Hvordan rydde opp i Cloud-kaoset

Cloud software har revolusjonert hverdagen for brukere, og i mange tilfeller IT, når det gjelder å rulle ut og ta i bruk nye systemer.

Det er mange fordeler med skyløsninger som bidrar til redusert administrasjon og reduserte kostnader. En av de største fordelene ved Software-as-a-Service (SaaS) er at oppdateringer og forbedringer lettere og raskere kan tilgjengeliggjøres for brukerne. Derfor har de fleste selskaper omfavnet en rekke forskjellige cloudløsninger som også kan spare bedriften for tid og ressurser. Men de bringer også med seg en ny hodepine for både IT og sikkerhetsansvarlig. Når flere tusen medarbeidere har enkel tilgang til å ta i bruk akkurat den applikasjonen eller det programmet de trenger for best å løse sine konkrete utfordringer kan administratorer fort miste kontrollen med lisensiering og tilgangsrettigheter.

Kompleksiteten i systemlandskapet øker i takt med bruk av digitale verktøy, antall enheter og plattformer som brukes. Det er en kjent utfordring at mange finner programmer de trenger i arbeidet uten at IT blir involvert i diskusjoner om behov og kostnader. Dette gjør det vanskelig å standardisere på løsninger i organisasjonen. En annen utfordring er sikkerheten. Om en Cloudløsning som firmaet ditt tar i bruk ikke har tilstrekkelig sikkerhets- og tilgangskontroll på plass er du mer sårbar for angrep utenfra, noe som kan medføre blant annet tap av sensitive data og identitetstyveri.

Disse utfordringene skyldes ofte at det er en dårlig, eller ingen, kopling mellom prosesser HR styrer og prosesser IT styrer. Når det skjer endringer i organisasjonen, som endring i roller eller at personer starter eller slutter i organisasjonen, forekommer det ofte at denne informasjon ikke flyter raskt mellom IT- og HR- avdelingen. Da oppstår det fort avvik mellom faktisk behov for lisenser og tilganger, og hva som er gitt.

Konsekvensen av for dårlig identitets- og tilgangsstyring utgjør for mange selskaper en stor kostnad. De fleste løsninger og tjenester har en lisensavgift per bruker, og det koster penger uavhengig om programvaren blir brukt eller ikke. Dersom man begynner å regne på de månedlige lisenskostnadene for lisenser som tilhører folk som har sluttet, byttet rolle eller av annen grunn ikke har behov for lisensen lenger, begynner vi å snakke betydelige summer for å ikke har gode nok rutiner eller noen automatikk i at lisensertilganger oppdateres så fort en medarbeider endrer rolle eller slutter.

Unødvendige lisenskostnader er en direkte konsekvens som er relativt enkel å måle. Men det som ikke er så enkelt å måle er konsekvensen av den risiko det utgjør at personer som har sluttet eller endret rolle fortsatt har tilgang til systemer med forretningskritisk, konkurranseutsatt informasjon eller sensitive persondata. De fleste selskaper er ganske flinke til å avslutte lønnsprosessen for de som slutter, men mange har for dårlig, eller mangler sømløs arbeidsflyt mellom HR og IT som sørger for at personene offboardes digitalt. Senest i sommer skrev pressen* om et eksempel på dette hvor 50 tidligere ansatte i Deutche Bank fortsatt hadde tilgang til systemer og e-post etter å ha blitt sagt opp som del av en stor nedbemanningsprosess. Det kom frem i ettertid at mange tidligere ansatte fortsatt hadde tilgang til konfidensiell informasjon. Kostnadene av en slik sikkerhetsbrist kan være uante. Blir slike nyheter kjent kan kunder rømme, aksjekursen påvirkes negativt og omdømmet svekkes. På toppen av dette kan man risikere kraftige bøter for brudd på datasikkerhetslover som GDPR.

På bakgrunn av dette har Identity & Access Management-systemer (IAM) fått stadig økende betydning. IAM bør vurderes i enhver situasjon hvor det skjer endringer i organisasjonen. Disse endringene skjer ofte først i HR-systemet. Ved å koble sammen HR-masterdata med IAM-løsninger vil man kunne sikre god tilgangskontroll og en oppdatert lisenstilgang gjennom automatiserte prosesser. Dette vil bidra til langt bedre håndtering av IAM og reduserer både risiko og kostnader som nevnt over.

Stadig flere selskaper benytter HR-masterdata som sin «single source of truth». Med sentralisert, korrekt og sikker HR-masterdata kan man løse utfordringene nevnt ovenfor, men for å sikre god kvalitet på masterdataene er man avhengig av gode prosesser. HR er «vaktmester» for persondata og de bør involveres i prosesser rundt IAM. Det er ingen som er bedre på å strukturere persondata enn HR-systemer med HR-masterdatafunksjonalitet. I tillegg burde de, i samarbeid med forretningsavdelingene, tilby informasjonen som IT behøver i forhold til en medarbeiders rolle og ansvarsområder for å effektivt styre IAM.

* Financial Times 2019