En  CIO på ett större företag tar upp denna säkerhetsfråga och svaret visar på att det idag är svårt att hitta bra konsulter inom IAM och att det kan vara rekommenderbart att bryta ur denna funktion för en särskild insats med specialkompetens och inte fullt ut se det som en liten del av det större IT-systemet.

FRÅGA: Jag är CIO på ett företag med några tusen anställda inom en teknik- och informationsintensiv verksamhet. Nu står vi inför en expansion och med de nya kraven behöver ännu bättre kontroll över vem som gör vad och när. Vilka är dina tips?

SVAR: Den vanligaste och oftast mest ekonomiska metoden att hantera användarkonton och behörigheter samt spårbarhet i komplexa it-miljöer kallas identity och access management, iam.
Den metoden ger dessutom andra fördelar som till exempel automatisk hantering av varje kontos livscykel och loggning och den möter även kraven på governance, risk management och compliance, grc.

Den viktigaste förutsättningen för ett lyckat projekt är att ledningsgruppen är aktivt delaktig och har förståelse för sin roll i iam-projektet.

Alla målsystemägare måste samarbeta och vara engagerade.

Ledningsgruppen måste tydligt kommunicera projektets mål och vad som förväntas av organisationen och dess chefer.

Ett vanligt misstag med iam-projekt är att man inte inser vikten av de affärsmässiga och de tekniska kraven innan man upphandlar produkter och tjänster.

På marknaden finns ett fåtal marknadsledande leverantörer av iam-system. Val av det rätta systemet för just dig är mycket viktigt och beroende av verksamhetens typ och mål.

Ledningsgruppens delaktighet i valet och genomförandet är viktig.

Trots att det råder brist på iam-kompetens finns det få konsultbolag som rent tekniskt kan implementera iam-system.

Ytterst få har kompetensen att genomföra en förstudie, en analys av både de affärsmässiga och de tekniska kraven.

Det är också väldigt få konsultbolag som kan ge stöd med beställarkompetens vid upphandling av rätt system och som kan kravställa upphandlingen av de tekniska konsulter som ska implementera systemet i verksamheten.

Det är också viktigt att i början av ett iam-projekt vara opartisk och leverantörsoberoende och att endast se till kundens verksamhet, mål och nytta.

Vi har sett många exempel på misslyckade iam-projekt där kunden hoppat över den viktiga förstudien och upphandlat system och tekniska konsulter direkt.

Det är ofta mycket kostsamt att hoppa över förstudien, förankringen i verksamheten samt de affärsmässiga och tekniska kraven.

Det är inte heller ovanligt att man köpt fel system till fel verksamhet.

Av erfarenhet brukar vi fokusera mest på förstudien och arbetet fram till upphandling av tekniska konsulter och system.