Det digitale synlighetsgapet

Det vokser frem et synlighetsgap i identitetslaget som skaper stor risiko. Mange ser tegnene, men få tar systematisk tak i det. Her forklarer jeg hvorfor det skjer, og hva du kan gjøre for å redusere risiko og sløsing i identitets- og skymiljøet.

Hva er det digitale synlighetsgapet?

Det digitale synlighetsgapet er forskjellen mellom hvordan identiteter, tilganger og enheter er tenkt å fungere i prosesser og dokumentasjon, og hvordan de faktisk fungerer i hverdagen.

• Kontoer blir liggende igjen etter at ansatte slutter eller prosjekter avsluttes.
• Appsamtykker og rolletilordninger blir stående selv når løsninger ikke lenger brukes.
• Enheter som ikke oppfyller enhetskravene, brukes likevel til innlogginger.

LES OGSÅ:

• 

  Laerdal Medical velger Atea til nytt hovedkvarter

• 

  Britisk milliardkontrakt for Netcompany

• 

  Startup bygger KI-fabrikk med amerikansk partner

• 

  Iteam går inn i Sverige med ny sjef

• 

  Columbus i storsatsing på ERP for Bama

På overflaten ser strukturen ryddig ut, men under ligger det et lag av historikk og avvik som få har full oversikt over. Det er her identitetsrisikoen ofte skjuler seg.

Hvorfor oppstår gapet?

Synlighetsgapet oppstår fordi identiteter, tilganger og enheter forvaltes på tvers av systemer og team, uten et samlet bilde.

Fragmentert eierskap

HR håndterer onboarding og offboarding. IT drifter enheter. Sky og applikasjonsteam tildeler tilgang i plattformene og systemene de forvalter. Sikkerhetsavdelingen overvåker signaler. Risiko og compliance følger opp avvik. I tillegg til brukere har vi maskinidentiteter: app og tjenesteidentiteter (for eksempel servicekontoer) og enhetsidentiteter (PCer og mobiler).

Alle gjør sin del, men avvikene oppstår fort i overgangene mellom teamene og disse identitetstypene.

Manglende samlet oversikt

Identitetsdata ligger i identitetsløsningen (for eksempel Microsoft Entra ID). Enhetsstatus og enhetskrav ligger i enhetsstyringen (for eksempel Intune). Lisens og bruksdata ligger i kontorplattformen (for eksempel Microsoft 365). Aktivitetsdata ligger i hver enkelt applikasjon. Når informasjonen ikke ses samlet, blir selv enkle spørsmål tidkrevende å svare på:

• Hvem er faktisk aktive brukere nå?

• Hvilke tilganger er nødvendige og riktige gitt dagens rolle?

• Hvilke enheter oppfyller ikke kravene, men brukes likevel til innlogging?

I tillegg forsterkes synlighetsgapet av teknisk gjeld, manuelle prosesser og eldre verktøy som ikke klarer å gi et samlet bilde av identiteter, enheter og tilgang. Mange miljøer er fortsatt preget av silo-baserte løsninger som aldri var laget for dagens endringstakt.

Når virkeligheten løper fra rutinene

En viktig grunn til dette er at identiteter, tilganger og enheter forvaltes i ulike deler av organisasjonen uten et samlet oversiktsbilde. Rollebeskrivelser endres, prosjekter starter og avsluttes, og nye team kommer til. Samtidig bygger det seg lag på lag med grupper, nøstede grupper og arvede rettigheter som gir mer tilgang enn nødvendig. Automatisering oppretter identiteter som aldri tas i bruk, og tilganger blir sjelden fjernet når behovet forsvinner.

Konsekvensen er at styringsbildet du leder etter, blir foreldet sammenlignet med faktisk bruk og aktivitet.

Hvorfor betyr dette noe?

Manglende synlighet gjør sikkerhet, kostnadskontroll, etterlevelse og daglig drift mer krevende. Man kan ikke sikre det man ikke ser. Man kan heller ikke optimalisere det man ikke forstår.

Bransjen er i bevegelse

Analytikere peker på behovet for helhetlig innsikt på tvers av identiteter, tilganger og enheter. I 2025 løftet Gartner i sin Hype Cycle for Digital Identity frem Identity Visibility and Intelligence Platforms (IVIP) som en kategori som samler IAM-relevante data til én konsistent visning og gir et intelligens-lag over eksisterende verktøy. Poenget er å gjøre synlighet til en forutsetning for god identitetsstyring, ikke en tilleggsegenskap.

Så hva kan du gjøre med det? Her er fire praktiske grep for å få bedre kontroll på identiteter

Du trenger ikke starte stort. Gjør konkrete tiltak som styrker identitetskontrollen og bygger løpende synlighet.

1. Skaff et samlet bilde

Reell kontroll over identiteter krever innsikt i hva som faktisk skjer, ikke bare hva prosesser og strukturer tilsier. Du må vite hvem som er aktive, hvilke tilganger som brukes, og hvilke enheter som logger inn. Når identiteter, aktivitet og enhetsstatus ses i sammenheng, blir risiko tydelig: overflødige identiteter, utvidede tilganger og enheter som aldri burde hatt adgang. Uten et helhetlig bilde baseres styringen på antakelser.

2. Sikre god identitetshygiene

Identitetsmiljøer forringes raskt uten jevnlig oppfølging. Etabler mekanismer som fjerner inaktive eller formålsløse identiteter, begrenser privilegerte tilganger til det nødvendige og sikrer at app- og tjenesteidentiteter har en tydelig eier og livssyklus. God identitetshygiene minimerer angrepsflaten før den blir utnyttbar.

3. Avklar ansvar og etabler tydelige rammer

Effektiv identitetsstyring krever klare eiere og tydelige beslutningslinjer. Hver identitetstype må ha én ansvarlig funksjon, og grupper, roller og tilganger bør beskrives på en måte som gjør dem forståelige og sammenlignbare på tvers av systemer. Når det er tydelig hvem som kan gi tilgang, registrere apper og endre kritiske rettigheter, blir tilgangsstyringen mer konsistent og mindre sårbar for feil og misbruk.

4. Overvåk det som faktisk betyr noe

Overvåkning må fange opp det som endrer risiko. Reager på uautoriserte privilegerte tilganger, enheter som ikke oppfyller kravene og identiteter eller apper med avvikende aktivitet. Få, tydelige indikatorer gir best styring når de har klare terskler og ansvar.

Virksomheten må ta et aktivt grep

Synlighetsgapet er ikke et midlertidig avvik. Det er en strukturell utfordring i moderne skymiljøer der data og ansvarsområder er spredt. 

Jo tidligere virksomheter erkjenner dette, desto enklere blir det å bygge robust identitetsstyring med lavere risiko, bedre etterlevelse og mer forutsigbar drift.

Knytt indikatorene til tydelig ansvar. Hvem skal reagere når grensene brytes, hvor raskt, og hva er forventet utfall. Da går indikatorene fra å være tall til å bli konkrete handlinger.