Nøkkelen er å stille de rette kontrollspørsmålene.
Historisk sett har bransjen hatt en kompromisspreget tilnærming til sikkerhet og brukervennlighet. På den ene siden skal en løsning ha sikre prosesser for å tildele og kvalitetssikre IT-tilganger, på den andre siden skal det fungere raskt og brukervennlig.
Nå finnes det etter hvert gode eksempler på hvordan identitet- og autentiseringstjenester har gjort tilgangsstyringsprosessene mer brukervennlige. For mange virksomheter er det likevel en mangehodet utfordring. Du skal på samme tid:
I en del tilfeller innebærer også brukerperspektivet både samarbeidspartnere, kunder og leverandører, i tillegg til de ansatte i virksomheten. Det er altså behov for å tenke brukervennlighet fra flere sider.
De følgende punktene er ting du må ta hensyn til når du utarbeider en IAM-løsning:
Det er viktig at de ulike sidene av tilgangsstyringsprosessene ivaretas, dersom brukervennlighet og sikkerhet skal opprettholdes over tid. Brukeren må oppleve at riktig tilgang er klar til rett tid, for eksempel ved en nyansettelse, samtidig som det er høy grad av automatisering. Det sikrer at prosessen er forutsigbar, sikker og ikke er knyttet til enkeltpersoners tilgjengelighet.
Her kommer designtilnærming inn som en faktor i kartlegging og utarbeidelse.
Tjenestedesign og IAM har en tydelig fellesnevner: brukeren i sentrum. Det er viktig at brukerperspektivet ivaretar både den som får tildelt en tilgang og den eller de som er involvert i prosessen knyttet til å tildele IT-tilgangen.
Når fremtidige tilgangsstyringsprosesser for en virksomhet skal defineres, er det derfor naturlig å benytte designtenking som tilnærming for å støtte oppunder nytenking og brukervennlighet. Tilgangsstyringsprosesser definert riktig skal understøtte og muliggjøre digitalisering av forretningsprosesser, samtidig som sikkerhet og governance er ivaretatt. Det oppnår du blant annet ved å stille følgende kontrollspørsmål:
Det bør også gjøres en vurdering av om virksomhetens data tilsier at prosesser for tilgang og pålogging bør styres innenfor et høyere tillitsnivå.
eIDAS-forordningen: Elektronisk identifisering og tillitstjenester for elektroniske transaksjoner i det indre marked.
eIDAS er et europeisk regelverk som skal sikre et velfungerende indre marked og oppnå et tilfredsstillende sikkerhetsnivå for elektronisk identifikasjon (eID) og tillitstjenester på tvers av EU/EØS-land.
Introduksjon av eIDAS-tillitsnivåer som erstatning for sikkerhetsnivåene 1–4 i Norge, åpner for nytenking når virksomheter skal nyttiggjøre seg av sikker pålogging på høyere tillitsnivåer. De høyeste tillitsnivåene erstattes av eID på Nivå Høyt og Nivå Betydelig, og dette er et område hvor det er muligheter for nye og innovative løsninger fremover i henhold til oppdaterte regulatoriske krav.
Spesielt sikker validering av ID er et område det tradisjonelt har vært knyttet omstendelige prosesser til. Her er det viktig for en virksomhet å forstå hvilke alternative krav og metoder det åpnes for innenfor de ulike tillitsnivåene, og samtidig vurdere hvilket tillitsnivå som er aktuelt og riktig for virksomheten. Dersom virksomhetens egenart og data tilsier at tillitsnivå Betydelig eller Høyt bør innføres, hvilket av de to er da hensiktsmessig å velge?
Her er det spesielt krav til ID-validering som skiller. Ikke minst vil prosessene virksomheten allerede har rundt kontroll på en brukers livssyklus ha betydning.
Les mer: Kartlegging og behovsanalyse
Cloudworks og Habberstad har i et tverrfaglig samarbeid rådgitt en rekke virksomheter innenfor veivalg knyttet til IAM, og vurdert dem opp mot brukervennlige og effektive prosesser som en viktig tilrettelegger for virksomhetens digitaliseringsstrategi. Ønsker du å lære mer om hvordan din virksomhet kan gå frem for å støtte digitalisering, med effektive prosesser for tilgangsstyring og brukeren i sentrum?
E-post: havard.hattestad@habberstad.no
Telefon: +47 92 01 69 59