Memikirkan Kembali Kepemilikan CIAM di Perusahaan

1. Pendahuluan#

Tanyakan kepada sepuluh perusahaan siapa yang memiliki identitas pelanggan atau konsumen (CIAM) dan Anda akan mendapatkan sepuluh jawaban yang berbeda. Terkadang kepemilikan berada di tangan CISO. Terkadang di tangan CTO, karena CIAM harus diintegrasikan langsung ke dalam aplikasi, situs web dan API yang mendukung produk. Terkadang berada di tangan CPO. Terkadang tim penipuan mengambil alih secara bertahap karena tidak ada orang lain yang melihat gambaran keseluruhannya. Seringkali tidak ada pemilik sama sekali dan sistem dijaga tetap hidup oleh insinyur DevOps yang mewarisinya setelah tiga kali reorganisasi.

Gartner CIAM Magic Quadrant membagi IAM pelanggan ke dalam lima keranjang fungsional - pendaftaran, autentikasi, otorisasi, layanan mandiri dan analitik - yang hampir tidak pernah bisa dipetakan dengan rapi ke satu tim tunggal. Menurut Grand View Research, pasar CIAM global bernilai USD 8,12 miliar pada tahun 2023 dan diperkirakan akan mencapai USD 26,72 miliar pada tahun 2030, dengan tingkat pertumbuhan tahunan majemuk 17,4%. Masalah kepemilikan berkembang seiring dengan nilai investasi tersebut.

CIAM adalah salah satu program lintas fungsi yang paling banyak dijalankan oleh perusahaan B2C. CIAM berada di persimpangan keamanan, rekayasa, produk, penipuan dan pertumbuhan, dan masing-masing fungsi tersebut mengoptimalkan metrik yang berbeda. Kepemilikan menentukan metrik mana yang akan menang saat terjadi konflik. Kepemilikan yang ambigu berarti tidak ada yang menang, dan program identitas pun terkatung-katung.

Artikel ini memikirkan kembali kepemilikan CIAM untuk perusahaan modern: profil pemilik umum, bagaimana industri membentuk jawabannya, mengapa data yang terfragmentasi dan budaya "bukan masalah saya" membuat pertanyaan ini tetap terbuka dan bagaimana model operasi bersama bekerja saat restrukturisasi tidak menjadi pilihan.

1.1 Pertanyaan yang dijawab oleh Artikel ini#

Dalam artikel ini, kita akan membahas pertanyaan-pertanyaan berikut:

1. Mengapa kepemilikan CIAM sering kali ambigu di sebagian besar perusahaan dan apa dampak biaya dari ambiguitas tersebut?
2. Siapa saja pemilik umum CIAM dan bagaimana masing-masing dari mereka mengoptimalkan program secara berbeda?
3. Mengapa kepemilikan yang terfragmentasi sering kali berkorelasi dengan kurangnya lapisan analitik autentikasi?
4. Bagaimana konteks industri (e-commerce vs. perbankan vs. B2C yang diatur) mengubah jawabannya?
5. Di manakah dampak kepemilikan yang terbagi paling terasa?
6. KPI CIAM mana yang tidak dimiliki sepenuhnya oleh siapa pun namun dibutuhkan oleh setiap tim?
7. Seperti apa kartu skor CIAM bersama dan bagaimana Anda menerapkannya tanpa restrukturisasi?

2. Masalah Lempar Koin#

2.1 Mengapa CIAM adalah Program Lintas Fungsi Utama Anda#

Identitas pelanggan dan konsumen menyentuh segalanya. Ia menentukan apakah pengguna dapat membeli, memperbarui, memulihkan akses, atau mencapai fitur yang diatur. Kantor CISO peduli karena setiap peristiwa autentikasi adalah peristiwa keamanan. Kantor CTO peduli karena CIAM harus diintegrasikan ke dalam aplikasi, situs web dan API, dan setiap perubahan pada login diluncurkan bersamaan dengan kode produk yang sebenarnya. Kantor CPO peduli karena setiap peristiwa autentikasi merupakan peristiwa konversi. Tim penipuan peduli karena setiap autentikasi tambahan (step-up) adalah sinyal penipuan. Tim pertumbuhan peduli karena personalisasi bergantung pada identifikasi pengguna. Tidak ada sistem lain yang memiliki lima pemilik sah secara bersamaan.

2.2 Biaya Kepemilikan yang Ambigu#

Biayanya terlihat jelas pada peluncuran kunci sandi. Implementasi yang mandek pada adopsi 5% hingga 15% hampir selalu memiliki satu kesamaan: tidak ada pemilik tunggal yang memegang peluncuran secara keseluruhan dari awal hingga akhir. Tim keamanan mendanai proyek percontohan, produk memiliki UI, IT memiliki IDP, tim penipuan menangani step-up dan tidak ada yang memiliki dorongan terhadap kohort yang sebenarnya mendorong pendaftaran. Program ini bergerak dengan kecepatan pemilik yang paling lambat.

FIDO Alliance 2024 Online Authentication Barometer menemukan bahwa pemahaman tentang kunci sandi naik menjadi 57% di seluruh dunia, dan 42% responden yang familier dengan kunci sandi telah mengaktifkannya pada setidaknya satu akun. Celah antara kesadaran dan pengaktifan adalah di mana kepemilikan CIAM yang ambigu paling terlihat secara nyata: teknologinya berfungsi, namun peluncurannya tidak. Seperti yang diungkapkan analis Gartner David Mahdi dalam konteks konvergensi disiplin IAM, "organisasi harus memikirkan kembali arsitektur IAM mereka untuk mengatasi desentralisasi identitas dan manajemen akses yang terus berkembang". Tanpa seorang pemilik, pemikiran ulang ini tidak akan terjadi.

2.3 Masalah Analitik yang Terputus#

Salah satu alasan begitu banyak tim akhirnya memegang andil dalam CIAM adalah karena tidak ada alat analitik autentikasi bersama dari awal. Diagram di bawah ini menunjukkan polanya: empat sistem memegang empat bagian perjalanan autentikasi dan tidak ada yang duduk di atas mereka untuk menggabungkan sinyal-sinyal tersebut.

Pedoman identitas digital NIST Special Publication 800-63-4 secara eksplisit menyerukan "evaluasi berkelanjutan" dari jaminan autentikator, yang tidak mungkin dilakukan tanpa pandangan peristiwa ujung-ke-ujung. Pada praktiknya hanya sebagian kecil program B2C yang memiliki pandangan tersebut: 2024 Ping Identity Consumer Survey menemukan bahwa 63% konsumen akan mengabaikan akun setelah dua upaya login yang buruk, yang merupakan metrik yang bahkan jarang dilacak oleh tim CIAM, karena data yang diperlukan untuk melacaknya berada di tiga sistem yang berbeda.

Setiap pemilik kemudian melindungi bagian mereka masing-masing. Sebagian dari ini adalah masalah anggaran - tim yang membayar data tersebut merasa mereka berhak mengendalikan. Sebagian karena pengungkit - data adalah cara termudah untuk menunjukkan nilai dalam ulasan lintas fungsi. Dampak praktisnya adalah bahkan ketika masalah CIAM mencakup keempat sistem, tidak ada satu orang pun yang dapat melihatnya dari awal hingga akhir. Lapisan observabilitas autentikasi khusus meniadakan alasan itu dan biasanya memicu perbincangan kepemilikan yang tertunda.

3. Pemilik Umum#

Lima fungsi secara rutin mengklaim hak atas CIAM, dan masing-masing fungsi mengoptimalkan metrik yang berbeda. Perbandingan di bawah ini merangkum apa yang menjadi ukuran dari setiap pola dasar dan di mana letak kelemahan atau titik buta mereka.

3.1 Kantor CISO#

Mengoptimalkan untuk: tingkat penipuan, cakupan MFA, tingkat akun yang diretas dan temuan audit. Memperlakukan CIAM sebagai kendali keamanan. Kekuatan: KPI yang jelas dan otoritas anggaran di bawah tekanan peraturan (DORA, NIS2 atau NIST 800-63). Titik buta: dampak konversi dari gesekan, biaya dukungan dari alur yang rusak, dan pengalaman dari sekumpulan besar pengguna yang perangkatnya rusak secara diam-diam.

3.2 Kantor CTO#

Mengoptimalkan untuk: upaya integrasi, keandalan platform, kualitas SDK, kecepatan rilis dan biaya rekayasa. Memperlakukan CIAM sebagai masalah integrasi produk karena login adalah kode yang diluncurkan bersama aplikasi, situs web, dan API. Kekuatan: kedekatan dengan produk, kepemilikan SDK sisi klien, kemampuan untuk memperbaiki alur yang rusak dengan cepat. Titik buta: nuansa regulasi, kompromi penipuan dan kebersihan kredensial jangka panjang setelah integrasi telah diluncurkan. CIO tampil dalam peran ini di perusahaan sektor publik dan TI yang sangat tersentralisasi, namun di sebagian besar bisnis yang berhadapan dengan konsumen, kantor CTO adalah kandidat yang lebih cocok.

3.3 Kantor CPO atau Produk#

Mengoptimalkan untuk: konversi login, tingkat aktivasi, keberhasilan pemulihan dan waktu-menuju-nilai-pertama. Memperlakukan CIAM sebagai produk. Kekuatan: ketegasan UX, pengujian A/B dan empati terhadap pelanggan. Titik buta: paparan penipuan, batasan regulasi dan kebersihan kredensial jangka panjang.

3.4 Kantor Penipuan atau Risiko#

Mengoptimalkan untuk: tingkat pemicu step-up, tingkat positif palsu, tingkat tolak bayar dan tingkat pengambilalihan akun. Memiliki segmen identitas, namun jarang memilikinya secara keseluruhan. Kekuatan: pemodelan risiko, sinyal waktu nyata dan tanggapan insiden. Titik buta: alur pendaftaran, alur pemulihan dan bagian-bagian identitas yang tidak bersifat transaksional.

3.5 Kantor Pertumbuhan atau Pemasaran#

Pemilik yang sedang berkembang, terutama di langganan konsumen dan ritel. Mengoptimalkan untuk: tingkat keterlibatan kembali, login yang membatasi cross-sell dan kesiapan personalisasi. Memperlakukan identitas sebagai fondasi bagi putaran pertumbuhan. Kekuatan: pemikiran siklus hidup dan budaya eksperimen. Titik buta: hal apa pun yang bukan pertumbuhan.

4. Di Mana Kepemilikan yang Terbagi Benar-benar Berdampak Buruk#

4.1 Penyediaan vs. Penghentian Penyediaan#

Penyediaan (provisioning) adalah masalah efisiensi: seberapa cepat Anda bisa memasukkan pengguna ke dalam sistem. Penghentian penyediaan (deprovisioning) adalah masalah keamanan: seberapa cepat Anda bisa mengeluarkan pengguna yang disusupi atau pengguna yang sudah keluar. Keduanya hampir selalu dibeli sebagai satu kesatuan alat dan kurang disetel karena pemilik yang berfokus pada efisiensi tidak pernah merasakan sakitnya penghentian penyediaan dan pemilik yang berfokus pada keamanan tidak pernah merasakan sakitnya penyediaan.

4.2 UX Milik Tim Penipuan vs. UX Milik Produk#

Tim penipuan menambahkan gesekan karena gesekan menghalangi pelaku kejahatan. Tim produk menghilangkan gesekan karena gesekan menghalangi pendapatan. Ketika kedua tim membentuk halaman login yang sama tanpa pemilik bersama, hasilnya adalah kompromi yang tidak memuaskan keduanya: cukup gesekan untuk mengganggu pengguna, tapi tidak cukup untuk menghentikan penipuan. Step-up yang dinilai berdasarkan risiko adalah jawaban teknisnya. Pemilik perjalanan tunggal adalah jawaban organisasionalnya.

4.3 Tidak Adanya Pandangan Bersama tentang Kinerja Login#

Kepemilikan yang terbagi juga merugikan karena tidak ada lapisan analitik bersama. Angka kinerja login yang sebenarnya - tingkat keberhasilan ujung-ke-ujung, keberhasilan pemulihan, tingkat pemicu step-up, persentase pengganti berdasarkan kohort dan tingkat keberhasilan metode (kata sandi, OTP, sosial, kunci sandi) - tersebar di seluruh IDP, rangkaian analitik produk, mesin penipuan, SIEM dan beberapa lembar bentang di antaranya. Setiap tim melihat bagiannya masing-masing, tidak ada yang melihat keseluruhan perjalanan dan gejalanya terkubur di dalam metrik yang tampak baik secara individu, namun menyembunyikan masalah yang sebenarnya.

Login yang lambat bagi pengguna pada versi Android yang lebih lama muncul sebagai lonjakan kecil dalam latensi IDP, sedikit penurunan dalam konversi, dan sedikit peningkatan tiket dukungan. Tidak satu pun dari indikator ini yang mengkhawatirkan dengan sendirinya. Saat digabungkan, semuanya merupakan kemunduran yang layak diperbaiki. Tanpa satu pemilik dan satu pandangan, masalah itu bisa dibiarkan begitu saja tanpa tersentuh selama berbulan-bulan.

5. Industri Membentuk Jawabannya#

Siapa yang pada akhirnya memiliki identitas pelanggan dan konsumen juga bergantung pada industri. Bagan organisasi yang sama yang berfungsi untuk satu sektor bisa terlihat terlalu diatur atau kurang diatur di sektor lain.

• E-commerce memperlakukan CIAM sebagai masalah konversi. Produk memiliki login, tim pertumbuhan memiliki keterlibatan kembali dan tim penipuan duduk berdampingan dengan keduanya. Selera keamanan berada di tingkat menengah. Iramanya adalah eksperimen mingguan. Riset pengabaian keranjang oleh Baymard Institute melaporkan tingkat pengabaian rata-rata 70,2%, dan porsi yang signifikan disebabkan oleh gesekan akun, yang menempatkan tim produk dengan kuat di kursi pemilik.
• Perbankan dan layanan keuangan memperlakukan CIAM sebagai masalah keamanan dan kepatuhan. CISO memegang program tersebut, tim risiko memiliki step-up dan IT menjalankan platformnya. Selera keamanan tinggi dan iramanya dilakukan setiap kuartal dengan audit ketat.
• Telko, asuransi dan kesehatan berada di tengah-tengah. Tekanan kepatuhan menarik mereka ke arah perbankan. Tekanan pengalaman pelanggan menarik mereka ke arah e-commerce. Model tata kelolanya biasanya terbagi antara CISO dan CPO dengan kartu skor bersama.
• Sektor publik dan B2B yang diatur memprioritaskan kemampuan audit daripada eksperimen. CIAM berada di bawah CIO (di mana IT tersentralisasi masih ada) atau di bawah fungsi tata kelola identitas khusus dengan ritme yang didorong oleh kepatuhan. Persyaratan Tingkat Jaminan Identitas NIST 800-63-4 menetapkan standar dasarnya.

Kuadran di bawah ini memplot setiap industri pada dua dimensi yang mengarahkan jawaban kepemilikan - selera keamanan dan irama peninjauan - dan memetakan pemilik dominan yang dihasilkan dari setiap posisi.

Kartu skor yang berfungsi untuk pengecer dibaca sebagai kurang diatur di bank. Model tata kelola yang berfungsi untuk bank dibaca sebagai terlalu rumit bagi pengecer. Studi Total Economic Impact Forrester tentang CIAM yang ditugaskan oleh vendor menunjukkan rentang yang luas: ForgeRock CIAM TEI melaporkan ROI 186% dalam tiga tahun, sementara WSO2 CIAM TEI melaporkan ROI 332%. Bauran pendorongnya - peningkatan konversi vs. pengurangan penipuan vs. biaya audit - berbeda secara signifikan di seluruh sektor, itulah sebabnya rentang ROI itu sendiri bervariasi. Memilih pemilik yang tepat dimulai dengan menamai pola industri di mana Anda sebenarnya beroperasi.

6. Identitas Tenaga Kerja vs. Identitas Pelanggan#

IAM tenaga kerja dan IAM pelanggan biasanya berada di tim yang berbeda, dan itu biasanya merupakan pengaturan yang tepat. Keduanya berurusan dengan identitas tetapi mereka mengoptimalkan hal-hal yang berbeda. IAM tenaga kerja mengelola karyawan yang dikenal pada perangkat yang dikelola dengan sesi yang panjang dan populasi pengguna yang kecil, biasanya 1.000 hingga 100.000 pengguna. CIAM mengelola prospek anonim dan pelanggan pada perangkat yang tidak dikelola dengan sesi pendek yang sensitif terhadap konversi dan populasi pengguna beberapa kali lipat lebih besar, seringkali puluhan atau ratusan juta. Model ancaman, KPI, dan pilihan peralatannya juga berbeda.

7. Tidak Ada Jawaban yang Sepenuhnya Benar#

Tidak ada tempat yang benar atau salah secara universal bagi CIAM untuk ditempatkan. Yang penting adalah dependensi internalnya berfungsi: tim pemilik memiliki otoritas untuk membuat keputusan, tim yang berkontribusi memiliki kursi resmi dan kartu skor digunakan bersama sehingga tidak ada yang dapat menarik metrik di luar konteks.

Bank yang diatur dapat menjalankan CIAM di bawah CISO dan berhasil. Pengecer dapat menjalankan CIAM di bawah CPO dan berhasil. Telko dapat menjalankan model terpisah antara CISO dan CPO dan berhasil. Apa yang gagal di mana-mana adalah kepemilikan implisit tanpa fungsi pemaksaan, tanpa lapisan analitik bersama dan tanpa ritme untuk peninjauan lintas fungsi. Pola organisasional menjadi tidak terlalu penting dibandingkan dengan model operasi yang berada di atasnya.

8. Kartu Skor CIAM Bersama#

Memilih kartu skor biasanya lebih mudah daripada memilih pemilik, dan itu berhasil tanpa perlu restrukturisasi. Gagasannya sederhana: setiap dasbor eksekutif per fungsi adalah benar secara lokal dan tidak lengkap secara global. Perbaikannya adalah satu halaman, lima metrik, yang ditinjau setiap bulan oleh fungsi-fungsi pemilik secara bersama-sama.

8.1 Metrik yang Tidak Sepenuhnya Dimiliki Siapa Pun#

Ini adalah lima KPI lintas fungsi yang berada di antara pandangan CISO, CTO, CPO, penipuan, dan pertumbuhan. Masing-masing metrik sangat penting dan kurang terinstrumentasi di sebagian besar perusahaan. Diagram di bawah ini menunjukkan bagaimana setiap metrik berada di persimpangan beberapa fungsi pemilik, itulah sebabnya tidak satupun dari metrik-metrik ini dapat diserahkan sepenuhnya pada satu tim saja.

• Tingkat Keberhasilan Login Berdasarkan Kohort. Agregat keberhasilan login menyembunyikan segalanya. Tingkat 92% global dapat menutupi tingkat 70% pada OS, peramban, dan kombinasi manajer kredensial tertentu. Melaporkan tingkat keberhasilan hanya pada agregat adalah kesalahan pengukuran CIAM yang paling umum.
• Waktu ke Tindakan Terautentikasi Pertama. Latensi yang dialami pengguna secara nyata mulai dari mendarat di halaman login hingga bisa bertransaksi. Termasuk waktu peluncuran Conditional UI, pemilihan kredensial, prompt biometrik dan pengalihan kembali. Berkorelasi dengan konversi dan tidak ada yang memilikinya.
• Penggunaan dan Keberhasilan Jalur Pemulihan. Berapa banyak pengguna yang mencapai pemulihan, jalur mana yang mereka gunakan dan berapa banyak yang berhasil. Pemulihan adalah tempat penipuan bertemu gesekan yang bertemu dengan biaya dukungan. Ia milik CISO, CPO dan CTO pada saat yang bersamaan, yang biasanya berarti tidak dimiliki siapa pun.
• Pembuatan Kunci Sandi vs. Penggunaan Kunci Sandi. Pembuatan adalah persentase dari pengguna yang memenuhi syarat yang telah mendaftar. Penggunaan adalah bagian dari login yang benar-benar menggunakan kunci sandi. Peluncuran dapat memiliki jangkauan 60% dan penggunaan 20% jika pengguna yang terdaftar terus mengetik kata sandi karena kebiasaan. Kesenjangan yang sama berlaku pada setiap metode autentikasi baru.
• Pengabaian Berdasarkan Metode Autentikasi. Metode apa yang digunakan saat sesi dimulai dan seberapa sering sesi tersebut tidak diselesaikan. Pengabaian kata sandi, OTP, media sosial, dan kunci sandi memiliki akar penyebab yang berbeda - kebersihan kredensial, kegagalan pengiriman, pemadaman pihak ketiga, penempatan UI atau konflik pengelola kata sandi. Membuat rata-rata untuk semuanya menyembunyikan akar masalah.

8.2 Satu Halaman, Lima Metrik, Peninjauan Bulanan#

Kartu skor adalah artefak satu halaman yang ditinjau setiap bulan oleh fungsi-fungsi pemilik secara bersama. Setiap metrik memiliki pemilik utama untuk kualitas data, pemilik lintas fungsi untuk rencana tindakan, dan target yang ditetapkan bersama di awal setiap kuartal. Halaman Notion atau Google Sheet saja cukup - peninjauan dilakukan di atas satu halaman rangkuman tersebut, bukan di dasbor yang mendasarinya.

Setiap pemilik menyumbangkan bagian yang hanya dapat mereka lihat:

• Keamanan menyumbangkan tingkat penipuan, tingkat akun yang disusupi dan hasil step-up per kohort.
• CTO / Rekayasa menyumbangkan waktu aktif, tingkat kesalahan integrasi, kinerja SDK dan biaya per autentikasi berdasarkan metode.
• Produk menyumbangkan corong konversi, penurunan di setiap langkah dan waktu menuju nilai pertama.
• Penipuan menyumbangkan tingkat pemicu step-up dan tingkat positif palsu berdasarkan kohort.
• Pertumbuhan menyumbangkan rasio sesi anonim vs. yang teridentifikasi dan tingkat keterlibatan kembali.

Matriks di bawah ini merangkum pola kontribusi dan memperjelas celah cakupan yang ada - tidak ada pemilik tunggal yang menghasilkan kelima metrik sendirian.

8.3 Menerapkannya Tanpa Restrukturisasi#

Sebagian besar program kartu skor gagal pada tingkat instrumentasi, bukan tata kelola. Jika lapisan observabilitas yang mendasarinya tidak dapat merinci tingkat keberhasilan berdasarkan OS, peramban, dan pengelola kredensial, sebanyak apa pun ritme peninjauan yang dilakukan, kartu skor yang dihasilkan tidak akan berguna. Urutan yang berjalan di dunia nyata:

1. Instrumentasi terlebih dahulu. Telemetri acara sisi klien yang dapat merinci tingkat keberhasilan berdasarkan kohort adalah prasyarat untuk semua metrik kartu skor lainnya.
2. Pilih satu metrik untuk dimiliki bersama terlebih dahulu. Tingkat keberhasilan login berdasarkan kohort biasanya merupakan pilihan pertama yang tepat karena ia memaksa dilakukannya instrumentasi lintas-kohort yang menjadi sandaran semua metrik lainnya.
3. Tinjauan bulanan selama 60 menit. Pertemuan pertama: setujui lima metrik tersebut dan tolok ukur saat ini. Pertemuan kedua: sepakati target kuartalan. Pertemuan ketiga: rencana tindakan pertama. Tambahkan metrik selama dua kuartal alih-alih semuanya sekaligus.

Pada enam bulan, implementasi yang matang melaporkan tingkat keberhasilan login berdasarkan kohort dengan pemilik yang ditunjuk untuk tiga yang terburuk, jangkauan dan penggunaan kunci sandi sebagai dua angka yang berbeda, keberhasilan pemulihan dengan pemilik CISO/CPO bersama, tingkat pemicu step-up di samping tingkat positif palsu dan biaya per autentikasi dirinci berdasarkan metrik. Tinjauan bulanan beralih dari sekadar berdebat tentang data menjadi berdebat tentang keputusan, yang merupakan hasil akhirnya.

9. Bagaimana Corbado Menambahkan Lapisan Data yang Hilang untuk Autentikasi#

Corbado tidak memutuskan siapa yang memiliki CIAM dan tidak mencoba melakukannya. Kepemilikan adalah keputusan organisasi. Apa yang dibawa oleh Corbado adalah lapisan data yang hilang sejak awal - lapisan yang membuat silo, pembagian anggaran, dan sikap "bukan urusan saya" tidak dapat menghasilkannya sendiri. Autentikasi pada akhirnya memiliki apa yang sudah dimiliki oleh analitik produk, observabilitas dan perangkat penipuan di domain mereka masing-masing.

Lapisan observabilitas autentikasi berada di atas IDP, mesin penipuan, dan SIEM serta menggabungkan sinyal-sinyal mereka menjadi satu pandangan tentang perjalanan login. Upaya di backend, upacara sisi klien, perilaku pengelola kredensial, keberhasilan tingkat kohort dan hasil pemulihan berada di satu sistem dan diukur satu sama lain.

• Satu Lapisan Data untuk Autentikasi. Sinyal backend, frontend, penipuan dan keamanan dikorelasikan per sesi, per kohort, dan per perjalanan, sehingga kinerja login sebenarnya tidak lagi terkubur di empat sistem.
• Tingkat Keberhasilan Tingkat Kohort. Keberhasilan login dikelompokkan berdasarkan OS, peramban, pengelola kredensial dan perangkat keras - metrik kartu skor pertama yang sebagian besar tim tidak bisa hasilkan dari peralatan mereka saat ini.
• Pembuatan dan Penggunaan sebagai Angka Terpisah. Pembuatan kunci sandi dan penggunaan kunci sandi dilaporkan sebagai dua KPI yang berbeda, yang merupakan satu-satunya perbaikan pengukuran terbesar yang dibutuhkan oleh sebagian besar kartu skor.
• Analitik Jalur Pemulihan. Penggunaan alur pemulihan, keberhasilan, dan pengabaian muncul di taksonomi peristiwa yang sama dengan alur login, sehingga CISO dan CPO melihat angka yang sama.
• Pengabaian Berdasarkan Metode. Pengabaian per metode memungkinkan kartu skor memisahkan pengabaian kata sandi (kebersihan kredensial) dari pengabaian kunci sandi (konflik UI atau manajer kredensial).
• Rel Pengaman Peluncuran. Penekanan dinamis, dorongan spesifik kohort dan tombol pemutus (kill switch) memungkinkan siapa pun yang menyelenggarakan program untuk melakukan perubahan tanpa menyentuh IDP secara langsung.
• Tolok Ukur Referensi. Batasan dasar lintas penyebaran dari basis pelanggan Corbado memungkinkan angka internal dibandingkan dengan angka eksternal, yang sering kali dapat mengubah tinjauan bulanan menjadi sebuah keputusan.

Perselisihan kepemilikan tidak akan hilang dengan lapisan data. Namun ia akan menjadi lebih mudah diselesaikan, karena perdebatan tentang "data saya mengatakan" berhenti dan perdebatan tentang apa yang harus dilakukan pun dimulai.

10. Kesimpulan#

CIAM memiliki beberapa pemilik sah dan hal itu tidak akan berubah. Yang berubah adalah apakah perusahaan tersebut memilih pemilik, atau memilih sebuah kartu skor. Memilih pemilik jauh lebih cepat tetapi membutuhkan modal politik. Memilih kartu skor lebih lambat tetapi berfungsi tanpa restrukturisasi. Kedua jalur ini lebih baik daripada lempar koin secara implisit yang dilakukan sebagian besar perusahaan saat ini. Biaya dari kepemilikan yang ambigu dapat diukur dari implementasi yang terhenti, alur yang terputus, dan terkikisnya angka keamanan dan konversi secara diam-diam dalam waktu yang sama.

Tentang Corbado

Corbado adalah Passkey Intelligence Platform untuk tim CIAM yang menjalankan autentikasi consumer dalam skala besar. Kami membantu Anda melihat apa yang tidak bisa ditunjukkan oleh log IDP dan tool analytics generik: device, versi OS, browser, dan credential manager mana yang mendukung passkey; mengapa enrollment tidak menjadi login; di mana flow WebAuthn gagal; dan kapan update OS atau browser diam-diam merusak login — semuanya tanpa mengganti Okta, Auth0, Ping, Cognito, atau IDP internal Anda. Dua produk: Corbado Observe menambah observability untuk passkey dan metode login lainnya. Corbado Connect menghadirkan managed passkey dengan analytics terintegrasi (berdampingan dengan IDP Anda). VicRoads menjalankan passkey untuk 5M+ pengguna dengan Corbado (aktivasi passkey +80%). Bicara dengan pakar Passkey →

FAQ#

Siapa yang biasanya memiliki CIAM di Perusahaan besar?#

Menurut pengalaman kami, kepemilikan dibagi antara fungsi CISO, CTO, CPO, penipuan dan pertumbuhan. Di industri yang diatur, kantor CISO memegang otoritas utama. Di perusahaan asli digital yang dipimpin konsumen, kantor CPO atau CTO biasanya memegang otoritas utama, karena CIAM harus diintegrasikan ke dalam produk. Manajer produk identitas khusus yang menjalankan kartu skor bersama adalah pola matang yang ada di keduanya.

Apakah Industri mengubah siapa yang harus memiliki CIAM?#

Ya. E-commerce memperlakukan CIAM sebagai masalah konversi dan biasanya berakhir pada produk atau pertumbuhan. Perbankan memperlakukannya sebagai masalah keamanan dan kepatuhan dan akhirnya diserahkan kepada CISO. Telko, asuransi dan kesehatan menjalankan model terbagi. Jawaban yang tepat mengikuti selera keamanan industri dan ritme peninjauannya, bukan melalui praktik terbaik abstrak.

Mengapa Kepemilikan CIAM yang terbagi menghambat Peluncuran Autentikasi baru?#

Setiap metode autentikasi baru - mulai dari login media sosial dan MFA step-up hingga kunci sandi - memerlukan UX pendaftaran yang terkoordinasi, alur pemulihan, kebijakan risiko dan peralatan dukungan. Ketika masing-masing berada di bawah pemilik yang berbeda dengan kecepatan yang berbeda pula, peluncuran bergerak sesuai dengan laju pemilik yang paling lambat. Implementasi kunci sandi adalah contoh saat ini yang paling nyata dan secara rutin sering tertahan pada adopsi 5% hingga 15%.

Haruskah IAM Tenaga Kerja dan IAM Pelanggan berada dalam Tim yang sama?#

Biasanya tidak. Keduanya hanya berbagi kosata kata dan sedikit hal lain. IAM tenaga kerja mengoptimalkan untuk perangkat yang dikelola, pengguna yang dikenal dan efisiensi biaya. IAM pelanggan mengoptimalkan untuk perangkat yang tidak dikelola, pengguna anonim dan konversi. Sebagian besar perusahaan yang matang menempatkannya pada tata kelola terpisah dan berbagi melalui dewan daripada satu pemimpin bersama. Lihat panduan kami tentang observabilitas autentikasi untuk perincian pihak CIAM dalam pemisahan ini.

Apa KPI CIAM yang paling penting?#

Ada lima metrik lintas fungsi yang berada di antara dasbor tiap fungsinya: tingkat keberhasilan login berdasarkan kohort, waktu menuju tindakan terautentikasi pertama, jangkauan dan penggunaan kunci sandi sebagai dua angka berbeda, keberhasilan jalur pemulihan dan pengabaian berdasarkan metode autentikasi. Masing-masing metrik merupakan beban utama dan tiap metriknya kurang terinstrumentasi pada sebagian besar perusahaan.

Mengapa Jangkauan Kunci Sandi dan Penggunaan Kunci Sandi bukan Metrik yang sama?#

Jangkauan adalah persentase pengguna yang memenuhi syarat yang telah mendaftarkan kunci sandi. Penggunaan adalah persentase login yang benar-benar menggunakan kunci sandi. Peluncuran dapat memiliki jangkauan yang tinggi namun penggunaan rendah jika pengguna yang sudah mendaftar tetap mengetikkan kata sandi karena kebiasaan. Hanya melaporkan salah satu metrik akan menyesatkan tinjauan eksekutif.

Apa itu Kartu Skor CIAM bersama?#

Sebuah artefak satu halaman yang berisi lima metrik lintas fungsi, yang ditinjau setiap bulannya oleh para fungsi pemilik bersama-sama. Setiap metrik memiliki pemilik utama untuk kualitas data, pemilik lintas fungsi untuk rencana tindakan dan target yang ditetapkan bersama di awal setiap kuartalnya. Peninjauan dilakukan di artefak satu halaman tersebut, bukan di atas dasbor utamanya.

Seberapa sering Kartu Skor harus ditinjau?#

Setiap bulan, dalam pertemuan lintas fungsi selama 60 menit bersama fungsi-fungsi pemilik. Lebih sering dari ini dan tidak ada yang berubah di antara peninjauan tersebut. Kurang sering dari ini dan pergeseran sistemik tidak akan terdeteksi, terutama untuk regresi tingkat kohort setelah pembaruan OS atau peramban.

Bagaimana kita memulai tanpa perlu Restrukturisasi?#

Pilih dua metrik yang paling terasa sakit, libatkan para pemilik dalam peninjauan 60 menit bulanan hanya untuk metrik tersebut dan perluas dalam dua kuartal ke depan. Tidak ada pergantian gelar. Kartu skor itu sendiri akan menjadi lapisan tata kelolanya. Sebagian besar perusahaan tiba di pola yang matang ini dalam waktu 12 hingga 18 bulan tanpa pernah benar-benar memindahkan lini pelaporannya secara formal.

Dapatkah Vendor membantu menyelesaikan Perselisihan Kepemilikan?#

Vendor tidak bisa menentukan kepemilikan untuk Anda. Tetapi mereka bisa menghapus keambiguan data yang membuat perselisihan kepemilikan menjadi lebih sulit untuk diselesaikan. Lapisan analitik bersama memberi setiap pemilik porsi yang mereka pedulikan sembari mempertahankan pandangan keseluruhan, yang seringkali cukup untuk mengubah perdebatan politik menjadi sebuah perdebatan operasional.