Advertorial

Door Tweakers Partners

Feedback • 30-05-2022 08:00 14

Hoe PwC bedrijven helpt met identity & acces management (iam)

30-05-2022 • 08:00

14

Van WhatsApp-fraude tot oplichting via QR-Codes: steeds meer ondernemingen en hun klanten zijn slachtoffer van cybercriminaliteit. Om de veiligheidsrisico’s voor ondernemingen en klanten te verkleinen, richt PwC zich onder andere op identity & access management (iam). Met het Customer Identity Lab werkt de organisatie doorlopend aan iam-ontwikkeling. Hoe gebeurt dat precies?

Bas en Remold, digital identity solutions-architecten bij PwC, hebben meer dan vijftien jaar ervaring binnen het iam-domein. Bij PwC werken ze in verschillende projecten aan oplossingen voor veilige transacties, slimme authenticatie en kostenefficiënt toegangsbeheer. “Zelfs als architect programmeer ik nog elke dag, maar daarnaast coach ik ook collega’s binnen PwC en bij verschillende projecten”, vertelt Bas. Binnen het PwC Identity-team is hij daarnaast verantwoordelijk voor de kwaliteitsbewaking. “In de kern draait het erom dat ik in de gaten houd wat mensen doen. Ook review ik producten, om ervoor te zorgen dat ze voldoen aan de kwaliteitsstandaarden.”

Binnen de verschillende iam-projecten bij PwC zijn architecten, business consultants en engineers werkzaam. Samen zoeken ze naar de beste oplossingen die klanten veilige toegang bieden tot hun online omgeving, maar tegelijkertijd zorgt het team voor laagdrempelig gebruiksgemak.

Digitale beveiligingsstrategie

Iam is een overkoepelende term voor verschillende processen voor het beheer van (eind)gebruikers en hun toegangsrechten binnen applicaties. “Toch geven klanten vaak een eigen, voor hun organisatie specifieke, betekenis aan iam. Bij het eerste klantcontact vragen we ons af waar we het over hebben en wat de klant zoekt. Bedoelen we, als we het over iam hebben, alleen identity management, access management, of ook de verschillende authenticatiemethoden zoals mfa?”, stelt Remold.

In de afgelopen jaren zijn werknemers mobieler geworden, zodat ze vanaf verschillende plekken verbinding maken met het bedrijfsnetwerk of werken in de cloud. Er zijn veel devices die netwerkto“Een van de basisregels van zero trust is ‘identity is the new perimeter’'egang vereisen, waarbij organisaties rekening moeten houden met de beveiligingsbehoefte. Organisaties kunnen proactief controle uitoefenen op alle interacties tussen mensen, data en informatiesystemen, en de veiligheidsrisico’s verlagen met zero trust. Remold: “Een van de basisregels van zero trust is ‘identity is the new perimeter’. Sommige klanten kloppen bij ons aan omdat ze met audits hebben te maken. Denk bijvoorbeeld aan bedrijven die voor de Nederlandse bank moeten aantonen wie waarbij mag komen. Veiligheid is daarbij belangrijk.”

Identiteits- en toegangsbeheer

Bas en Remold werken onder meer voor financiële instellingen, overheidsorganisaties en retailbedrijven. Bij iedere klant kijken ze naar wat hij wil bereiken en welk product daar het beste bij past. Bas: “Voor de producten kijken we vaak naar een van onze partners, zoals ForgeRock, Sailpoint, Transmit Security, Okta, Auth0 en CyberArk. Persoonlijk vind ik het vooral leuk om te werken met Transmit Security, omdat je door de aard van het product vaak met een breed scala aan technologieën te maken krijgt. Daarbij gaat het niet alleen om het product zelf, maar ook om webtechnologieën, mobile development en backend-omgevingen. Je zit ook snel dicht bij de eindgebruiker en ziet daardoor hoe hij een oplossing ervaart. De gebruikerservaring is een belangrijk aspect in ons werk.”

“Bij bijvoorbeeld bankapps is de core je identiteit en de iam-processen moet je goed op orde hebben”, vervolgt hij. “Wie ben je? Kun je bewijzen wie je bent? En kan dit op een laagdrempelige manier die je als gebruiker prettig vindt? Gebruiksgemak en veiligheid moeten hand in hand gaan, maar dat doen ze niet altijd. We zagen ooit het voorbeeld van een grote bank waarbij klanten gemakkelijk via een QR-code een tweede telefoon konden koppelen. Dat is heel gebruiksvriendelijk. maar deze oplossing was zo ingericht dat fraudeurs dat ook konden doen. Zo’n situatie wil je natuurlijk niet hebben.”

Slimme authenticatie is belangrijk voor organisaties, hun medewerkers en de klanten. Zo kan data alleen worden ingezien door de persoon met de juiste privileges. Remold: “De producten waarmee ik werk, zijn gericht op wat wij bij PwC ‘workforce identity management’ noemen. Bij organisaties dien je rekening te houden met werknemers, maar ook met contractors en third parties. Het gebruiksgemak en het veiligheidsniveau van authenticatiesystemen is voor ons een belangrijk aandachtspunt.”

Customer Identity Lab

PwC zoekt continu naar oplossingen, met behulp van het Customer Identity Lab. “Dat maakt producten zoals je die ook bij een klant zou maken”, vertelt Bas. “Het Customer Identity Lab is een virtueel bedrijf met een app, een website en zelfs een helpdesk en een pinautomaat.” De omgeving is in de kern een development pipeline waarin het Digital Identity-team nieuwe producten aan de tand kunnen voelen. Bas: “Het lab is voornamelijk een testomgeving. Voor het beoordelen van nieuwe vendoren en hun producten is het essentieel dat we dit hebben. We gebruiken het ook om use cases te demonstreren voor potentiële klanten, om ze te enthousiasmeren.”

In het lab is het Digital Identity-team voortdurend bezig om producten aan te passen en zo bijvoorbeeld in te spelen op nieuwe technologische ontwikkelingen of beveiligingsvraagstukken. Remold: “We gebruiken het lab om aan de klant te laten zien wat we doen en welke technologie erachter zit. Het lab is er niet alleen om te kijken of en hoe we het kunnen installeren en configureren, maar ook om te beoordelen hoe veilig het is. In het lab werken we ook samen met andere afdelingen. Zo hebben we met Salesforce een hele afdeling opgezet waarmee je verzekeringsaccounts online aan kunt vragen.”

Wet- en regelgeving

Bas en Remold moeten ook rekening houden met (Europese) richtlijnen voor het inrichten van de IT-beveiliging en de bescherming van (persoons)gevoelige data. “Ons domein blijft voortdurend in ontwikkeling. Een recent voorbeeld is de GDPR die voorschrijft hoe je omgaat met persoonsdata en data-sovereignty in het algemeen. Het is niet gerelateerd aan een bepaalde technologie of een bepaald domein. Het is wél een nieuwe uitdaging die we met bestaande oplossingen moeten gaan tackelen”, aldus Bas.

Doorlopende leerlijn

Het Digital Identity-team is voortdurend bezig om op flexibele wijze producten aan te passen aan het steeds veranderende digitale landschap. Remold: “We werken ook vaak samen met collega’s uit bijvoorbeeld de VS, Canada, Zuid-Afrika, Hongarije en Denemarken. Binnen PwC werkt het Nederlandse team binnen het Europese Center of Excellence (CoE), en als klanten experts nodig hebben op het gebied van identity binnen het PwC-netwerk kloppen ze bij ons aan en kunnen we ze verder helpen.”

PwC daagt werknemers uit om zich zowel zakelijk als persoonlijk te blijven ontwikkelen. Remold: “Als je als engineer meer wilt focussen op business of je juist volledig wilt richten op engineeringwerk, wordt er gekeken naar passende trainingen of werk.” “Als je als engineer meer wilt focussen op business of jezelf juist volledig wilt richten op engineeringwerk, wordt er gekeken naar passende trainingen of werk.”De komende jaren blijft PwC zich focussen op iam-ontwikkelingen, waarbij het Digital Identity-team dagelijks aan oplossingen werkt voor verschillende iam-onderdelen. Bas: “Identity blijft voor mij een interessant vakgebied. Het is lastig in te schatten wat de toekomst gaat brengen. Zo wordt al lang gesproken over de toepassing van blockchain binnen digital identity, maar tot nu toe is het bij een belofte gebleven. We volgen dit met belangstelling en dat geldt ook voor andere zaken, zoals eisen die bepaalde landen stellen aan persoonsgegevens en het bewaren daarvan. We zoeken nog altijd veel collega’s om interessante en belangrijke werkzaamheden op het gebied van iam uit te voeren!“

Meer weten over PwC? Kijk dan of je profiel past bij een van de openstaande vacatures.

Dit artikel is geen redactioneel artikel, maar gesponsord en tot stand gekomen dankzij PwC en Tweakers Partners. Dit is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers events zoals meet-ups, Developers Summit, Testfest en meer. Kijk hier voor een overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].

Lees meer

Specialisaties Economie en maatschappij Internet

Reacties (14)

-Moderatie-faq
14
12
8
0
0
4
Wijzig sortering
ro8in 30 mei 2022 09:00
PwC is toch een accountantskantoor? Dit lijkt mij echt totaal niet in hun straatje. Een gevalletje van overmoed van de CTO daar?
Napo @ro8in30 mei 2022 09:38
Diversificatie is de laatste jaren de norm bij de Big4. Alle vier de bedrijven hebben in Nederland hun digital/security tak met daarin medewerkers die de specifieke kennis hebben om klanten te ondersteunen in dit soort oplossingen.

In beginsel een accountantskantoor maar met steeds verdere uitbreiding richting technologische oplossingen.
Jerie @Napo31 mei 2022 11:24
Niet alleen de laatste jaren, hier zijn ze al veel langer mee bezig (weet ik van in ieder geval EY).
Kinger7 @ro8in30 mei 2022 09:41
In 2016 heeft PWC dan ook het IAM bedrijf Everett overgenomen voor deze expertise.
Verwijderd @ro8in30 mei 2022 09:47
https://www.accountancyda...-cyber-security-job-space

Dat zou je nog verbazen. :)
Falcon 30 mei 2022 08:17
Minimaal Authentication Code Flow (oauth2.0) met PKCE mag ik hopen? :)

Visueel: https://blog.postman.com/...ploads/2020/06/image5.png

Kom nog teveel anders tegen, zelfs nog oauth1.0
Kinger7 @Falcon30 mei 2022 09:45
Authentication is maar een onderdeel van IAM. Ik verwacht dat voor PWC als accountantskantoor de focus vooral zal liggen op governance binnen het IAM domein.
Orangelights23 @Kinger730 mei 2022 09:49
Precies. Het is meer dan alleen techniek. Ook periodieke controles, registratie van uitzonderingen, opvolging van afwijkingen, en ga zo maar door, vallen binnen IAM.
SSH @Orangelights2330 mei 2022 10:57
Dat klinkt meer als ISAE :)
Orangelights23 @SSH30 mei 2022 11:06
ISAE is een assurance standaard. Vaak zijn IAM controls wel gekoppeld aan een assurance rapport, maar dergelijke controls horen thuis in een organisatie dat tijd en energie besteed aan IAM. Ik heb aardig wat IAM processen geïmplementeerd en daar zijn veel van dit soort activiteiten en controls voor nodig om het goed onder controle te houden.
maartenvdezz @Kinger730 mei 2022 17:13
Er lopen ook aardig wat technischi rond die zich bezighouden met implementaties!
DigitalExorcist 30 mei 2022 08:18
https://www.ft.com/conten...a9-4dc6-b4fb-136b62ab3a3a

Best knap als je van je eigen medewerkers al niet eens hun 'access en identity management' kan doen voor hun eigen examens van hun eigen interne testing-tools.........
PwC Canada has been fined more than $900,000 by Canadian and US accounting regulators over exam cheating involving 1,100 of its auditors.

The watchdogs found that the Big Four firm failed to spot that staff were sharing answers in exams between 2016 and 2020 because of shortcomings in its internal standards and test supervision.

[Reactie gewijzigd door DigitalExorcist op 22 juli 2024 17:07]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq