Identity & Access Management (2/4): samen heeft iedereen zijn eigen rol

In het vorige artikel uit deze reeks gingen we in op het belang van governance voor het implementeren en besturen van een organisatiebreed Identity & Access Management (IAM) proces. In dit artikel gaan we in op het belang van alignment tussen Business en ICT (Security) maar ook andere partijen zoals HR en Security & Risk management in het IAM proces. Alignment leidt tot operational excellence security met de bijbehorende voordelen voor alle betrokken partijen.

iam

Ik geef allereerst enkele voorbeelden die zichtbaar kunnen zijn als alignment onvoldoende aandacht krijgt. Vervolgens geef ik enkele praktische tips over het inbedden en uitvoeren van alignment om daarmee uit IAM voordelen voor de hele organisatie te behalen.

Symptomen van onvoldoende aandacht voor alignment zijn weergegeven in de vijf volgende cases:

  • ICT trekt het IAM project waardoor het wordt beperkt tot het ICT domein (Lees: ICT Security doelstellingen). Alignment van doelstellingen en benefits  van andere partijen worden niet meegenomen omdat een “ICT Security en de andere partijen overleg” ontbreekt.  Extra voordelen voor de business, zoals een snelle inzet van nieuwe medewerkers door een geautomatiseerd self service IAM proces worden dan onvoldoende herkend en worden daarom geen doel. Andere voordelen voor de business zoals het besparen van kosten en het mitigeren van business proces risico’s komen eveneens onvoldoende voor het voetlicht.
  • De verantwoordelijkheden in het proces zijn niet duidelijk afgesproken en belegd. Dit leidt tot frictie en ontevredenheid tussen de verschillende partijen. Een voorbeeld hiervan is dat ICT (Security) de Role Based Acces Control (RBAC) rollen “goedkeurt” terwijl de juiste autorisatie voor toegang tot informatie vooral een principe is voor veilige business processen. Een ander voorbeeld is dat de ICT afdeling zelf onderdelen uit het identity proces uitvoert (zoals een check op inactieve users om “uit dienst” te detecteren) omdat overzichten van uit dienst gegane medewerkers niet beschikbaar zijn.
  • De business ervaart slechte leverbetrouwbaarheid van IAM en neemt eigen maatregelen om compliant te zijn. Als het IAM proces wordt aangepast sluiten deze maatregelen niet meer aan waardoor het IAM proces gaten gaat vertonen.
  • Er zijn veel findings uit audits op compliancy en (key)controls als gevolg van het niet tijdig en goed (first time right) uitvoeren van  taken. Vaak leiden hier  gebrek aan prioriteitsstelling en kennis tot uitstel. Het verificatie werk stapelt zich dan op, re-work neemt toe en het risico op security manco’s groeit. Dit is een sluipend risico voor een drietal aspecten:
    1. vulnerability want key controls zijn er niet voor niets;
    2. compliancy issues met aansprakelijkheidsrisico’s voor het management;
    3. een  hoge kostenpost om het werk in te halen (externe inhuur).
  • ​Een complex en ondoorzichting IAM kost tijd en geld, het blijft onduidelijk wat het oplevert en wat de toegevoegde waarde er van is. Die waarde kan ook buiten het directe veld van security liggen. Ik geeft een voorbeeld van deze waarde. Een PasswordVault heeft naast security ook nog andere voordelen voor de asset owner en dus voor de business.De Asset owner wordt namelijk verlost van allerlei administratief werk om controle over zijn systeemaccounts, wachtwoorden en het gebruik ervan te houden.

Eenmaal in de Vault gaat uitgifte en logging van passwords automatisch op basis van vooraf gedefinieerde regels. De asset owner kan nu meer business werk doen.

Bovenstaande cases uit de dagelijkse praktijk geven voldoende aanleiding om goed na te denken over de aanpak van alignment tussen alle betrokken partijen tijdens de implementatie en exploitatie van het IAM proces. Hierna volgen een aantal tips voor het creëren van alignment.

Zorg dat alle betrokken partijen aan boord zijn bij de start van een IAM traject.

Alignment vereist allereerst dat de belangrijkste betrokken partijen actief betrokken zijn vanaf het allereerste begin van de IAM implementatie. Vaak zullen minimaal  ICT en de betreffende asset owners (de business) betrokken zijn en een actieve rol moeten pakken in het proces. Maar er zijn ook rollen voor andere partijen zoals bijvoorbeeld HR (in dienst, doorstroom, uit dienst) en Security/Risk management (quality, assurance & compliance). Voor de meeste 'value for money' behartigt en bereikt iedere betrokken partij zijn eigen doelstellingen in het proces.

Zorg dat alle betrokken partijen begrijpen wat IAM inhoud en hoe het werkt.

Alle partijen in het IAM proces moeten het proces begrijpen om hun rol te kunnen pakken. Dit kan alleen als er verschillende talen worden gesproken die door de betreffende doelgroepen wordt begrepen. Omdat ICT vaak de trekker is van een IAM traject ligt het risico van een te technisch begrippenkader altijd op de loer. Zoek elkaar op, organiseer workshops, neem voldoende tijd om elkaars wensen en behoefte echt te begrijpen en luister naar wat de ander bezighoudt.

Zorg ervoor dat de doelen van alle betrokken partijen aan de orde zijn.

Om de toevoegde waarde aan te kunnen tonen voor alle betrokkenen kunnen de IAM processen en tools in de vorm van een ‘service’ worden aangeboden. Met een heldere functionele beschrijving van de service, de toegevoegde waarde ervan voor de doelgroepen, de scope en de taken/ verantwoordelijkheden voor alle betrokken partijen en functies in het proces. Bepaal samen waar de prioriteiten liggen en wat de IAM roadmap voor de toekomst wordt. Zo wordt het voor alle betrokken interessant om mee te doen en van IAM een operational excellence dienst te maken.

Zorg er voor dat er bij alle betrokken partijen voldoende kennis en kunde is om IAM goed uit te voeren.

Als activiteiten over de muur worden gegooid is het maar de vraag of degene aan de andere kant van de muur ze op kan vangen. Zorg dus voor heldere taakbeschrijvingen door middel van  E-learnings, kennis sessies maar ook door gewoon naast elkaar te gaan zitten om het werk uit te leggen en om het resultaat 'first time right' te maken.

Samenvatting en conclusie

Alignment betekent dat alle betrokken partijen aan boord zijn. Dit leidt tot een beter IAM proces en daardoor dus tot een betere beveiliging van de kritische bedrijfsinformatie (security en compliancy). Daarnaast draagt alignment in belangrijke mate bij aan het bereiken van allerlei andere voordelen zoals vergroting van de wendbaarheid van de business, vermindering van handmatig administratief werk en nieuwe medewerkers snel aan het werk te kunnen zetten. Alle reden dus om voldoende aandacht te schenken aan dit onderwerp, zowel tijdens de voorbereiding, de implementatie als de exploitatie van het IAM proces in uw organisatie.

 

Klik hier voor het eerste IAM artikel over 'Governance'.

Volgende maand publiceren wij het artikel over 'Out-of-the-box functionality'

Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten