Identity en Access Management – De staat van IAM in 2025

Introductie

Identity and Access Management (IAM) is anno 2025 geen technisch detail meer, maar een strategisch thema. De toename van AI-gedreven cyberaanvallen, strengere wetgeving en groeiende complexiteit in IT-landschappen dwingen organisaties om digitale identiteiten centraal te stellen, waar voorheen vooral systemen, netwerken en applicaties het vertrekpunt vormden voor beveiliging. Tegelijkertijd biedt technologische innovatie ook kansen voor slimmere toegangscontrole. Hoe staat IAM er nu echt voor? En waarom verdient het de structurele aandacht van bestuurders, CISO’s en IT-verantwoordelijken?

Digitale identiteiten bovenaan de risicolijst

Ongestructureerde en ongecontroleerde toegang vormen de achilleshiel van veel organisaties. Uit het Verizon Data Breach Investigations Report (2024) blijkt dat bij 74% van de datalekken sprake was van een gecompromitteerde identiteit of onvolledig autorisatiebeheer. Volgens het World Economic Forum (2025) staat “digital identity misuse” in de top 3 van cyberrisico’s voor organisaties wereldwijd.

De combinatie van onduidelijk eigenaarschap, shadow IT en het ontbreken van centrale regie over identiteiten leidt tot wat vaak identity sprawl wordt genoemd: honderden applicaties, systemen en cloudservices die elk hun eigen gebruikersbeheer hanteren. In een landschap waarin hybride werken de norm is en aanvallers steeds geavanceerder worden door het gebruik van AI, zijn traditionele IAM-strategieën niet meer toereikend.

De opkomst van AI: vriend én vijand

AI heeft de IAM-wereld opgeschud. Aan de ene kant zien we dat aanvallers geavanceerde AI-tools inzetten voor social engineering: denk aan deepfakes van CEO’s, realtime gegenereerde stemmen of phishingberichten die nauwelijks nog van echt te onderscheiden zijn. Deze technieken vergroten de kans op identiteitsmisbruik drastisch.

Aan de andere kant biedt AI ook krachtige verdedigingsmechanismen. Organisaties maken steeds vaker gebruik van AI voor gedragsanalyse, dynamische toegangsbeslissingen en realtime risicodetectie. Denk aan systemen die automatisch dreigingsinformatie (zoals Indicators of Compromise) verwerken in toegangslogica: wanneer een inlogsessie kenmerken vertoont van een actuele aanvalscampagne, kan toegang tijdelijk worden geblokkeerd of beperkt, nog voordat schade ontstaat. Ook ontstaan er nieuwe vormen van selfservice: via AI-gestuurde chatbots kunnen medewerkers zelf toegangsaanvragen indienen, met directe beoordeling op basis van rol, gedrag en risico-inschatting.

IAM als organisatievraagstuk

IAM raakt alle lagen van de organisatie: van HR tot juridische zaken, van de receptie tot de boardroom. Toch blijft IAM vaak organisatorisch versnipperd en technisch ingestoken. Dat is problematisch.

Een goed werkend IAM-beleid begint bij strategische keuzes:

· Wie is eigenaar van identiteitsbeheer?
· Hoe is governance geregeld bij rol- en rechtenbeheer?
· Welke IAM-processen zijn geïntegreerd met onboarding, offboarding en functiewijzigingen?

Organisaties die IAM effectief inzetten, benaderen het als een strategische discipline. Sommige organisaties benoemen een Identity Governance Officer of creëren een digital identity team dat samenwerkt met security, IT, HR en compliance.

Van controle naar kansen

IAM draait in essentie om grip: wie heeft wanneer toegang tot wat, en waarom? Wanneer de basis staat brengt dat meteen winst: denk aan efficiëntere onboarding, waarbij een nieuwe medewerker op dag één toegang krijgt tot precies de juiste middelen en niet meer dan dat.

IAM moet de aanjager zijn voor organisaties om expliciete keuzes te maken: welke rollen horen bij welke functies? Welke toegang vervalt bij een interne overstap? Zulke beslissingen vooraf structureren maakt beheer eenvoudiger, samenwerking veiliger én verkleint de afhankelijkheid van specifieke personen of afdelingen. Fundamentele keuzes ontstaan dan niet langer impliciet, maar worden expliciet vastgelegd als basis voor een toegangsmodel dat schaalbaar, uitlegbaar en beheersbaar is. Ook bij groei of verandering!

Wie IAM goed organiseert, creëert een transparant en uitlegbaar toegangsmodel. Niet om vinkjes te zetten, maar om duurzaam grip te houden. Compliance is daarmee een logisch gevolg van de strategische keuzes en geen doel op zich: van controle naar kansen!

IAM verdient de boardroom

IAM is geen operationele IT-uitdaging, maar een kritieke succesfactor voor continuïteit, compliance en reputatie. Bestuurders, CISO’s en IT-verantwoordelijken doen er goed aan IAM te behandelen als integraal onderdeel van hun strategisch risicobeheer.

Effectieve IAM vraagt om helder eigenaarschap, passende tooling die aansluit bij de processen en een organisatie die weerbaar én wendbaar is in een snel veranderende (digitale) wereld.

Digitale weerbaarheid begint bij eigenaarschap

Bij Cyber Security Challengers zien we IAM steeds vaker verschuiven van een ‘technisch project’ naar een multidisciplinair vraagstuk. Wij starten bij eigenaarschap en governance! IAM is een van de middelen op digitale veiligheid, weerbaarheid en wendbaarheid structureel te borgen. We blijven het herhalen: al deze inspanningen leveren organisaties een voorsprong op in hun markt met compliance als logisch gevolg in plaats van het doel op zich!

Benieuwd hoe we dit aanpakken in jouw sector? Neem gerust contact op voor een vrijblijvend gesprek.