie? Of vrolijk blijft meekijken op de afdelingsapp? Het gaat er ook niet alleen om dat we de toegangsrechten veilig organiseren, maar ook dat we het gebruik ervan actief monitoren. In het UWV geval was het niet verboden dat via een werkgever account cv’s werden bekeken. Maar 117.000 keer vanaf één account? Dat was natuurlijk niet de bedoeling.
Uitdagingen genoeg op voor autorisatiespecialisten
We zien die groeiende complexiteit terug in onze opdrachten bij HeadFirst. Identity en Access Management en andere security competenties hebben zich ontwikkeld van een ingewikkelde niche voor specialistische projecten tot een must-have voor vrijwel ieder serieus project. En hoe groter dat project is, des te complexer zijn de bijbehorende autorisatievraagstukken. Tijd dus om jouw kennis op het gebied van autorisatiemanagement weer eens ergens anders in te zetten? Dan ben je bij ons aan het juiste adres. Check de actuele opdrachten of schrijf je direct even in.