Wie zijn de stakeholders voor een IAM-project
Voor een succesvol Identity en Access Management (IAM) project is het belangrijk dat alle stakeholders betrokken zijn. Nog te vaak wordt IAM primair beschouwd als een technisch ‘IT-feestje’. Daarmee loop je niet alleen meer risico op problemen bij de uitrol en acceptatie ervan, de kans is ook groot dat je niet optimaal gebruik maakt van alle mogelijkheden. En juist omdat IAM diep verweven wordt binnen je IT-infrastructuur wil je dit in één keer goed doen. We zullen in deze blog daarom per stakeholder hun rol toelichten.
Als je alle relevante afdelingen en specialisten direct bij aanvang al betrekt, kunnen zij vaak waardevolle input leveren om de eisen en impact van de oplossing te inventariseren en je helpen je doelen te bereiken. Die goodwill en hulp is vooral belangrijk omdat IAM-projectteams zelf vaak geen formele macht of autoriteit hebben.
Maar over welke stakeholders heb je het dan? De stakeholder analyse bevat bij een IAM-project vaak meer partijen dan bij gangbare IT-systemen. IAM vormt immers de centrale toegang voor alle medewerkers naar al hun bedrijfssystemen en data. Een goede stakeholderanalyse is dan een mooi startpunt van je project. Per organisatie zal de stakeholderanalyse verschillen, maar in het algemeen kom je onderstaande partijen zeker tegen.
In dit artikel
IT-management
De IT-afdeling is er niet alleen verantwoordelijk voor dat de IAM-oplossing technisch haalbaar is en aan de technische eisen voldoet. De resultaten moeten ook aansluiten op de strategie, beleid en behoeften van de organisatie. Daarvoor wordt vanuit de IT-afdeling nauw samengewerkt met stakeholders als HR, Securitymanagement en Finance die we verderop in deze blog toelichten. Maar ook binnen de IT-afdeling zelf zijn meerdere partijen die een eigen belang en betrokkenheid hebben bij het IAM-project. Voorbeelden zijn:
- De CIO: IAM is een centraal platform in het IT-landschap dat een kritische rol speelt bij informatiebeveiliging. Daarom is het belangrijk dat de Chief Information Officer (CIO) als opdrachtgever van dit project voldoende mensen en middelen beschikbaar stelt voor uitrol en onderhoud. De CIO is ook nauw betrokken bij de afstemming met andere stakeholders – zoals Security en HR-management – omdat dit vaak strategische vraagstukken betreffen.
- Applicatiebeheerders: De IAM-oplossing is letterlijk de spin in het IT-web en zal worden gekoppeld aan tal van systemen. Niet alleen de soms tientallen doelsystemen, maar ook het directory systeem en de HR-applicatie die als bronsysteem fungeert. De applicatiebeheerders van deze systemen zijn belangrijk bij het beoordelen van de integratie en technische aspecten. En spelen een belangrijke rol in de uiteindelijke implementatie van de koppelingen. Een goede afstemming met hen maakt je projectverloop een stuk soepeler.
- Helpdesk: De IAM-oplossing is erg zichtbaar voor de eindgebruikers. Het is dus belangrijk dat de adoptie naar een IAM-platform goed verloopt en dat gebruikers goed worden geholpen bij vragen en eventuele problemen bij toegang tot systemen en gegevens. Het eerste contact met die gebruikers wordt verzorgd door de IT-helpdesk. Dit maakt de helpdesk een belangrijke stakeholder voor het IAM-platform, dus betrek dit team al bij het ontwerp en de implementatie. De IT-helpdesk moet weten hoe de oplossing werkt en de juiste middelen en procedures hebben om eindgebruikers effectief te ondersteunen. Ze kunnen ook waardevolle input leveren voor het project daar zij zicht hebben op welke werkzaamheden omtrent gebruikers- en toegangsbeheer hen veel tijd kosten, of een lange doorlooptijd kennen voor de eindgebruikers.
Security en Privacy Management
IAM is niet eenvoudigweg een technische oplossing die – zoals andere toepassingen – ‘gewoon’ moet voldoen aan de beveiligingsstandaarden en -eisen. De CISO zal actief betrokken zijn bij de platformkeuze omdat het een sleutelrol speelt in de toegangsbeveiliging van álle medewerkers naar álle beschikbare applicaties en data. Dankzij de integratie van IDU-processen, accountbeheer en role based access control (RBAC) is IAM een essentieel hulpmiddel om datalekken te voorkomen. Ook is het een primaire gegevensbron bij audits en onderzoek naar beveiligingsincidenten. Dat betekent dat de CISO en het verdere security en privacy team vanaf het allereerst moment actief betrokken moeten worden. Maak hen als belangrijke stakeholders dan ook een partner in het IAM-project.
HR-management
Een toekomstvast IAM gebruikt bij voorkeur de officiële HR-personeelsgegevens als brondata voor gebruikersaccounts. Zo voorkomen we mismatches tussen de gebruikte lijst van accounts en het daadwerkelijke personeelsbestand. Dit maakt je HR-afdeling direct een belangrijke stakeholder. De HR-organisatie en systemen hoeven niet anders te gaan werken, maar het HR-systeem moet wel worden gekoppeld aan het IAM-platform. Voor die koppeling is er nauwe afstemming nodig met HR om te bepalen welke medewerkersgegevens kunnen worden uitgewisseld.
Daar krijgt je HR-manager overigens veel voor terug. Dankzij die koppeling tussen HR en IAM kunnen we de onboarding van nieuwe medewerkers verder automatiseren. Zodra iemand in het HR-systeem ‘bestaat’, worden ook automatisch iemands account en gebruikersrechten aangemaakt en geactiveerd. Ook bij functiewijzigingen daarna kunnen medewerkers volautomatisch worden voorzien van de bijgewerkte rechten en applicaties. En als iemand de organisatie verlaat, zorgt IAM dat deze direct geen toegang heeft tot gevoelige persoonsgegevens.
Niet alleen levert het HR-systeem gegevens aan het IAM-platform. Het IAM-platform maakt vervolgens ook de gebruikersaccounts aan voor medewerkers op het HR systeem, zodat medewerkers zelf hun eigen personeelsgegevens kunnen beheren. Deze ‘closed loop’ tussen HR en IAM vormt een extra bevestiging dat het indienstproces goed is afgerond.
Eindgebruikers
Een IAM-oplossing verbetert de toegangsbeveiliging naar applicaties en data binnen een organisatie. Tegelijkertijd kan het de werkzaamheden voor eindgebruikers ook gebruiksvriendelijker maken. HelloID kan er bijvoorbeeld voor zorgen dat medewerkers maar één keer hoeven in te loggen, waarna ze via Single Sign-On direct toegang krijgen tot al hun applicaties en data. Ook kunnen medewerkers via de Service Automation module zelf eenvoudig extra applicaties aanvragen. Door eindgebruikers (en ook leidinggevenden) als stakeholder te betrekken bij het IAM-project kun je ervoor zorgen dat het platform aansluit bij hun behoeften en inderdaad gemakkelijk te gebruiken is. Door sommige eindgebruikers als ambassadeur te laten meehelpen (bijvoorbeeld als tester) kun je ook de acceptatie en adoptie binnen de organisatie vergemakkelijken.
Finance management
De finance afdeling zal normaliter de investeringen en kosten van een IAM-oplossing nauwkeurig bekijken. Het is dan goed om ook de baten van een IAM-project samen te bespreken. Vandaag de dag besteden organisaties vaak duizenden euro’s per medewerker per jaar aan licentiekosten. Vervelend daarbij is dat vaak tonnen per jaar worden besteed aan zogenaamde slapende licenties. Variërend van individuele onnodige applicatielicenties tot en met medewerkers die allang uit dienst zijn, maar waarvan het account nog volledig actief is.
Met een IAM-oplossing als HelloID heeft men altijd inzage in wie toegang heeft en wat de IT-voetafdruk is van hun afdeling of bedrijfsproces. Ook kan HelloID er automatisch voor zorgen dat onnodige accounts en applicatielicenties worden gedeactiveerd, zodat men er niet langer voor betaalt. Betrek dus de financieel specialisten direct bij je project. Breng naast de kosten ook samen in kaart welke besparingen je kunt realiseren. Zo maak je van de financieel manager een sponsor van je project.
Houd deze 360 graden analyse actueel
Start je project dus met een rondje door de organisatie om te kijken welke partijen als stakeholder betrokken moeten zijn. Kijk daarbij ‘outside the box’. Als een organisatie bijvoorbeeld een flexibele schil gebruikt, kan het zomaar handig zijn om ook te overleggen met de organisatie waarvan je flexwerkers inhuurt voor hun gebruikersaccounts. Hetzelfde geldt voor studenten op universiteiten die niet worden geregistreerd in het HR-systeem maar in een separaat studentensysteem. Maak er daadwerkelijk een 360 graden analyse van en gebruik nieuwe inzichten om je stakeholder analyse steeds actueel te houden.