Hoe schrijf ik een businesscase voor IAM
Het opstellen van een businesscase voor een Identity en Access Management (IAM) oplossing is een belangrijke stap in de projectvoorbereiding. Te vaak nog wordt IAM primair gezien als een noodzakelijke functionaliteit en kostenpost. Met een heldere businesscase maak je voor stakeholders ook duidelijk wat IAM allemaal kan opleveren.
Zo is de primaire rol van een IAM-oplossing de gebruikersaccounts te beheren en de toegang tot applicaties en data te beveiligen. Maar door daarbij de juiste keuzes te maken kun je tegelijkertijd veel kostbare handmatige werkzaamheden automatiseren en serieus besparen op onnodige licentie- en opslagkosten. Behalve deze directe kostenbesparingen wordt het met een moderne IAM oplossing veel eenvoudiger om compliant te blijven met verschillende beveiligings- en privacyrichtlijnen, waardoor je en passant ook potentiële boetes door datalekken kunt voorkomen. En omdat medewerkers sneller en eenvoudiger toegang krijgen tot hun applicaties en data verhoogt je IAM-oplossing ook nog eens de productiviteit. Een goede IAM-businesscase geeft een helder overzicht van die verschillende voordelen en kwantificeert die zo goed als mogelijk.
Voorkom dat een businesscase alleen een klinische spreadsheet met plussen en minnen wordt. Natuurlijk eist de financieel manager een helder overzicht van de cijfers maar het is wel belangrijk dat ook het centrale idee achter de nieuwe oplossing helder wordt opgeschreven. Zo kleur je de cijfers in, maak je keuzes en onderlinge afhankelijkheden duidelijk en helpt het bij het stellen van prioriteiten. Bij een goede businesscase past de kern van het verhaal op het spreekwoordelijke bierviltje terwijl je de cijfers gebruikt als onderbouwing.
In deze blog geven we een overzicht van de verschillende IAM-kostenposten, besparingen en opbrengsten. Waar mogelijk geven we voorbeelden en indicaties van bedragen, maar de daadwerkelijke businesscase is natuurlijk afhankelijk van de specifieke organisatie en context.
In dit artikel
Kosten van je IAM-oplossing
De kostenkant van je IAM-businesscase bestaat over het algemeen uit éénmalige investeringen en terugkerende kosten. Die zetten we eerst op een rij.
Aanvangsinvestering
Met een moderne Software-as-a-Service oplossing zoals HelloID hoef je niet langer te investeren in eigen on-premises servers en software. De beschikbare standaard functionaliteit wordt geactiveerd en de aanvangsinvestering beperkt zich tot de benodigde installatie- en consultancywerkzaamheden, en de koppeling met bron- en doelsystemen. De hoeveelheid werk hangt daarbij af van de gebruikte modules:
- De Provisioning module realiseert een koppeling tussen het HR-systeem en de user accounts in het netwerk. Hiermee wordt het gehele in-, door- en uitstroomproces geautomatiseerd.
- Met de Service Automation module kunnen gebruikers zelf online toegang vragen tot aanvullende applicaties of data. Manager kunnen online met één klik goedkeuring geven waarna de wijziging volautomatisch wordt verwerkt.
- De Access Management module biedt medewerkers, partners en eventueel klanten eenvoudig en uniform toegang tot cloudapplicaties.
Voor HelloID zijn veel standaard aanpakken en blauwdrukken ontwikkeld waardoor enkele dagdelen of dagen consultancy vaak al voldoende is om de verschillende modules te activeren.
Terugkerende kosten
Voor het gebruik van de software en het onderhoud ervan betaalt men bij het SaaS-model een maandelijks bedrag per gebruiker, afhankelijk van de gebruikte modules. Dankzij dit ‘Pay-per-Use’ model heb je voortdurende controle over de maandelijkse kosten. Dit ‘mee ademen’ met de gebruikersaantallen is vooral belangrijk als er veel wisselingen zijn in het personeelsbestand en er bijvoorbeeld gebruik wordt gemaakt van flexibele inhuurkrachten met een eigen account. Iets soortgelijks geldt ook bij onderwijsinstellingen met veel gastdocenten en snelle wisselingen in het studentenbestand.
Directe besparingen op processen, licenties en opslag
Met een moderne IAM oplossing die de provisioning en het beheer van gebruikersaccounts automatiseert, kunnen we een aantal directe besparingen gaan realiseren. Niet alleen zijn er veel minder dure handmatige handelingen nodig; we besparen ook op de benodigde accounts, licenties en opslagruimte. Dat werken we hieronder uit.
Automatiseren van handelingen
Laten we eerst de bezuinigingen op handmatige handelingen in kaart brengen. De nieuwe IAM-oplossing automatiseert de indiensttreding, doorstroom en uitstroom processen (de IDU processen). Dankzij de koppeling met het HR systeem worden automatisch accounts aangemaakt voor nieuwe medewerkers en de zogenaamde Role Based Access Control (RBAC) zorgt dat iedere medewerker ook direct de juiste rechten krijgt, passend bij diens rol. Als iemand later een andere rol krijgt worden automatisch de bijbehorende rechten weer bijgewerkt en als iemand vertrekt, zijn er geen handmatige stappen nodig om het account te deactiveren. Ook veel andere service processen kunnen worden geautomatiseerd, zoals de aanvraag en goedkeuring van specifieke applicaties of het verwerken van een naamwijziging.
Het financiële voordeel hiervan is nauwkeurig te berekenen. De meest organisaties weten exact hun in- en uitstroomcijfers, terwijl ook de interne doorstroming naar andere functies steeds beter is geregistreerd. Op jaarbasis kan dat zomaar 20 procent van het totale medewerkersbestand betreffen. Een percentage dat nog kan groeien omdat organisaties steeds flexibeler opereren met tijdelijke medewerkers, inhuurkrachten, zelfsturende teams en partners.
De ICT-helpdesk was tot nu toe verantwoordelijk om de bijbehorende accounts en rechten aan te maken, te beheren of te verwijderen. Met behulp van geregistreerde ‘helpdesk metrics’ (aantal tickets, doorlooptijd afhandeling ticket, inspanning, etc.) kunnen we exact bepalen hoeveel we kunnen bezuinigen op dat handmatige werk. De genoemde IDU-handelingen vragen vaak zomaar een half uur per keer. Bovendien zijn er nog tal van bijkomende handelingen voor bijvoorbeeld het wijzigen van accountnamen, het toevoegen of wijzigen van bijzondere rechten en de correcties van handmatige fouten.
En dan rekenen we nog erg voorzichtig door enkel rekening te houden met de helpdesk uren, want in de praktijk is er ook vaak nog afstemming nodig tussen HR, teamleiders/managers en de helpdesk voor de uitgifte en het beheer van accounts en toegangsrechten. Het is dan ook niet ongewoon als in een organisatie van enkele honderden medewerkers een ICT helpdesk medewerker zomaar een groot deel van diens tijd kwijt is aan account- en rechtenbeheer.
Minder licentie- en opslagkosten
Bij de handmatige verwerking van het uit dienst gaan van personen ontstaan er ook vaak vertragingen en misverstanden tussen de HR afdeling, teamleiders/managers van de verschillende afdelingen en ICT. Het gevolg is dat gebruikersaccounts vaak ‘vergeten’ worden en nodeloos lang actief blijven, inclusief de bijbehorende kosten voor de back-up van data en applicatielicenties. Tegelijkertijd zorgt handmatig beheer er ook vaak voor dat medewerkers gaandeweg onnodige applicatierechten gaan stapelen; in een nieuwe rol of tijdelijk project vragen ze een applicatie aan en zo’n (dure) licentie wordt vervolgens nooit meer ingetrokken. Zo ontstaat binnen organisaties vaak een structurele vervuiling van soms tientallen zwevende licenties en accounts.
Deze vervuiling is met een inventarisatie van HR en accountgegevens te kwantificeren. Door het rechtenbeheer te koppelen aan iemands rol en het uit dienst treden te automatiseren worden alle ICT-resources minimaal bezet gehouden en beperk je deze kostenpost tot het minimum.
Relatie tussen IAM kosten en besparingen
Met een SaaS gebaseerde IAM-oplossing als HelloID is het merendeel van de kosten direct gerelateerd aan het aantal gebruikers. We schetsten hierboven dat ook veel besparingsmogelijkheden zijn gerelateerd aan het aantal gebruikers. Met de groei van een organisatie nemen dus de kosten van de IAM-oplossing toe, maar groeien direct ook de kostenbesparingen. Het is goed om deze duidelijke relatie te tonen in je businesscase.
Verdere voordelen voor de organisatie
Hierboven beschreven we kostenvoordelen die je concreet kunt kwantificeren. Toch is daarmee je IAM-businesscase nog niet compleet. IAM helpt je ook om aan te tonen dat je compliant bent, daarmee eventuele financiële schade door datalekken te beperken en de productiviteit van je organisatie te verhogen. Dat zijn voordelen die wellicht zelfs veel meer financiële impact hebben op je organisatie, maar ze zijn tegelijkertijd lastiger exact te berekenen.
Verbeterde productiviteit en effectiviteit
Door de IAM service processen te automatiseren, voorkomen we dure handmatige handelingen en onnodige licentie- en opslagkosten. Voor veel gebruikers is het echter minstens zo belangrijk dat dankzij automatisering ook allerlei hindernissen en vertragingen worden weggenomen. Het handmatig aanmaken, verwijderen of wijzigen van accounts en applicatierechten kost misschien netto maar een half uurtje tijd, maar dat zegt helaas weinig over de werkelijke doorlooptijd. Er is in veel gevallen bijvoorbeeld ook afstemming nodig met HR medewerkers en de teamleiders of managers van de betrokken medewerker, en dan heb je het zomaar over uren of zelfs dagen vertraging. Als iemand dan niet verder kan met zijn werk is dat duur en frustrerend. Ook is het fnuikend voor je reputatie als werkgever. De nieuwe medewerker die na twee dagen nog steeds geen werkende account heeft, haakt mentaal alweer af voor hij goed en wel begonnen is. Het zijn voorbeelden die lastig direct zijn te kwantificeren maar als je nieuwe IAM oplossing deze bottlenecks oplost, is dat een elementair onderdeel van je businesscase.
Compliancy met privacy en informatiebeveiligingsrichtlijnen
Iedere IAM-oplossing beheert gebruikersaccounts en toegangsrechten. Echter, een volwaardige en toekomstgericht IAM zoals HelloID gaat daarin veel verder en ondersteunt zo meerdere informatiebeveiliging en privacy maatregelen. Maatregelen die noodzakelijk zijn om te voldoen aan richtlijnen zoals ISO 27001, BIO, NEN 7510 en de AVG. Door de verschillende IAM processen volledig te automatiseren en gebruik te maken van Role Based Access Control borgen we echt het least privilege concept. We voorkomen fouten, de onnodige stapeling van rechten en het ongewenst openlaten van oude accounts.
De meerwaarde hiervan is enorm. Je bent met de genoemde maatregelen aantoonbaar goed voorbereid om hacks en datadiefstal te voorkomen. Bovendien registreert het platform alle gebruikershandelingen ten behoeve van rapportages en audit trails. Dat is erg belangrijk want bijvoorbeeld de Autoriteit Persoonsgegevens kan boetes uitdelen tot maximaal 20 miljoen euro of – als dat hoger is – 4% van de wereldwijde jaaromzet. Ook al is het voorkomen van boetes en reputatieschade lastig te vertalen naar concrete bedragen in de businesscase, het betreft hoe dan ook ‘serious money’.
Aan de slag met je IAM-businesscase
Een goede en transparante businesscase helpt je stakeholders te betrekken bij het IAM-project. Het gaat daarbij niet alleen om cijfers en de uitkomsten onder de streep. Het gaat erom de verschillende businessvoordelen van je IAM oplossing en de onderlinge afhankelijkheden te tonen en deze zoveel mogelijk ook te kwantificeren. Tegelijkertijd is het ook belangrijk andere potentiële businessvoordelen te noemen, ook al zijn die minder eenvoudig te kwantificeren. Onze Tools4ever consultants helpen je graag jouw specifieke businesscase samen in te vullen.