10 trender innen IAM for 2023

10 trender innen IAM for 2023

Ved overgangen til et nytt år, belyser vi 10 trender innenfor Identity and Access Management som vi mener er interessante å ha på radaren for dette året. Av de ulike IAM-temaer og -teknologier som vi har tatt for oss, er noe ganske håndfast, andre er kanskje mer diffuse, og selvsagt vil det variere hvorvidt det er momenter som vil være relevante for din organisasjon.

1. Å basere seg kun på passord er «ut»

Dersom du i 2023 beskytter IT-ressursene dine kun med passord, uten å sikre ytterligere med multifaktorautentisering og andre tiltak, har du sovet i timen. Men frykt ikke; dersom det er en verkebyll her som du sliter med å få hull på, er det fullt mulig å spørre om hjelp til å løse det.

Husk! Det er alltid bedre å ha et problem på overtid som blir løst, enn å ha et problem som man ignorerer til man ikke lenger kan gjøre det.CW_illustrasjon_hacked01


2. Passordfri autentisering er fullt gjennomførbart

Passord som sikkerhetsmekanisme er som vi har vært inne på allerede, potensielt utfordrende. Det vi har sett det siste året og som vil modnes ytterligere i 2023, er at det er praktisk mulig å kunne autentisere vanlige sluttbrukere på en sikker og brukervennlig måte uten å måtte bruke passord i det hele tatt.

Det er fortsatt behov for å planlegge både utrulling og drift godt, og brukerne må få tilstrekkelig opplæring, informasjon og oppfølging, men teknologier og grensesnitt på systemene som er involvert er nå blitt såpass bra at terskelen for passordfri autentisering er fullt overkommelig.

→ Les om 5 fordeler med pålogging uten passord


3. Autentiseringsnøkler er på vei

Autentiseringsnøkler (engelsk: passkeys) har vært diskutert en god stund allerede, men nå har store aktører som Google, Microsoft og Apple virkelig begynt å legge tyngde og innsats bak å få det tatt i bruk.

Å gå i dybden på hva autentiseringsnøkler er og hvorfor de vil gjøre en stor forskjell for hvordan brukerautentisering fungerer, er mer enn nok materiale til å dekke en egen artikkel, men de viktigste fordelene er:

  • Brukere vil ikke lenger trenger å huske eller ta vare på passord. Farvel gule post-it-lapper!
  • Tjenester vil ikke lagre passord lenger; dersom det skjer et innbrudd hos tjenesten hvor tyver får med seg brukerdata, vil de ikke kunne bruke det til å logge seg inn som brukeren senere, ei heller ta med seg til andre tjenester siden brukeren ikke vil ha et passord som brukes på tvers av tjenester.


4. Zero Trust er hovedregelen

Det er nok av eksempler hvor tyver har fått lilletåen innenfor datasystemene, og deretter møysommelig tatt steg for steg innover for å bygge opp privilegier, og gradvis fått mer og mer tilgang til privilegerte systemer og data.

Nye systemer må designes for å fjerne disse mulighetene så godt vi kan, og eksisterende systemer må oppdateres for å fjerne de mulighetene som eventuelt finnes per i dag.

→ Les mer om Zero Trust


5. On- og offboarding kan gjennomføres uten fysisk tilstedeværelse

En sentral del av onboardingsprosesser har gjerne vært at nye brukere må møte opp fysisk for at man skal kunne være helt trygg på at vedkommende er den man sier man er, gjerne akkompagnert av pass eller annen fysisk ID. Så har man gjerne fått overlevert et ark med brukernavn og passord for tilgang til brukerkonto og eventuelt annet man måtte trenge i oppstarten.

I kjølvannet av pandemien, så har fjernarbeid fått en voldsom oppsving og stadig flere organisasjoner åpner opp for at man ikke trenger å være fysisk tilstede for å kunne gjøre en tilfredsstillende jobb.

Det å knytte identitetsverifiserende tjenester inn i onboardingsprosessen, for eksempel BankID i Norge eller MitID og NemID i Danmark, gjør at man virtuelt kan utføre deler av prosessene som tidligere måtte gjøres ansikt-til-ansikt.


6. CIAM er for alvor et satsingsområde

Mange organisasjoner er godt i gang med å ta tak i IAM rettet mot ansatte og andre som blir definert som interne, det vil si «enterprise IAM». De har begynt å se sikkerhetsmessige- og effektiviseringsgevinster.

CW_illustrasjon_CIAM

Om det er disse erfaringene som gjør at de nå for alvor har begynt å se hvordan man kan oppnå lignende gevinster også overfor kundebrukere kan vi ikke si for sikkert, men det er ingen tvil om at det er mye mer trykk rundt Customer Identity and Access Management (CIAM) nå enn for et år eller to år siden. Et trykk som vil øke på utover i 2023.

→ Les mer om CIAM


7. Mer bruk og effekt av AI og maskinlæring

Akkurat slik maskinlæring og AI er i vinden på andre områder, vil også IAM benytte denne teknologien til å understøtte systemer og prosesser. I første omgang er dette knyttet til det å oppdage og håndtere sikkerhetshendelser, slik vi f.eks. allerede ser med Oktas ThreatInsight. På sikt er det mange ulike deler av IAM som vil kunne høste fordeler av dette.


8. Cloud-native PAM

Privileged Access Management (PAM) har for mange handlet om serveraksess og Windows domeneadmin. Slik infrastruktur- og tjenesteporteføljen utvikler seg for de fleste organisasjoner, utvikler også behovet for PAM seg. Det vil måtte forholde seg på en helhetlig måte til alt av Windows/Linux, Azure/Amazon/Google, Kubernetes og containere og alt desslike.

CW_illustrasjon_teamwork

I tillegg forventer vi at organisasjoner vil ønske å øke størrelsen på «PAM-paraplyen» til å dekke større brukergrupper og flere tilganger, også til datasett for å oppnå PAM-nytteverdi flere steder enn det som tradisjonelt har vært målgrupper for PAM.


9. Lover, krav og reguleringer

Som følge av mange års historikk med sikkerhetshendelser, tap av data og «kreative» løsninger rundt persondata, kommer det stadig flere lover, krav og reguleringer som påvirker organisasjoners behov og krav til IAM-systemer og prosessene de skal understøtte.

Mange organisasjoner etablerer for tiden cyberforsikringer, og i arbeidet og oppfølgingen av de er det mye som skal dokumenteres og implementeres av tiltak.

Det samme kan sies om sertifiseringer som skal dekke tjenesteområder hvor IAM inngår. IAM-systemer vil dermed ikke bare kunne levere sikkerhet og effektivitet i ulike sammenhenger, men også være i stand til å dokumentere det på en god og jevnlig basis.

I tillegg er problematikken rundt Schrems II langt fra løst, noe som vil påvirke nær sagt alle diskusjoner rundt norsk/europeisk bruk av amerikanske og amerikansk-eide skytjenester.


10. Konsolidering av IAM-markedet

De siste årene har vi sett en tiltagende tendens til at de store aktørene i IAM-markedet har kjøpt opp eller slått seg sammen med andre aktører, for å øke sin markedsandel eller tilegne seg kapabiliteter som de har vært svake på tidligere. Dette gjelder både blant leverandørene som finnes på markedet (jamfør Oktas oppkjøp av Auth0) og de som jobber med å levere og implementere disse systemene. Det er ingen grunn til å tro at dette er noe som vil dabbe av i 2023 og videre fremover.

New call-to-action