Als je als organisatie serieus werk wilt maken van je Identity & Access Management (IAM), volstaat de selectie van een goede tool niet. Misschien nog wel belangrijker is het optimaliseren van je businessprocessen. Maak inzichtelijk wat je gaat doen en waarom, op het moment dat je je toegangsbeheer professionaliseert en je identiteitsbeheersing naar een hoger niveau tilt, adviseert Carmelo Trouwborst, consultant IAM en Gegevensbescherming bij IAM in control.

Bedrijfsprocessen zijn een belangrijk onderdeel bij Identity & Access Management, omdat een tool vaak maar een gedeelte van de keten ondersteunt. Vaak wordt uit kostenoverwegingen besloten slechts een beperkt deel van de systemen die binnen een organisatie worden gebruikt, vaak de meest essentiële, op de tool aan te sluiten. Een deel van het werk blijft dus mensenwerk. Professionals die zich bezighouden met de inlogprocessen zullen vaak moeten controleren of er ook daadwerkelijk wordt uitgevoerd wat er is afgesproken. Zoals bijvoorbeeld het bestellen en configureren van een laptop voor een nieuwe medewerker, maar ook het weer inleveren van de laptop van de zaak als iemand uit dienst treedt. Een tool kan wel een reminder sturen, maar controleren of dit ook daadwerkelijk gebeurt, blijft mensenwerk.

Andere voorbeelden van access management die moeilijker te ondervangen zijn met een tool zijn het uitgeven en innemen van een zogenaamde druppel of toegangspas. Dit kan lang niet altijd geautomatiseerd worden. Tot slot staat de interface van bepaalde systemen een koppeling simpelweg niet toe, waardoor autoriseren in deze systemen altijd handwerk blijft.

Stroomlijnen
Feit is, dat mensenwerk nu eenmaal het beste gaat als het op een voorspelbare, eenduidige manier wordt uitgevoerd. Kortom: stroomlijnen, die processen! Bij IAM in control delen we bedrijfsprocessen die ertoe doen bij Identity & Access Management op in drie categorieën:

1) IDU-processen (
Instroom – doorstroom – uitstroom
Eigenlijk behelst dit alle processen die te maken hebben met het in dienst nemen van nieuwe medewerkers, functiewisselingen binnen de organisatie, het uit dienst treden van personeel en eventueel een herintreding van voormalige medewerkers.

2) Auditing en attestatie
Als je bepaalde afspraken hebt gemaakt over hoe toegangsbeheerprocessen worden uitgevoerd, wil dat niet zeggen dat het ook daadwerkelijk zo gebeurt. Bij attestatie controleren we of de geïdentificeerde rollen onveranderd zijn gebleven en of de toegangsrechten nog kloppen. Bij auditing controleren we of organisaties zich houden aan de regels, bijvoorbeeld op het gebied van privacy (AVG) of branchespecifieke eisen en of controles op de juiste manier worden uitgevoerd.

3) Autorisatie en tool-onderhoud
Met autorisatiemanagement bedoelen we: sluiten de autorisaties en de rollen die je hebt ingericht nog steeds aan bij je organisatie? Dit is extra van belang als er sprake is van reorganisaties of als er nieuwe systemen worden aangesloten op je IAM-tool, want dit heeft ook gevolgen voor je autorisatiemodel. Er kunnen nieuwe rollen ontstaan of juist rollen (tijdelijk) uit de gratie raken. Wij nemen dit stevig onder de loep. Bij tool-onderhoud gaat het om alles wat te maken heeft met het functioneren van je IAM-tool. Welke processen worden geautomatiseerd uitgevoerd? Verloopt dat zoals het hoort, of loopt de keten ergens vast? Wat doe je als de tool uitvalt?

Nauwe samenwerking
Bij procesoptimalisatie moet er nauw worden samengewerkt met verschillende partijen: allereerst de HR-afdeling, maar ook een IT-architect, die vaak het beste zicht heeft op welke stromen in de gaten moeten worden gehouden. Ook afdelingsmanagers spelen een belangrijke rol, omdat die vaak het beste weten welke werkzaamheden spelen in hun team. Op het gebied van ondersteuning moet er intensief worden overlegd met beheerders van de te koppelen systemen. Zij weten doorgaans het beste wat zich afspeelt binnen de systemen en wat er mogelijk is qua aansluiting.

De belangrijkste valkuil bij procesoptimalisatie is dat organisaties vaak denken dat zij ketens heel specifiek voor hun eigen organisatie moeten inrichten. Dit hoeft vaak niet zo complex. Vaak is het niet nodig om veel uitzonderingsposities in te richten. Wij adviseren om een simpele basisvariant te maken, die voor 80-90% van je medewerkers toepasbaar is en slechts enkele uitzonderingsposities te maken. Uiteindelijk komt het bijna altijd neer op dezelfde drie controlestappen: de initiatie van het proces (iemand geeft aan dat er iets moet veranderen) een object (de persoon of rol waar het om gaat) en een controleur die checkt of het terecht is dat er een initiatie is gegeven. Op die manier kan je altijd herleiden waar in de keten je controles uit moet voeren. Hierdoor kunnen IAM-procedures vaak sneller en goedkoper worden uitgevoerd dan organisaties denken.

Geïntegreerde aanpak
IAM in control vliegt Identity & Access Management aan vanuit verschillende invalshoeken: governance, de business en IT. We zien het niet alleen als een IT-feestje, maar ook als een processenfeestje en een regelgevingsfeestje. Het is belangrijk dat je deze elementen goed met elkaar vervlecht.

Om de processen goed in kaart te brengen, beginnen we met een intake, gevolgd door diverse intakegesprekken met personen binnen de organisatie (doorgaans de businessarchitect, soms ook de security officer en altijd iemand van HR). Dan volgt een GAP-analyse, waarbij we in kaart brengen wat er nog ingericht moet worden en welke processen moeten worden aangepast en toegevoegd. Voorbeelden van aanvullende diensten die wij op het gebied van processen aan kunnen bieden zijn audits of attestaties. Tot slot kunnen organisaties kiezen voor uitgebreide begeleiding op het IAM-project.

De belangrijkste voordelen voor organisaties die hun businessprocessen stroomlijnen binnen een IAM-implementatie zijn:

  • Je medewerkers kunnen er gerust op zijn dat ze snel toegang krijgen tot systemen en data om hun werk goed uit te kunnen voeren. Nieuwe medewerkers krijgen vrijwel direct een mailadres, inlogaccount en printertoegang.
  • Organisaties hebben controle over wie toegang krijgt tot gevoelige data en systemen.
  • Dure licenties blijven niet ongebruikt op de plank liggen, omdat je zicht hebt op wat er nodig is.
  • Na een uitdiensttreding wordt alles netjes afgesloten en hoef je je geen zorgen te maken dat gegevens op straat komen te liggen.
  • Je weet wat er binnen de organisatie gebeurt en dat dat volgens de regels is. Dus toezichthouders: kom maar op met die controles!

 

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *