Cybersikkerhet handler stadig mindre om “flere verktøy” og stadig mer om styring av hvem som har tilgang til hva. Det er hovedbudskapet i et nytt notat fra det internasjonale rådgivningsselskapet Gartner om identitets- og tilgangsstyring (IAM). Gartner peker på at effektiv sikkerhet krever et modent IAM-program, men at moderne virksomheter er blitt så desentraliserte at avgjørende IAM-valg ofte tas utenfor IAM-teamet. Når beslutningene spres, øker risikoen for sprikende prioriteringer, svakere kontroll og større sårbarhet for innbrudd.
Kjernen i argumentet er enkel: IAM er ikke en isolert sikkerhetsfunksjon, men en organisasjonsfunksjon. Derfor må cybersikkerhetsledere sikre bredere forankring og tydelig sponsoransvar i toppledelsen – og på tvers av funksjoner som HR, utvikling, kundeservice og innkjøp.
Bare en del av beslutningene tas sentralt
Gartner viser til at kun 38 prosent av beslutningsmyndigheten innen IAM er sentralisert. Det betyr at en stor del av beslutningene som påvirker identitet, tilgang, rettigheter og autentisering, skjer i andre deler av virksomheten. I praksis kan dette være alt fra HR-prosesser rundt nyansettelser og avslutninger, til utviklingsvalg i digitale produkter, til innkjøp av nye systemer som aldri blir koblet riktig til virksomhetens sikkerhetsstandarder.
For sikkerhetsarbeidet innebærer dette en strukturell utfordring: IAM-teamet kan ha riktig faglig retning, men mangler reell kontroll over avgjørende brikker i puslespillet. Gartner beskriver derfor behovet for tydeligere ledelsesforankring og sponsorstøtte, slik at IAM-prioriteringer kan justeres inn mot virksomhetens faktiske beslutningslinjer.
Identitet er angrepsflaten – men teamene jobber ofte hver for seg
Et av de mest konkrete poengene i teksten er at identitet er den primære angrepsvektoren. Det gjør samspillet mellom IAM og sikkerhetsoperasjonssenteret (SOC) kritisk. Gartner peker samtidig på at det ofte finnes et gap mellom identitetsteam og SOC-miljøer. SOC kan mangle detaljkunnskap om IAM-praksis, mens identitetsspesialister ikke alltid har et tilstrekkelig sikkerhets- og hendelseshåndteringsperspektiv.
Konsekvensen kan bli tregere respons, svakere deteksjon og dårligere håndtering av identitetsrelaterte hendelser. Gartner peker på at noen virksomheter forsøker å bygge bro ved å utvikle kompetanse i begge retninger, eller i enkelte tilfeller etablere en egen IAM-responscelle som kan håndtere identitetsrelaterte sikkerhetshendelser mer målrettet.
HR som kritisk sikkerhetsledd
Gartner retter også et tydelig søkelys mot HR, som ofte er den autoritative kilden for informasjon om ansatte, konsulenter og innleide. Når HR-prosessene er svake, eller når dataflyten mellom HR-systemer og IAM-verktøy ikke er robust nok, får virksomheten et klassisk sikkerhetsproblem: foreldreløse kontoer og ansatte med for mye tilgang.
Gartner beskriver “overentitlement” som en form for teknisk gjeld i IAM, og peker på at dette øker “sprengkraften” i et innbrudd. Jo flere unødvendige tilganger en bruker har, desto større skade kan et kompromittert passord eller en kapret konto gjøre. Dermed blir HR-prosesser ikke bare et administrativt spørsmål, men et sikkerhetskritisk spørsmål som må få prioritet på ledelsesnivå.
Innkjøp og “gratisprøver” kan åpne bakdører
En annen kilde til svakere IAM-kontroll ligger i innkjøp og systemanskaffelser. Gartner beskriver at den beste måten å sikre at virksomheten har oversikt over systemene den må beskytte, er at alle systemer går gjennom procurement og deretter kobles til IAM, slik at tilgang, single sign-on og flerfaktorautentisering etableres fra start.
Men i praksis er prosessene ofte “lekkende”. Eksempelvis kan ansatte ta i bruk gratisprøver, skygge-IT eller nye SaaS-tjenester uten at IAM-teamet får beskjed. Resultatet er at virksomheten bygger opp et ufullstendig kart over egne systemer, samtidig som antall kontoer og tilgangspunkter vokser. Det er et klassisk mønster: oversikten kommer først etter hendelsen, når noen spør “hvordan kunne dette skje?”.
Programvareutvikling og produktvalg former sikkerheten tidlig
Gartner understreker at IAM må inn tidlig i utviklingsprosesser, særlig når det gjelder autentisering og autorisasjon i nye applikasjoner og API-er. Når produkt- og utviklingsteam bygger digitale tjenester uten tidlig IAM-involvering, ender virksomheten ofte med kostbare ombygginger, suboptimale brukerreiser og sikkerhetsmekanismer som kommer for sent.
Det samme gjelder produktledelse. Mange produkter har i dag et digitalt lag – enten i kjøpsreisen, i selve tjenesten eller i oppfølgingen. Gartner peker på at identitetsteamet må kobles inn tidlig i go-to-market og produktdesign, spesielt når kundelogin, delegering av rettigheter og nye “agentiske” kundeopplevelser blir en del av tjenesten.
Kundereise, juss og personvern – Identitet blir et tverrfaglig styringsområde
Et tydelig trekk i Gartners tekst er at IAM ikke bare er intern sikkerhet, men også ekstern tillit. Kundeservice må kunne verifisere at brukeren er den de utgir seg for å være, samtidig som opplevelsen skal være friksjonsfri. Markedsføring kan påvirke hvilke kanaler som brukes, som igjen påvirker identitetskrav. Juridiske rammer kan gjøre tilsynelatende små produktvalg – som standardvalg i et grensesnitt – til en juridisk beslutning. Og personvern blir stadig mer komplekst i takt med nye reguleringer og økt fokus på dataflyt og biometri.
Gartner beskriver derfor behovet for tydelige avklaringer: hvor slutter ansvar for identitet, og hvor starter ansvar for personvern, kundereise og juridisk etterlevelse? Når slike grensesnitt er uklare, oppstår hull – og hull i identitet er ofte hull i sikkerhet.
Løsningen Gartner peker på: Sponsoransvar og sjekkliste for samarbeid
Gartner anbefaler at cybersikkerhetsledere tar en mer aktiv sponsorrolle og bruker en sjekkliste for å kartlegge hvor samarbeidet fungerer og hvor det svikter. Poenget er ikke at alle relasjoner må være like tette hele tiden, men at virksomheten må vite hvilke relasjoner som krever kontinuerlig samordning og hvilke som bare trenger “prosjektvis” oppmerksomhet.
Særlig når virksomheter går i gang med store IAM-løft – for eksempel utrulling av en felles kundeløsning for identitet (CIAM) på tvers av produktlinjer – bør initiativet sosialiseres tidlig for å unngå forsinkelser og dårlige kompromisser. Gartner fremhever også at IAM-initiativ ofte innebærer endringsledelse, fordi prosesser i HR, utvikling, kundeservice og drift må justeres for at teknologien faktisk skal gi effekt.
Når IAM fungerer, merker ingen det – når det svikter, merker alle det
Gartners budskap kan oppsummeres slik: identitet er blitt en grunnmur i cybersikkerhet, men grunnmuren bygges ikke bare av IAM-teamet. Den bygges av hele virksomheten. Når beslutningsrett og prosesser er spredt, må også sponsoransvar og prioriteringer være brede. Det handler i siste instans om mer enn compliance og teknikk. Det handler om å redusere risikoen for kontoer som blir stående igjen, tilganger som aldri ryddes opp, systemer som anskaffes uten kontroll, og digitale tjenester som lanseres med sikkerhet som ettertanke.
For virksomheter som vil styrke sikkerheten uten å bli låst i stadig mer komplekse verktøystakker, er Gartners anbefaling tydelig: start med IAM – og sørg for at identitet faktisk eies av ledelsen, ikke bare av et team.