Onze visie

De digitale transformatie maakt duidelijk dat de spreekwoordelijke slotgracht niet meer volstaat. Aanvullende maatregelen zijn nodig om te borgen dat de juiste persoon, op het juiste moment, over de juiste informatie beschikt. Het gaat daarbij om een integrale aanpak van people, process en technology.

Binnen deze veranderende context is de identiteit de enige constante en die drijft de security. Wij spreken daarom over Identity Driven Security in plaats van Identity & Access Management (IAM).

Identity Driven Security, een bijzondere uitdaging.

In de markt is IAM een containerbegrip. Binnen de Raad van Bestuur wordt erover gesproken, maar ook de beheerders op de werkvloer zijn er mee bezig. Iedereen benadert IAM in zijn/haar eigen vocabulaire en het vraagt om samenwerking en afstemming. Een bijzondere uitdaging.

IAM is geen doel op zich.

In de beginjaren werd IAM vooral ingezet voor efficiencywinst op de IT-afdeling. Vanaf 2002, na aanleiding van de Sarbanes-Oxley wet (SOx) en de regelgeving die daaruit voortvloeide, werd IAM ook steeds vaker gebruikt voor compliance-doeleinden. De CFO was ineens hoofdelijk aansprakelijk voor het autorisatiemanagement van het gehele bedrijf. De laatste jaren verschuift de focus naar het beschermen van reputatie en het beheren van risico’s. In een wereld waar cloud en mobile een enorme vlucht hebben genomen zijn de risico’s iedere jaar complexer en moeilijker te detecteren. Denk aan grote datalekken, misbruik door interne medewerkers of aanvallen gericht op het verkrijgen van intellectueel eigendom.

Wij begrijpen dat IAM geen doel op zich is, maar dat het een oplossing moet bieden voor de zorgen die de business heeft.

Het gaat niet alleen om de techniek, maar ook om het treffen van maatregelen tegen de geïdentificeerde risico’s. Natuurlijk zit in de kern van die maatregelen een stuk techniek, maar het werkt pas als de mensen eromheen meegenomen worden en de processen geoptimaliseerd zijn.

De klantvraag: ‘Ik wil inzicht in mijn risico’s, hoe kan ik daarop anticiperen?’

Het tot in de haarvaten begrijpen van de klantvraag is niet eenvoudig. De meeste organisaties ondervinden het tekort aan goede mensen met IAM-kennis en ervaring. Nog steeds willen organisaties zelf de kennis ontwikkelen en behouden, maar dat is alleen voor de hele grote bedrijven nog haalbaar. Steeds meer verschuift onze dienstverlening richting Managed Services en de cloud, waarbij de echte specifieke IAM-kennis niet langer bij de klant ligt.

Met business consultancy geven wij organisaties graag inzicht in hun risico’s en drijfveren. Iedereen onderschrijft dat het om people, process en technology gaat, met nadruk in die volgorde.

Awareness

Veel organisaties, met name in de zorg en bij de overheid, zijn helaas nog niet optimaal voorbereid op effectief risk management. Omdat veel organisaties de afgelopen twintig jaar hun processen wilden handhaven, is er veel maatwerk gebouwd met als resultaat dat deze oplossingen niet meer aansluiten bij de risico’s en drijfveren van vandaag. Daarom is het belangrijk dat organisaties naar hun processen gaan kijken, naar hun verantwoordelijkheden en naar de kwaliteit van hun data. Dat zijn enorme uitdagingen, maar een voorwaarde om de gang naar de cloud te kunnen maken.

Grabowsky hecht grote waarde aan het versterken van awareness bij mensen.

Tijdens workshops hanteren we graag incidenten uit de eigen praktijk van een organisatie om zo het besef te creëren dat we deze stappen niet voor niks zetten. Mensen moeten weten hoe ze kunnen bijdragen aan het beschermen van informatie.

‘Trusted Access Delivered’

Organisaties willen online betrouwbaar zijn en juist daarom moet hun IAM kloppen. Geen enkele organisatie wil in het nieuws komen vanwege een datalek. Het is daarom belangrijk dat iedereen die toegang wil tot een organisatie gebruik maakt van dezelfde voordeur. Één centrale voordeur waar de ‘portier’ bepaalt wie toegang krijgt tot welke informatie. Die ‘portier’ moet wel goed gebriefd zijn en de mensen herkennen. We hebben het dan over Identity Assurance, Access Assurance en Activity Assurance.

Waar de techniek altijd on premise draaide, is nu voor de meeste organisaties de stap naar de cloud een logische. Toch houden sommige organisaties hun systemen on premise, bijvoorbeeld in de vitale infrastructuur. Andere bedrijven willen wat ze hebben opgebouwd borgen, maar hun onderhoud en ontwikkeling uitbesteden. Grabowsky biedt klanten daarom altijd een passend producten en diensten portfolio.

Grabowsky – guidance from business perspective

Hoe staat het met de digitale veiligheid van jouw organisatie?

Wil je hier samen eens over sparren? Neem dan contact met ons op!