Når er det hensiktsmessig med en IAM behovsanalyse?
Det er en rekke faktorer å vurdere ved anskaffelse av en IAM-løsning, samt situasjoner som gjør det hensiktsmessig for en bedrift å gjennomføre en behovsanalyse.
For eksempel kan bedriften trenge hjelp til å utarbeide en IAM-kravspesifikasjon og å velge egnet løsning, eller den kan ha behov for å modernisere en eksisterende IAM-løsning. Mange bedrifter er dessuten i en overgangsfase fra en on-prem IT-arkitektur til skyløsninger, noe som kan utløse behovet for en omfattende kartlegging.
En behovsanalyse kan også være nyttig for bedrifter som opplever utfordringer med identitetsforvaltningen – eksempelvis mye manuelt arbeid, dårlig kontroll eller tidligere ansatte som fremdeles har tilganger. Det samme gjelder for bedrifter som har behov for å overholde regulatoriske krav som GDPR eller ISO 27.00x, og å dokumentere endrings- og revisjonsprosesser i forbindelse med tilgangsstyring.
Et ønske om å innføre en Zero Trust sikkerhetsarkitektur, eller behov for en sikrere og mer brukervennlig påloggingsløsning, kan også være gode grunner for å gjennomføre en behovsanalyse.
Hva er en behovsanalyse?
Behovsanalysen er en kartleggings- og rådgivningstjeneste, og hoveddelen av kartleggingen utføres i form av intervjuer og workshops.
Til denne prosessen bør bedriften dedikere minst én faglig ansvarlig som har god innsikt i systemporteføljen, kjennskap til sikkerhetsarbeidet i bedriften og god forståelse for forretningsbehovene. I tillegg vil det styrke prosessen om også ytterlige ressurser som sikkerhetsansvarlig, HR-ansvarlig og applikasjonseiere, deltar ved behov.
Tjenesten vil tilpasses kundens situasjon og behov, og vil blant annet inkludere:
- Struktur og roller: Hvordan er virksomhetsstrukturen, hvilke brukerkategorier skal løsningen omfatte, og hvem autoriserer tilgangene?
- On- og offboarding: Hvordan er eksisterende rutiner for oppstart og avslutning av brukere og håndtering av tilganger?
- Selvbetjening og automatisering: Hvilke prosesser kan automatiseres, hva kan løses ved selvbetjening, og hvilke systemer og applikasjoner kan integreres?
- Risiko og sårbarhet: Hvilke systemer er forretningskritiske eller inneholder klassifisert informasjon, og hva er risikoen ved uønskede tilganger?
- Governance og compliance: Hvilke krav har bedriften til sikkerhet og compliance, og hvilke prosesser kan eller bør forbedres?
Hva er resultatet av analysen?
Behovsanalysen resulterer i en omfattende rapport som overleveres og gjennomgås med bedriften.
Rapporten gir en oversikt over bedriftens nåværende situasjon og målsettinger, og presenterer et grundig og utfyllende konseptforslag med anbefalinger for hvordan behovene og målsettingene bør adresseres.
Konseptforslaget inkluderer typisk:
- Utkast til rollemodell tilpasset bedriftens organisering
- Underlag til en langsiktig IAM-strategi med gruppering og prioritering av tiltak
- Oversikt over integreringsteknologi for prioriterte applikasjoner
- Oversikt over kilder til identitetsinformasjon og eventuelt annen virksomhetsinformasjon
- Oversikt over automatiseringsplan og anbefalte selvbetjeningsfunksjoner
- Anbefalt utforming av prosesser i forbindelse med on- og offboarding av brukere
Konseptforslaget vil også være nyttig som kravspesifikasjon ved en eventuell påfølgende anskaffelsesprosess. I tillegg øker bedriften forståelsen for fagområdet – noe som både forbedrer bestillerkompetansen ved videre anskaffelser, og bidrar til bevisstgjøring for organisasjonen som helhet.
