IAM + AI: waar Identity Management en automatisering samenkomen

Access reviews, lifecycle management, risicoanalyse. AI versnelt wat er al is, maar repareert geen chaos. Drie domeinen waar het vandaag al werkt.

Er zijn processen in IT die al tien jaar handmatig draaien.

Niet omdat er geen betere manier is. Maar omdat de betere manier nooit prioriteit heeft gekregen.

Access reviews zijn daar een goed voorbeeld van. Elk kwartaal, of misschien één keer per jaar, stuurt iemand een Excel-export rond naar alle managers. Wie heeft nog welke rechten? Klopt dat nog? Graag bevestigen voor vrijdag.

De helft reageert niet. Een kwart reageert met ziet er goed uit zonder te kijken. Een kleine minderheid doet écht moeite. En de uitkomst? Een document dat voldoende is voor de auditor, maar weinig zegt over de werkelijke risico's in de omgeving.

Dit is de realiteit van identity governance in veel organisaties. En het is ook precies het gebied waar AI het grootste verschil kan maken.

Waarom IAM en AI zo goed bij elkaar passen

Identity management draait op data. Enorme hoeveelheden data: wie heeft welke toegang, wanneer is die toegang verleend, hoe vaak wordt hij gebruikt, wanneer is iemand van rol gewisseld, wanneer is iemand vertrokken.

Die data is er al. Maar hij wordt nauwelijks benut.

Een IAM-systeem registreert dat een medewerker drie jaar geleden rechten heeft gekregen voor een applicatie. Het systeem registreert ook dat die medewerker sindsdien nooit meer heeft ingelogd op die applicatie. Maar diezelfde rechten staan nog actief, en worden meegenomen in de volgende access review als een rij in een Excel die niemand herkent.

AI is goed in precies dit soort patroonherkenning. Het kan anomalieën signaleren. Het kan ongebruikte rechten identificeren. Het kan afwijkingen markeren die een menselijke reviewer nooit zou opvallen in een lijst van duizend regels.

Dat is geen futurisme. Dat is vandaag al mogelijk.

Drie domeinen waar het nu al werkt

1. Access reviews die verder gaan dan bevestigen

In plaats van een manager vragen "klopt dit nog?", kan een AI-gedreven systeem al een voorselectie maken: dit zijn de accounts die al zes maanden niet zijn gebruikt. Dit zijn de rechten die buiten de standaard rollenset vallen. Dit zijn de combinaties van toegang die een verhoogd risico vormen.

De manager hoeft niet meer door duizend regels, alleen door de uitzonderingen die echt aandacht verdienen.

Het resultaat: snellere reviews, betere kwaliteit, minder risico dat gevaarlijke combinaties onopgemerkt blijven.

2. Joiner-mover-leaver zonder handmatige stappen

Het klassieke probleem: iemand wisselt van afdeling en krijgt nieuwe rechten. De oude rechten worden vergeten. Na een jaar heeft diezelfde persoon rechten die horen bij drie verschillende rollen, geen van de combinaties is ooit expliciet goedgekeurd.

Met AI-gestuurde lifecycle management wordt dit patroon automatisch gesignaleerd. Rollen die niet meer passen bij de huidige functie, worden geflagd. Provisioning-verzoeken worden getoetst aan de standaard rollenset. Afwijkingen gaan automatisch naar de juiste goedkeurder, in plaats van te verdwijnen in de administratie.

3. Risicoanalyse op toegangsaanvragen

Niet elke toegangsaanvraag is gelijk. Een aanvraag voor leesrechten op een projectdocument is anders dan een aanvraag voor beheerdersrechten op een productiesysteem.

AI kan die beoordeling ondersteunen: op basis van de rol van de aanvrager, de gevraagde rechten, de combinatie met bestaande toegang en historische patronen, kan een risiconiveau worden bepaald. Laag risico gaat automatisch door. Hoog risico gaat naar een mens.

Dat is niet het vervangen van de mens, het is het gebruiken van automatisering voor de gevallen die dat aankunnen, zodat de mens zich kan richten op de gevallen die dat vereisen.

Maar er is een randvoorwaarde

AI versnelt wat er al is. Het repareert geen chaos.

Als je identity data niet klopt, als accounts slordig zijn aangemaakt, als rollen niet goed zijn gedefinieerd, als je geen helder rollenmodel hebt, dan maakt AI die chaos sneller en groter zichtbaar. Niet kleiner.

De organisaties die nu succesvol AI inzetten in hun IAM-omgeving, hebben één ding gemeen: ze hebben eerst hun fundament op orde gebracht.

Schone data. Heldere governance. Gedocumenteerde processen. Een rollenmodel dat de werkelijkheid weerspiegelt.

Dat is het werk dat vooraf gaat. Het is ook het werk dat het minst glamoureus is, en het meest wordt uitgesteld.

De blik vooruit

De integratie van IAM en AI is geen hype. Het is een logische volgende stap voor een domein dat al jaren worstelt met schaal, handmatige processen en de onmogelijkheid om alles te zien wat je zou moeten zien.

De tools zijn er. De platformen rijpen. De use cases zijn bewezen.

De vraag die ik organisaties stel is dan ook niet: "Wil je hier iets mee?", die vraag beantwoordt zichzelf.

De vraag is: "Is je fundament sterk genoeg om er AI op te zetten?"

Als het antwoord ja is, zijn de mogelijkheden groter dan de meeste organisaties nu beseffen.

Als het antwoord nee is, is dat ook goed nieuws, want het geeft precies aan waar je moet beginnen.