Het nieuwe werken is al jaren een gangbare term. De mogelijkheden die het nieuwe werken biedt heeft mijns inziens de medewerker van nu sterk veranderd ten opzichte van een medewerker bijvoorbeeld twintig jaar geleden. De ‘nieuwe medewerker’ heeft veel meer functionaliteiten tot zijn beschikking en verwacht die functionaliteiten ook van zijn werkgever.
Denk bijvoorbeeld aan het flexwerken, werken op meerdere devices (en byod), werken buiten de standaard kantoortijden of kantoornetwerk en het zelfstandig kunnen regelen van extra resources (bijvoorbeeld applicatietoegang, mobiele telefoon). Bovendien gebruikt hij dagelijks een veelvoud aan applicaties/software om zijn werk te doen. Daarnaast heeft de medewerker nu veel eenvoudiger en veel meer informatie tot zijn beschikking.
Impact gebruikers- en autorisatiebeheer
Al deze ontwikkelingen hebben impact op het identiteitenbeheer (ofwel gebruikers- en autoristatiebeheer) binnen een organisatie. Neem bijvoorbeeld het meebrengen van eigen devices. Hoe weet je als organisatie zeker of de apparatuur die de medewerker meebrengt betrouwbaar is? En hoe zorg je ervoor dat apparatuur die wordt gebruikt in openbare WI-FI-netwerken niet wordt gehacked? Dat is een belangrijk autorisatievraagstuk.
En wat te denken van het werken buiten de standaard kantoortijden. Hoe facilitair je it-services aan medewerkers buiten de standaard kantooruren? Ik neem aan dat jouw helpdesk niet 24/7 geopend is. Wanneer een medewerker buiten kantoortijden bijvoorbeeld tijdelijk toegang nodig heeft tot een bepaalde applicatie (dat komt nog wel eens voor bij flexwerkers in de zorg) of zijn wachtwoord wil resetten, dan moet dat verzoek toch echt worden doorgevoerd in het netwerk. Anders kan deze medewerker niet aan de slag.
Nieuwe autorisatievraagstukken
De veelvoud aan applicaties die de ‘nieuwe medewerker’ tot zijn beschikking heeft, zorgt ervoor dat hij zeer veel (gemiddeld negentien) verschillende wachtwoorden, gebruikersnamen en/of (pin)codes moeten onthouden. En dat kan resulteren in medewerkers die hun login credentials gaan noteren, wat natuurlijk met het oog op informatiebeveiliging ongunstig is. Hoe ga je als organisatie daarmee om? Wederom een autorisatievraagstuk.
Een ander verschil tussen de medewerker van nu en toen is dat de medewerker nu veel meer informatie tot zijn beschikking heeft, die in vele vormen tot zich kan worden genomen en kan worden verspreid, te weten e-mail, social media, whatsapp, cloud. Doordat deze informatie ongestructureerd is, is het als organisatie zeer lastig om inzichtelijk te krijgen wie welke informatie kan bekijken en heeft bekeken, bewerkt en gedeeld. Daarnaast zijn medewerkers zich nauwelijks bewust van de consequenties van het delen van informatie.
Nog een laatste punt: een medewerkers evolueert gedurende zijn carrière veel meer dan vroeger en hij bepaalt daarmee zijn eigen functie. Functienamen zoals ‘algemeen medewerker A’ en ‘algemeen medewerker B’ gelden tegenwoordig niet echt meer. Want medewerkers nemen voortdurend tijdens hun carrière nieuwe rollen aan (bijvoorbeeld tijdelijk projectmanagement) en hebben daarvoor ook andere of extra autorisaties nodig. Dat maakt het voor organisaties die een start willen maken met Role Based Access Control (autorisaties toekennen op basis van functie en rollen) zeer complex. Want doordat de functie van de medewerker evolueert is het zeer lastig te bepalen welke autorisaties aan welke functies hangen.
Eigenaarschap
Op management en C-level niveau ontbreekt vaak aandacht voor deze consequenties van het nieuwe werken en de nieuwe medewerker. En dit kan resulteren in slechte beveiliging van de bedrijfsdata, blijk ook uit onderzoek van KPMG (Computable, 2015). Uit hetzelfde onderzoek blijkt dat 75 procent van de onderzochte ondernemingen zich bewust zijn van de risico’s, echter dat de maatregelen nog achterblijven. De reden hiervoor is dat het bij bedrijven vaak schort aan eigenaarschap.
Bij gebruikers- en autorisatiebeheer zijn de drie belangrijke partijen de security officer, it-management en de medewerker. Voor het efficiënt en effectief beheren van gebruikers- en autorisatiesbeheer en oplossen van bovengenoemde consequenties, kunnen deze partijen worden samengebracht in een identity management-oplossing, waarbij voor iedere partij duidelijk inzichtelijk kan worden gemaakt waarvoor hij/zij verantwoordelijk is. Een security officer stippelt daarbij het beleid uit en legt dit vast in het iam-systeem. It-management krijgt de tooling om het beleid te faciliteren en managers/medewerkers hebben via een identity management self-service-portal altijd inzichtelijk waarvoor zij verantwoordelijk zijn (bijvoorbeeld het goedkeuren van aanvragen voor extra autorisaties).
De moderne organisatie
Het succes van een moderne organisatie is het vermogen om op een efficiënte en effectieve manier informatie en autorisaties inzichtelijk te maken, te stroomlijnen en bij de bron te beleggen. De basis hiervoor is betrouwbare informatie die tijdig, volledig en correct is. De nieuwe medewerker maakt gebruik van hedendaagse infrastructuur waarin zijn identiteit verweven is. De organisatie moet zich bewust zijn van de impact van de verschillende manieren van werken en hierop het beleid aanpassen en inzichtelijk maken.
Michael Uenk, accaountmanager Tools4Ever
Aan de ene kant medewerkers die per periode bij verschillende data moeten kunnen komen.
Aan andere kant de “ongestructureerde data” (auteur noemt het ongestructureerde informatie, maar dat lijkt me strict genomen een paradox :-). Die moeten tegenwoordig inzichtelijk gemaakt worden met BigData, roept C-level. Echter security van BigData is een hete zwerfkei die niemand in zijn handen wil hebben. Wie wil er verantwoordelijk zijn voor onduidelijke data die wel of niet toegankelijk moet zijn voor medewerkers met de verschillende rollen van dat moment ? Veel te groot, zwaar en en je brandt er je fikken aan. Laten liggen dus.
“betrouwbare informatie die tijdig, volledig en correct is”. Wel eens Godel, Escher, Back gelezen ?
Er kwam even een glimlach op mijn gezicht toen ik na het lezen van een aantal onnodige anglicismen opmerkte voor welke organisatie de schrijver werkt.
De naam van het bedrijf zal in landen waar men de Engelse taal bezigt anders overkomen in negatieve zin en is derhalve ook ongeschikt als men internationaal zou willen gaan opereren.