Het verhaal van Jacco is een praktijkvoorbeeld. Een verhaal dat een typische omgeving beschrijft waar de zogenaamde Identity & Access Management processen goed ingezet kunnen worden. Is dit beeld herkenbaar?

Jacco zijn eerste werkweek

Jacco is vandaag met zijn nieuwe baan begonnen als accountmanager. Helaas heeft hij vandaag nog niks kunnen doen want hij had nog geen laptop, laat staan een account waar hij mee kan inloggen op de systemen zoals zijn mail, gedeelde folders, intranet en het CRM systeem.

Gelukkig is de volgende dag de laptop geregeld maar dan blijkt dat zijn account nog steeds niet actief is. Hij loopt naar de IT afdeling om dat proces te bespoedigen. Ze hebben nog niets van HR gehoord maar maken voor Jacco snel een account aan, en vragen welke rechten hij allemaal nodig heeft. “Doe maar hetzelfde als mijn collega Lex”. Zo gezegd zo gedaan. Jacco heeft een account en krijgt zijn wachtwoord op een papiertje mee “Welkom123”. Grappig, dat wachtwoord had hij bij zijn vorige werkgever ook al. Hij probeert in te loggen maar het lukt nog steeds niet, hup weer terug naar IT. De behulpzame meneer van net komt er na een tijd zoeken achter dat hij een spelfout heeft gemaakt, een C te weinig in de voornaam. Maar helaas aanpassen kan hij niet, dat moet nu weer via HR gaan. Maar de dame van personeelszaken is vrij vandaag.

Zo rolt Jacco zijn eerste week van de ene blokkade in de andere. Telkens weer even naar IT om de extra rechten te vragen voor bijvoorbeeld de financiële applicatie die toch ook wel handig is. Na 5 werkdagen is hij eindelijk in staat écht te beginnen met zijn werk. En wat als hij zou vertrekken zou hij dan nog steeds in staat zijn om in te loggen op de bedrijfsapplicaties?

Jacco vraagt zichzelf af of dit niet wat anders had gekund. Dit is geen efficiënt proces, heel foutgevoelig en totaal niet veilig. Jacco kon zomaar om de toegangsrechten voor systemen vragen waar hij misschien helemaal geen toegang toe hoort te hebben. En wie heeft nu nog het inzicht in wie in welke systemen kan? Met slechte bedoelingen komt hij heel ver in dit bedrijf, dan zal het voor een hacker ook niet lastig zijn. En voldoe je nog wel aan de wetgeving?