Identity (en access) management is meer dan IT

    Identity management

    Vanuit Van Aetsveld is Ronald van Rossum als projectmanager verantwoordelijk voor het neerzetten van Identity en Access Management. Hoe zorg je ervoor dat medewerkers hun werk goed kunnen doen? Hoe zorg ik ervoor dat medewerkers die uit dienst zijn niet meer bij de systemen kunnen? Bij welke systemen moeten zij kunnen? En hoe weet ik wie ik toegang heb gegeven tot welke omgeving? Dat zijn kenmerkende vraagstukken waarop Identity management een antwoord geeft.

    Het ecosysteem Identity management

    Identity Management wordt vaak vanuit IT aangevlogen, maar het is veel meer dan IT alleen. Identity management is eigenlijk een Ecosysteem. Daarmee bedoelen we het totaal van processen, procedures, gedrag, informatiesystemen en support rond zowel de In-, Door- en Uitstroom van medewerkers, externen en samenwerkingspartners (het identiteitenbeheer), als de voorzieningen die zij moeten, willen en mogen hebben om hun werk te doen en de verantwoording daarover en controles op (het autorisatiebeheer).

    Identity management ondersteunt In-, Door- en Uitstroom van medewerkers

    Inzicht en overzicht

    Compliance en informatiebeveiliging zijn vaak de belangrijkste drijfveren voor de invoeren van gecentraliseerd beheer van identiteiten. Tijdens accountantscontroles wordt vaak gekeken naar de actuele stand van zaken op gebied van geregistreerde medewerkers en andere personen die toegang hebben tot ICT-voorzieningen en de daaraan uitgegeven toegangsrechten, rollen en functiescheiding. Identity management helpt daarbij om inzicht en overzicht te creëren. Het hebben van goed ingericht identity management is eigenlijk een must voor iedere (middel)grote organisatie.

    Willen naast Moeten

    De ambities van de gemeente gaan verder. Door in te steken op willen naast moeten, is gekozen voor een aanpak rond toegevoegde waarde: makkelijker en efficiënter. Dan zorg je ervoor, dat nieuwe medewerkers vanaf dag één, gemakkelijk bij de juiste informatie kunnen komen en rechten hebben op de juiste systemen. Makkelijk omdat ze in één keer toegang hebben tot al hun voorzieningen en als ze wat nieuws zouden willen hebben omdat ze dit in hun werk willen gebruiken kunnen ze dit makkelijk snel aanvragen en krijgen.

    Steek in op willen naast moeten

    Ondersteuning van interne mobiliteit

    Dat scheelt leidinggevenden, servicedesks en de beheerders op de automatiseringsafdelingen veel werk, zowel in de uitvoering van de processen zelf als in het bijhouden en registreren van al die rechten. Overzicht maakt het mogelijk om te zien wie bij welke informatie kan en wie daarvoor toestemming heeft gegeven. Het tijdelijk uitgeven van rechten helpt om te zorgen dat iemand die tijdelijk een klus doet, ook zijn werk kan doen. Daarmee ondersteunt het interne mobiliteit en flexibiliseert het de inzetbaarheid van medewerkers. En zoals we overal zien neemt de mobiliteit alleen maar toe, met een veel grotere stijging op het aantal mutaties (mensen en autorisaties) tot gevolg.

    Minder gedoe

    Iedere organisatie wordt uitgedaagd om zijn medewerkers flexibel in te zetten. Dit gebeurt met externe medewerkers en ook steeds meer interne medewerkers werken aan cross-functionele opgaven, programma’s en projecten. Vaak belast die flexibiliteit de HR-afdelingen die het in-, door- en uitstroomproces ondersteunen. Zij verwerken de personele verschuivingen en op basis van die mutaties worden vaak allerlei zaken aangepast, van tekenbevoegdheden tot toegang tot panden. Hierbij zijn ze afhankelijk van de kwaliteit en snelheid van aanlevering van de mutaties door leidinggevenden.

    Leidinggevenden zitten zelf aan de knoppen

    De leidinggevende aan het stuur

    Realiteit is vaak, dat mutaties niet als zodanig gezien worden; die extra taak hoort gewoon bij het werk… Dan is het mooi als de leidinggevende zelf, op verzoek van zijn medewerker, met een druk op de knop kan zorgen dat het uitvoeren van die extra taak ook systeemtechnisch kan. En met hetzelfde gemak ook weer kan terugdraaien als na verloop van tijd blijkt dat die systeemtoegang niet meer nodig is. Overigens als het wel een overplaatsing of detachering betreft, is het handig dat de medewerker nog een tijdje zijn oude werk kan uitvoeren en alvast met het nieuwe kan beginnen en dat na verloop van tijd de rechten voor het oude werk worden afgenomen.

    Procesuitdagingen

    Dat leidt tot een veelheid aan uitdagingen in de procesgang. Want het inrichten van processen en systemen om dit te ondersteunen, vraagt om het optimaliseren van de samenhang tussen allerlei afdelingen. En het afstemmen van allerlei vraagstukken, waar vaak eerder nog niet bewust zo over was nagedacht. Behandelen we externen hetzelfde als interne medewerkers? Wie heeft welke verantwoordelijkheden tijdens in-, door- en uitstroom van personeel? Wat is eigenlijk de frequentie van door- en uitstroom? En welke systemen gebruikt iemand in zijn functie? Welke afspraken maken we eigenlijk tijdens registratie? Als we iemand registreren wanneer mag hij dan aan het werk? Als iemand doorstroomt of weggaat hoe lang mag hij nog bij zijn gegevens?

    Inzicht in wie wat gebruikt voor zijn werk

    Beheersing van gebruik

    Het gaat er dan ook om te beheersen welke voorzieningen een medewerker nodig heeft om zijn werk te moeten doen, kunnen doen en welke het werk plezieriger of aangenamer maken. Dat vraagt om overzicht en inzicht. En dat leidt weer tot aanvullende vraagstukken. Hoeveel licenties gebruiken we daadwerkelijk? En voor hoeveel hebben we betaald? Welke gebruikersrechten kan je combineren zodat het nog makkelijker wordt om in één keer iemand de juiste rechten te geven? En welke rechten moeten we niet combineren vanuit het perspectief van functiescheiding, compliance, vertrouwelijkheid of andere redenen? Beperken we ons tot de systemen in huis, of pakken we ook de clouddiensten mee? Want hoe vaak heeft een ex-medewerker niet nog steeds toegang tot clouddiensten nadat hij of zij uit dienst is gegaan?

    Projectaanpak vanuit verschillende invalshoeken

    Als projectmanager heeft Ronald een plan gemaakt, waarin hij verschillende onderdelen heeft opgenomen.

    • Waar beleggen we het eigenaarschap van de functionaliteit?
    • Wat is het samenspel tussen HR, lijn en leidinggevenden?
    • Hoe gaan we de processen verbeteren en waarmee gaan we deze processen ondersteunen?
    • Wat voor ondersteuning organiseren we?
    • Welk beleid hanteer je?
    • Welke voorzieningen ga je gebruiken?
    • Welke stappen moeten we zetten en in welke volgorde?
    • Wie betrekken we bij dit proces?

    Eigenaarschap beleggen

    Het eigenaarschap van Identity management als informatievoorziening is centraal belegd bij de functioneel betrokken afdeling. Het hoofd informatievoorzieningen voert de regie op de voorziening zelf en over de ketenprocessen rond in- door- en uitstroom en autorisatiebeheer. Het betreft immers een generieke bedrijfstaak die vanuit informatievoorziening wordt geleverd. Overigens zien we in veel organisaties dat het bij de automatiseringsafdeling belegd is (dit is de technische kant in plaats van de functionele kant), waardoor vaak de bedrijfsproceskant en veranderingen daarin en toegevoegde waarde voor eindgebruikers en leidinggevenden minder of geen aandacht krijgen.

    Regievoering noodzakelijk

    Regievoering op de oplossing

    Vanuit die regievoering wordt intensief samengewerkt met verschillende andere (bedrijfsondersteunende) afdelingen. Daarmee worden afspraken gemaakt over de procesgang. Willen we bijvoorbeeld een nieuwe medewerker al toegang geven tot de systemen, zodat hij zijn rooster in kan zien voor zijn eerste werkdag? Of hoe lang nadat een medewerker uit dienst is gegaan, zetten we zijn mailadres uit? Hoe zorgen we er ook voor dat toegangspassen zijn gekoppeld? Hoe zorgen we ervoor dat ook andere voorzieningen worden geregeld, zoals mobiele telefoons, laptops, tablets, bedrijfskleding, etc.?

    Samenspel HR, lijn en ondersteuning

    De beantwoording van voorgaande vragen kan geen van de afdelingen alleen doen. Tegelijkertijd kunnen we het ook niet vragen aan alle leidinggevenden. Daarom moet een algemeen, gedragen uitgangspunt geformuleerd worden, dat wordt getoetst bij de verschillende spelers. Vanuit informatiebeveiliging zal een Centrale Information Security Officer (CISO) daarnaar kijken, terwijl een leidinggevende kijkt naar de effecten voor zijn eigen team. Door een aantal vraagstukken op te pakken en via de procesgang uit te werken ontstaat “de mores”; hoe we zaken doen hier. En aan de hand van de keuzes worden vervolgens ook de zaken rond de toegang opgepakt; rechten op informatiesystemen, een toegangspas, de werkplek, werkkleding en andere zaken die nodig zijn om het werk goed en veilig te doen.

    Beleid en verwachtingsmanagement

    Invoering van nieuwe functionaliteit vraagt altijd om een bewustwordingstraject. Vanaf de start van het project is daarop geïnvesteerd. En bleek de boodschap van de kwalitatieve baten goed te vallen; makkelijk en efficiënt werken verkoopt zichzelf! Bij het formuleren van de beleidsuitgangspunten konden daardoor de juiste partijen aanschuiven. Belangrijke vragen zijn hierbij: gaan we uit van controle of vertrouwen? Wat is er al geregeld in algemene zin (gedragscodes, etc.)? Welke grondregels willen we hanteren? Welke aanvullende eisen gaan we stellen aan onze leveranciers en samenwerkingspartners? Antwoorden op deze vragen leiden tot veranderkundige aspecten om gedrag van medewerkers en leidinggevenden te gaan beïnvloeden. En als input om communicatie uit te voeren naar de stakeholders. Dit is belangrijk om geformuleerde doelstellingen te kunnen halen.

    De boodschap van de kwalitatieve baten bleek goed te vallen

    Wanneer kunnen we ermee aan de slag?

    Tegelijkertijd blijkt dan ook weer, dat er (veel) verwachtingen worden gewekt. Formuleren van beleid leidt tot inleving, signaleren van kansen en het gevoel dat die functionaliteit er al is. En dat terwijl het beleid eigenlijk pas de basis is waarop de oplossing uitgewerkt kan worden. Het uitwerken van de oplossing moet zorgvuldig gebeuren en aangezien er in grote organisaties vaak meer dan honderd systemen gebruikt worden is het ook veel werk. Het managen van de verwachtingen is dan ook een belangrijk onderdeel van de vervolgstappen; wat moet er nog gebeuren en wie moet dat doen voordat we uiteindelijk de voordelen kunnen benutten?

    Samenhang met andere ontwikkelingen

    De toenemende aandacht voor informatiebeveiliging vanuit Baseline informatiebeveiliging Gemeenten (BIG) en de AVG leverde mogelijkheden om op gebied van bewustwording aan te haken. Een deel van de beleidsuitgangspunten draagt bij aan het operationaliseren van de BIG. Ook op gebied van self service blijken quick wins te halen. Van het zelf resetten van wachtwoorden tot het via een serviceportaal aanvragen van rechten op een systeem maken dat de servicedesk minder belast gaat worden. Om dat te kunnen realiseren, moet wel een gemeenschappelijke set afspraken worden opgesteld. Die zijn verankerd in de informatiearchitectuur en worden gebruikt om aansluiting van nieuwe systemen makkelijk mogelijk te maken. Als je een standaard stekkerdoos maakt, kan iedereen daarin prikken om aan te haken. En als je er voor kiest om dat niet te doen, weet je wat je zelf moet gaan regelen….

    Self service leidt tot quick wins

    Oplossing selecteren

    Identity management is een knooppunt proces waar op basis van broninformatie (veelal één of meerdere HR-systemen) vele doelsystemen worden gekoppeld door middel van processen en interfaces. Identity management wordt ondersteund door informatiesystemen. Hiervoor zijn vele leveranciers van standaard software (Oracle, Sailpoint, SAP, CA, Dell, IBM, Omada, NetIQ (Microfocus), etc.). Op basis van functionele en non-functionele eisen, de informatiearchitectuur en het huidig aanwezige landschap is een oplossing gekozen. In de voorbereiding daarbij zijn referentiebezoeken afgelegd en best practices van andere organisaties waar Van Aetsveld Identity Management heeft helpen implementeren meegenomen. Bij het toetsen van die keuze blijkt dat partijen als Gartner deze ook in hun Magic Quadrant IGA (Identity and Accessmanagement Governance) met grote mogelijkheden gepositioneerd hebben.

    Op naar werking en beheerfase

    De vervolgfasen van het project richten zich op het implementeren van de basisvoorzieningen en het aansluiten van de eerste systemen. Daarbij komen verschillende vraagstukken aan de orde. Zo moeten de functies en rollen binnen afdelingen in kaart gebracht. En moet een keuze gemaakt worden welke systemen iemand wel of niet nodig heeft in zijn rol. En dan moeten die systemen gekoppeld worden. Het project pakt daarbij de eerste, breed ingezette koppelingen op en werkt daarmee de eigen functioneel beheerders in. En die beheerders gaan daarna de volgende koppelingen realiseren. Want een goed geïmplementeerde IDM-oplossing past zich aan waar organisatie en informatievoorziening veranderen.