IAM valkuilen voor directie en raad van bestuur
Ik kom bij veel organisaties over de vloer en praat dan meestal met de afdeling ICT over het stroomlijnen van user account beheer. Liever zie ik ook een business manager aan tafel. Maar het implementeren van een Identity en Access Management (IAM) technologie wordt binnen organisaties bijna altijd gezien als een puur technische zaak. En natuurlijk moet er technisch één en ander gebeuren om het beheren van identiteiten (léés user accounts) te vereenvoudigen. Denk maar aan het stroomlijnen van het user accountbeheer door helpdesk, applicatiebeheerders en systeembeheerders. En dan hebben we vaak te maken met een mix van systemen en applicaties.
Echter, de scope van een IAM oplossing beperkt zich volgens mij absoluut niet alleen tot de afdeling ICT en heeft een veel bredere impact. Raad van Bestuur en directie realiseren zich (nog) niet dat een IAM-omgeving ook een aantal belangrijke organisatorische wijzigingen met zich meebrengt. En daarmee stoten zij zich tegen het hoofd.
Bredere impact
Een IAM-omgeving heeft effect op de gehele organisatie en niet alleen ICT. Zo kan de technologie een belangrijke rol spelen als het gaat om het naleven van wet- en regelgeving of vraagt het van de organisatie om eens goed na te denken over de hiërarchie. Echter, veel organisaties zien dit niet en ontwikkelen geen beleid ten aanzien van een IAM-omgeving. Deze organisaties trappen in een aantal valkuilen.
Mogelijke valkuilen
Een eerste valkuil is dat organisaties te ‘snel’ willen voldoen aan auditeisen en daarvoor simpelweg een export/rapportage oplossing implementeren. Zij voldoen hiermee aan de gestelde auditeisen, maar het is zeker geen structurele oplossing. Want vervuiling die ooit is ontstaan in het bronsysteem komt bij iedere rapportage weer boven.
Hieruit vloeit direct een tweede valkuil. Organisaties die geen beleid uitdenken, stellen het bronsysteem – lees HR-systeem – niet centraal als het gaat om het bijhouden van in- en uitdienst, wijzigingen van functie en/of afdeling en de hiërarchie van alle medewerkers, inclusief uitzendkrachten, freelancers, interim medewerkers en vrijwilligers. En wat is er nu mooier dan een bronsysteem gebruiken dat altijd up-to-date is.
Daarnaast vergeten de organisaties vaak de medewerker en de manager centraal te stellen in het IAM proces. Daarentegen staat de afdeling ICT centraal. De manager weet exact welke resources haar/zijn medewerkers nodig hebben om hun werkzaamheden te kunnen uitvoeren. En een medewerker is prima instaat om aan te geven wat zij/hij nodig heeft om werkzaamheden uit te voeren. Door de medewerker en manager zelf resources te laten aanvragen, wordt de afdeling ICT minder belast met dit soort taken. En de lastige en langdurige communicatie tussen ICT en manager over de juiste resources blijft achterwege.
Tot slot
Tot slot resulteert het ontbreken van een beleid in de valkuil om veel stappen in het IAM-proces tegelijk in te voeren, terwijl dit juist heel goed gefaseerd kan.
Het wordt tijd dat ICT en de business samenwerken als het gaat om het implementeren van een Identity & Access Management omgeving. En dat bestaat uit zowel technologie als beleid. Creëer zo veel mogelijk draagvlak bij het management om te voorkomen dat uw organisatie ook in een valkuil belandt.