Digitaal thuiswerken extra aanleiding om toegangsbeheer en autorisaties te automatiseren

16/03/21

Identity & access management

Nu medewerkers massaal vanuit huis werken en op afstand toegang nodig hebben tot bedrijfssystemen, staat de controle op die toegang meer in de aandacht. Gevoelige financiële bedrijfsdata staat tegenwoordig vaak in de cloud en moet op afstand beschikbaar worden gemaakt voor bijvoorbeeld uw finance professionals om ze efficiënt te laten werken. Wie heeft toegang tot welke systemen en bedrijfsdata en welke rechten (autorisaties) hebben zij? Organisaties doen er goed aan de processen voor 'identity & access management' (IAM) aan te scherpen en te automatiseren met behulp van een digitale GRC-tool voor governance, risk & compliance, vertellen PwC’ers Zouhair Taheri en Jeffrey van den Haak. 

Digitale transformatie

‘We zien al langer de trend dat organisaties in allerlei sectoren bezig zijn met digitale transformatie’, vertelt Zouhair Taheri, die als PwC-partner adviesdiensten levert rondom risicomanagement en interne beheersing. ‘Als de kernactiviteiten steeds meer gedigitaliseerd worden, is het belangrijk dat alles daaromheen meegroeit, zoals het risicomanagement. Zonder sterke geautomatiseerde beheersing van risico's kun je niet succesvol zijn in de digitale transformatie. We zien bijvoorbeeld ook dat de financiële functies bij veel bedrijven werken aan digitalisering en automatisering om te klaar te zijn voor de future of finance. Dat is een ideale aanleiding om de interne beheersing digitaal goed te laten aansluiten.’

Flexibele governance met IAM

Ook Jeffrey van den Haak, die klanten met name adviseert over de implementatie van ERP-systemen zoals die van SAP en Workday, ziet de digitalisering sterk toenemen: ‘Vooral in het bedrijfsleven zien we de dynamiek groeien. Er is steeds flexibeler contact met klanten, leveranciers en medewerkers, via allerlei kanalen. De systemen en data die gebruikt worden staan deels in de cloud en deels 'on-premise'. Die toenemende complexiteit vraagt ook om een flexibele, schaalbare ondersteuning vanuit de governance-kant. Identity & access management (IAM) is daar een belangrijk onderdeel van. Je wilt goed beheersen wie er met welke rechten bij welke IT-systemen en bedrijfsdata kan.’

Identity & access management voorkomt problemen

Als organisaties het identity & access management goed op orde hebben, zijn ze volgens Taheri en Van den Haak beter bestand tegen allerlei problemen:

  • Cybercriminelen hebben minder eenvoudig toegang tot interne bestanden zoals klantgegevens of intellectueel eigendom.
  • Betere bescherming tegen fraude van binnenuit, door medewerkers die bijvoorbeeld facturen naar eigen bankrekeningen laten betalen.
  • Minder risico op overtreding van de General Data Protection Regulation (GDPR), met mogelijke boetes tot gevolg, doordat klantgegevens beter beschermd zijn.
  • Minder kans op financiële schade en reputatieschade door kwetsbare IAM.
  • Eenvoudiger voor de accountant om de integriteit van de financiële data vast te stellen.
  • Beter zicht door IT op wie toegang heeft tot welke systeem, waardoor ook licentiekosten beter beheersbaar zijn.
  • Minder kans op uitval van kritische systemen door een ongeautoriseerde, directe wijziging in het productiesysteem door een IT-beheerder of ontwikkelaar.

Handmatige controle achteraf

Taheri: ‘Door de coronapandemie zijn we massaal meer gaan thuiswerken en willen daarvoor toegang hebben tot dezelfde systemen als op kantoor. Werkgevers zullen het thuiswerken ook na corona deels willen voortzetten. Dat maakt dat IAM nu des te meer in de aandacht staat.’

Waar lopen organisaties tegenaan bij identity & access management, nu mensen meer thuiswerken? Van den Haak: ‘De norm was heel lang dat de controle op toegangsprocessen op vaste momenten handmatig plaatsvindt. Zo zien we dat iemand van de IT-afdeling of financiële administratie eens per maand de toegangsrechten van medewerkers handmatig reviewt. Er wordt een rapport uitgeprint, daar worden de rechten in afgevinkt, en als een medewerker om nieuwe rechten vraagt, loop je naar een collega verderop om te overleggen of dat is toegestaan. Nu iedereen thuis zit, komt de inefficiëntie van dat proces meer aan de oppervlakte – zeker als je weet dat zo’n reviewproces ook geautomatiseerd en realtime kan verlopen.’               

Tijdelijke toegangsrechten monitoren

‘We zien ook dat toegangsrechten gedeeld worden tussen collega’s onderling’, vervolgt Van den Haak, ‘of dat rechten ‘tijdelijk’ uitgebreid worden om uitval op te vangen van collega’s op bijvoorbeeld de finance-afdeling, zodat de jaar- of maandafsluiting toch tijdig afgerond kan worden. De oplossing ligt in de steeds geavanceerdere GRC-tooling voor governance, risk & compliance. Hiermee kun je bijvoorbeeld meer grip houden door het monitoren van de (tijdelijke) rechten van gebruikers. Tooling kan inzicht geven in hoe de rechten zijn gebruikt – zoals welke transacties zijn uitgevoerd en welke bedrijfsdata zijn benaderd – en kan rechten automatisch laten intrekken.’

Tools voor governance, risk & compliance

Taheri: ‘GRC-tooling kan een uitkomst zijn voor organisaties die veel verschillende systemen gebruiken en voor wie toegangsbeheer ervan lastig is – omdat de systeemarchitectuur complex is bijvoorbeeld, of omdat er te weinig menskracht is voor afdoende functiescheiding tussen individuen. Daarbij kan een GRC-tool ook een goede manier zijn om kosten te besparen door automatisering. Zeker voor organisaties die op het punt staan om te gaan werken met een ERP-systeem in de cloud, is het een goed moment om bij het ontwerp daarvan de IAM meteen goed neer te zetten.’

Continuous monitoring

Dat met de GRC-tools technisch steeds meer mogelijk is staat buiten kijf, vertelt Van den Haak, ‘maar het is niet zo dat deze tools out of the box optimaal werken. Het is belangrijk om de governance-processen van de organisatie goed vorm te geven voordat ze geautomatiseerd worden. Te vaak zien we dat organisaties hun bestaande processen as-is automatiseren, waardoor belangrijke verbetermogelijkheden gemist worden.’

‘Als organisaties de implementatie verstandig aanpakken, dan biedt een GRC-tool geweldige mogelijkheden voor risicobeheersing,’ stelt Taheri tot besluit. ‘Zo kun je, in plaats van achteraf maandelijks een controle uitvoeren en achter de problemen aanlopen, 'continuous monitoring' toepassen: het systeem monitort de data realtime en geeft een melding bij afwijkingen. Op die manier hou je van begin tot eind grip op de meest complexe verzameling systemen.’

Webinar 'Toegangsbeheer in hybride landschappen met SAP GRC & IAG'

Samen met onze tech-alliance SAP hebben wij het webinar 'Managing access in hybrid landscapes using SAP GRC & IAG' georganiseerd. In dit webinar bespraken we de uitdagingen op het gebied van identity access governance en waarom het belangrijk is SAP GRC 12 te upgraden. Vervolgens gingen we dieper in op de nieuwe functionaliteiten en features die verbeterd zijn in SAP Access Control 12. Later hebben we het ook gehad over SAP IAG oplossing en de verschillende implementatie modellen met SAP GRC en cloud-gebaseerde systemen. Aan het einde van het webinar toonden we een live demo in de SAP IAG oplossing om enkele van de grote voordelen voor toegangsbeheerfuncties op cloud of hybride landschappen te laten zien.Registreer u hier en bekijk het webinar

 

Contact

Zouhair Taheri

Partner, PwC Netherlands

Tel: +31 (0)61 342 30 67

Jeffrey van den Haak

Director, PwC Netherlands

Tel: +31 (0)61 357 52 69

Volg ons