Wat doet een functioneel beheerder IAM eigenlijk de hele dag? Consultant Carmelo Trouwborst neemt je mee van dashboard-check tot rolbeheer, en van ticketoplossing tot structureel onderhoud.
Dat zou zomaar een eerste reactie kunnen zijn als je het werkveld verder niet kent. Maar zelf denk ik dat je als functioneel beheerder IAM geweldige dingen voor je organisatie kunt doen.
Je bent de dijkwachter die ervoor zorgt dat bij een beveiligingslek nooit de hele infrastructuur van de organisatie in gevaar komt. Het werk is leuk omdat je ervoor zorgt dat een nieuwe collega direct aan de slag kan en zich welkom voelt. Je beschermt bovendien de gegevens die kwetsbare mensen aan de organisatie hebben toevertrouwd.
Medewerkers krijgen direct toegang tot wat ze nodig hebben — niet meer, niet minder.
Nieuwe collega's kunnen op dag één direct aan de slag. Vlot en foutloos geregeld.
Goed IAM helpt aantoonbaar voldoen aan wetgeving zoals de AVG, NIS2 en BIO.
Beperk de kans op datalekken en zorg dat ongewenste toegang geen kans krijgt.
Als ik word ingehuurd als functioneel beheerder, ben ik verantwoordelijk voor het functioneren van een IAM-platform. Zelf heb ik de meeste ervaring met SmartID.
Als het aankomt op digitale toegang en resources, functioneert een IAM-platform als het hart van de digitale infrastructuur. Het haalt informatie op over identiteiten van medewerkers, apparaten en systemen, en zorgt ervoor dat die identiteiten de rechten krijgen die ze nodig hebben om te functioneren.
In die beeldspraak ontbreken de aderen nog: de automatische toekenningsregels die ervoor zorgen dat rechten terechtkomen waar ze moeten zijn, en dat actuele statussen over accounts worden teruggestuurd. Mijn taak als functioneel beheerder is dat hart gezond en kloppend te houden.
De belangrijkste processen die binnen een IAM-platform lopen zijn de instroom-, doorstroom- en uitstroomprocessen — kortweg IDU — en de provisioning.
Iemand start bij de organisatie. Het platform zorgt direct voor de juiste toegang.
Werkzaamheden veranderen? Rechten worden automatisch aangepast.
Iemand vertrekt. Toegang wordt tijdig en volledig ingetrokken.
Aanmaken van accounts en toekennen van toegang — van Office tot afdelingsmappen.
Het doel is dit volledig te automatiseren. Het IAM-platform centraliseert en automatiseert het autorisatieproces zoveel als mogelijk. In essentie bepalen we wat medewerkers doen, om vast te stellen wat ze nodig hebben en het platform handelt de rest af.
Meestal begin ik mijn dag met het openen van het dashboard. Bij sommige IAM-systemen is dit één scherm, vaak zijn het er meerdere. In het dashboard zie ik of het platform normaal functioneert, of informatie nog steeds correct binnenkomt, en of identiteiten naar behoren worden geautoriseerd.
Zie ik dat een koppeling met een doelsysteem zoals Microsoft-infrastructuur of Active Directory niet goed werkt, of dat een account geen rechten kan ontvangen? Dan onderneem ik actie, meestal door contact op te nemen met de eigenaar van het betreffende systeem.
Belangrijk onderscheid: als functioneel beheerder IAM kun je problemen in een doelsysteem signaleren, maar je mag niet op de stoel van de beheerder van dat systeem gaan zitten. Signaleren én doorverwijzen dat is de rol.
Is er een probleem dat individuele systemen overstijgt bijvoorbeeld met de koppeling naar een doel- of bronsysteem dan schakel ik met de leverancier van het IAM-platform of met de netwerkbeheerder van de organisatie. Naast het dashboard beschikken veel IAM-platforms ook over rapportages: die geven inzicht in identiteiten zonder brondata of in autorisaties die uit een doelsysteem zijn verwijderd.
Een dashboard geeft slechts een overzicht van wat er technisch gebeurt. Uiteindelijk zijn het de medewerkers zelf die aangeven of ze hun werk goed kunnen doen. Daarom bestaat in de meeste grotere organisaties een ticketsysteem waarin medewerkers van receptionisten tot managers problemen kunnen melden met hun toegangsrechten.
Omdat het IAM-platform zo centraal staat, wordt een probleem als "Ik of mijn collega kan niet werken!" vaak automatisch aan IAM gekoppeld. Mijn eerste taak: bepalen of dat ook daadwerkelijk zo is. Een applicatie kan ook niet werken doordat er geen licenties beschikbaar zijn, of omdat de organisatie die niet langer gebruikt. In dat geval kan het IAM-platform wel autorisaties toekennen, maar gebeurt er alsnog niets.
Is de vraag niet voor mij bedoeld? Dan zorg ik dat deze bij de juiste persoon terechtkomt, zodat de aanvrager zo snel mogelijk verder kan. En ik stel mezelf altijd de vraag: mag ik dit probleem ook oplossen?
Toegang tot gevoelige data of een dure licentie? Dan zijn er vaak afspraken over gemaakt. Soms is toegang alleen toegestaan bij een bepaalde functie, of na goedkeuring van een manager. Kan ik het technisch oplossen, maar mag ik het niet dan leg ik zo duidelijk mogelijk uit waarom, en geef ik waar mogelijk een suggestie om de aanvrager verder te helpen.
Tegelijkertijd is het belangrijk om verder te kijken dan de waan van de dag. Zie ik dat bepaalde aanvragen steeds terugkomen? Dan is een structurele oplossing nodig. Zie ik dat beheerders telkens dezelfde informatie moeten aanleveren? Dan is een standaardrapportage wenselijk. Op dat punt kom ik uit bij de andere dragers van het IAM-platform: de rolbeheerders en het management.
Naast het oplossen van dagelijkse vragen probeer je problemen ook voor te zijn. Organisaties reorganiseren, schaffen nieuwe applicaties aan en veranderen hun manier van werken. Als functioneel beheerder zorg ik ervoor dat het IAM-platform niet alleen blijft draaien, maar ook klaar is voor de toekomst. Samen met collega's denk ik na over hoe het platform gebruiksvriendelijker en efficiënter kan worden ingericht.
De beslissingen die je neemt als functioneel beheerder komen niet voort uit persoonlijke voorkeur. Je hebt te maken met wetgeving, internationale standaarden en het beleid van de organisatie. Houd je je daar niet aan, dan loopt de organisatie risico op datalekken of misbruik van gegevens. In het geval van een zorginstelling of gemeente kan dat betekenen dat kwetsbare mensen daar direct de gevolgen van ondervinden.
Tegelijkertijd draag je ook de verantwoordelijkheid om ervoor te zorgen dat de organisatie kan blijven functioneren. Signaleer ik dat een regel of werkwijze het werk onnodig belemmert? Dan zorg ik dat dit signaal bij de juiste mensen terechtkomt.
Mijn rol is het probleem, de risico's en mogelijke oplossingen inzichtelijk te maken, zodat de juiste persoon de juiste beslissing kan nemen.
"Waar anderen een stroom van uitzonderingsverzoeken op rollen zien, zie ik een mogelijkheid om die rollen te verbeteren."
— Carmelo Trouwborst, IAM in controlDeze dubbelrol komt vaker voor dan je zou denken. Veel organisaties vinden het lastig om hier aparte capaciteit voor vrij te maken. Het gevolg: twee tegenstrijdige doelstellingen efficiënt beheer én een veilig en doelmatig rollenmodel. In de praktijk probeer je die werkzaamheden zo goed mogelijk te scheiden en elkaars werk door een collega te laten beoordelen. Bij iedere taak stel je jezelf de vraag: kijk ik hiernaar als functioneel beheerder of als rolbeheerder?
Aan de ene kant wil je dat mensen snel en goed hun werk kunnen doen. Aan de andere kant ben je de poortwachter die IAM als veiligheidsklep behoudt. Je wilt mensen niet van het kastje naar de muur sturen, maar ook geen beslissingen nemen die bij een manager of andere beheerder horen. De sleutel: weet welke procesafspraken er zijn en met wie je moet schakelen. Sluit je niet op in je eigen bubbel, ga de organisatie in, praat met collega's, laat zien wat je doet. Een kop koffie of een informatiesessie kan al veel problemen voorkomen.
Een veelgemaakte fout van beginnende functioneel beheerders: alles zelf willen oplossen. Zeker als externe consultant wil je laten zien wat je kunt. Maar als jij de enige bent die alle vragen opvangt, ontstaat er een flessenhals. Word je ziek, raak je overbelast of werk je tijdelijk aan een project? Dan zoekt de organisatie oplossingen buiten het IAM-platform om met alle risico's van dien. Hulp vragen is niet zwak: het zorgt ervoor dat het probleem wordt opgepakt door degene die daar het beste voor is toegerust. Een dak met meerdere steunpilaren is immers sterker dan een dak dat op één pilaar rust.
IAM-oplossingen werken uitstekend op papier, maar hebben in de praktijk baat bij continu overzicht en bijsturing. Bij iemand die in contact staat met de werkvloer, ervoor zorgt dat de informatiestromen zuiver blijven, en die afwijkingen snel oplost.
Ook bij gestandaardiseerde processen is er van tijd tot tijd behoefte aan de menselijke maat een ingreep die een geautomatiseerd systeem niet kan maken. Denk aan een naamswijziging, een oplossing voor een collega die moet re-integreren, of een creatieve aanpak voor een projectteam met tijdelijke toegangsbehoeften.
Daarnaast merk ik dat beheerders van aangesloten systemen het prettig vinden om iemand te hebben met wie ze kunnen sparren over het verbeteren van hun dienstverlening. En medewerkers vinden het fijn dat er een gezicht zit achter de anonieme, geautomatiseerde werkstromen iemand bij wie ze terechtkunnen voor hulp.
De kracht van functioneel beheer IAM: ervoor zorgen dat IAM niet alleen een middel is voor veiligheid of efficiëntie, maar een steunwerk dat mensen ontzorgt en hen in staat stelt om hun werk goed te doen.
Wij ondersteunen organisaties bij het functioneel beheer van hun IAM-platform. zodat jullie de regie houden en medewerkers altijd veilig en vlot aan de slag kunnen.
Neem contact op