”Hvis man bruger et Identity Management-værktøj til at håndtere det, skal man dog stadig have styr på sine processer. For værktøjet er ikke nødvendigvis bedre end dine processer. Når tingene bliver dagligdag, og organisationen vokser, kan det hurtigt komme ud af kontrol, hvem der har adgang til hvad. Derfor skal man have fastsat de rigtige procedurer, så systemet kan støtte op omkring behovet for en fornuftig identitetsstyring,” siger han.
Problemerne ved en for generøs tildeling af rettigheder opstår typisk, når medarbejdere forlader en virksomhed eller myndighed. Men problemerne kan bestemt også opstå, hvis en medarbejder misbruger sin adgang til for mange informationer til egen vinding.
”Det er jo sjældent et problem, når man er en lille virksomhed med tre medarbejdere, og alle ved hvem alle er. Men efterhånden som organisationen vokser, bliver tingene dagligdag. Og så er der også lige en ny medarbejder, der får adgang til alt, og så kommer der en praktikant i et halvt år og to studentermedhjælpere, og så kører det bare, så vokser tingene. Og lige pludselig har man ingen kontrol med, hvem der har adgang til hvad,” siger Anders Ahlgreen Pedersen.
”Første skridt er derfor at få styr på sine processer og regler for, hvordan og hvorfor man tildeler rettigheder. Hvis man er en lille organisation, investerer man måske ikke i et Identity Management-system som skridt to, men på et tidspunkt bliver det for komplekst at håndtere uden, når man både skal have fokus på sikkerhed og lovgivning, og så bør man sikre sig det værktøj,” siger han.