Veel organisaties doen 'access reviews' die niets toevoegen omdat managers blind alle rechten goedkeuren. Een nieuwe aanpak vraagt om bewuste keuzes.
Wat scope u per review?
Per applicatie of per rol een aparte review. Hoog risico apps (financieel, HR) per kwartaal, normale apps half jaarlijks. Liever vaker een kleine review dan jaarlijks alles tegelijk.
Hoe geven we reviewers context?
Laatste login datum, welke acties heeft persoon gedaan, hoeveel andere mensen hebben deze rol. Zonder context is approve veiliger dan revoke. Met context wordt review echt onderscheidend.
Wat gebeurt er met findings?
Revocatie automatisch waar mogelijk, anders binnen tien werkdagen. Patronen analyseren: welke rollen worden vaak ingetrokken, daar zit een ontwerpprobleem. Maandelijkse rapport naar IAM eigenaar.
Wie helpt u dit reviews proces inrichten?
Voor access review programmas zoeken we een specialist met IGA tool ervaring en proces denken. Niet iemand die alleen reviews configureert, maar die zorgt dat findings ook landen.
Verwant: Freelance IAM specialist