Identity & Access Management (4/4): Interoperabiliteit is een absolute voorwaarde voor succes

jve

In het eerste artikel van deze reeks over IAM governance wordt benadrukt dat voor een organisatie een breed gedragen IAM proces randvoorwaardelijk is voor een succesvol werkende IAM toepassing. In dit artikel ga ik in op hoe de IAM architect dit draagvlak kan helpen bereiken door het structureel uitwisselen van requirements. Het gaat om de requirements van vier van elkaar te onderscheiden partijen binnen een IAM ecosysteem. Dit zijn de klant, de sponsor, de dienstverlener en de leverancier.

Deze verdeling in partijen is gebaseerd op de architectuur van een 'multi-sided platform' (MSP), een voorziening die interactie tot stand brengt tussen twee of meer partijen. Bekende MSP’s zijn Facebook (onder andere gebruikers, adverteerders, gelieerde websites), iOS van Apple (app ontwikkelaars, telecomproviders en gebruikers) en Uber (taxichauffeurs en passagiers). Ook als je kijkt naar succesvolle chip ontwikkelaars zoals Intel en ARM, dan valt te ontdekken dat dit MSP’s zijn.

Het IAM proces loopt dwars door de organisatie en het applicatielandschap heen. Het is daarom belangrijk dat verschillende IAM activiteiten en de daarvoor gebruikte middelen interoperabel zijn en kunnen worden geïntegreerd tot een passend IAM proces. Interoperabiliteit is gedefinieerd als autonoom kunnen samenwerken aan een gemeenschappelijk doel. Dit principe geldt integraal binnen het hele ecosysteem en dus ook voor de vier partijen. In de onderstaande opsomming wordt per partij een indicatie gegeven welke requirements en activiteiten belangrijk zijn voor het vergroten van interoperabiliteit als basis voor draagvlak en betrokkenheid.

De klant

De klantvraag is een gemeenschappelijke drijfveer van alle partijen binnen het IAM ecosysteem. Er zijn directe en indirecte klanten te onderscheiden. De indirecte klanten bevinden zich aan de business kant. Doordat deze klant ook buiten de organisatie in aanraking komt met nieuwe technologie, zullen ook nieuwe ideeën en verwachtingen ontstaan over waar een IAM oplossing aan moet voldoen. Directe klanten zijn IT afdelingen die IAM technologie opnemen in IT oplossingen en van daaruit eisen stellen. Ook afdelingen die aan de business kant een rol hebben in het IAM proces moeten hiertoe worden gerekend. Directe klanten zijn de co-dienstverleners binnen de totale IAM oplossing.

Wat we nog vaak zien is dat directe klanten zich volledig richten op hun eigen expertise domein, zonder de benodigde onderlinge horizontale afstemming te kunnen of willen organiseren. Horizontale afstemming is ook nodig voor het oplossen van ervaren bottlenecks in het huidige IAM proces. Het adresseren van algemene kwaliteitseisen zoals gebruikersvriendelijkheid, beheersbaarheid en betrouwbaarheid is ook belangrijk. De partij die deze horizontale afstemming kan faciliteren is de sponsor.

De sponsor

De sponsor is de ontwerper van het IAM ecosysteem en moet zorgen voor top-down én horizontaal draagvlak binnen de organisatie door te faciliteren dat requirements kunnen worden uitgewisseld. Deze rol wordt ingevuld door het senior management, ondersteund door architecten en product managers van IAM producten en diensten. Requirements op het niveau van de sponsor worden allereerst uitgedrukt in securityprogramma doelen voor IAM en worden verfijnd door iteratief requirements met de andere partijen uit te wisselen.

Naar de partijen toe zijn dit requirements in de vorm van bijvoorbeeld een IAM referentiearchitectuur, security policies en financiële kaders en naar de sponsor toe, de requirements van de andere partijen.

Het is aan de sponsor requirements de basis te laten zijn voor standaarden die nodig zijn voor het bevorderen van interoperabiliteit binnen het IAM ecosysteem. Standaarden beperken zich niet alleen tot de technologie, maar worden ook bepaald op het gebied van doelstellingen, cultuur, begrip en processen.

In de praktijk hebben we kunnen vaststellen dat het door de sponsor organisatie breed toepassen van Agile SCRUM als standaard projectmanagement methode een positieve bijdrage levert. Vanuit Sprints wordt werkende IAM infrastructuur en functionaliteit opgeleverd door autonome teams. Doordat er via Sprint reviews sprake is van een korte feedback loop met betrokken partijen lukt het om de ontwikkeling van de IAM oplossing af te stemmen op het snel veranderende business landschap. Een roadmap blijkt een effectief middel om betrokkenen inzicht te geven in deze ontwikkeling.

De IAM dienstverlener

De IAM dienstverlener geldt als het platform, de partij die directe en indirecte klanten vanuit de verantwoordelijkheid voor het operationele IAM proces bij elkaar brengt. De dienstverlener kan een security operations afdeling zijn. In grote organisaties kan er per business unit een dienstverlener zijn ingericht. Vanuit de dienstverlener vindt de terugkoppeling van requirements van directe en indirecte klanten en lokale dienstverleners plaats naar de sponsor. Lokale dienstverleners zijn een belangrijke bron voor informatie over binnen business units geldende wet- en regelgeving of specifieke procesgang.

De leverancier

De sponsor beheert de relatie met verschillende leveranciers van bouwblokken voor de totale IAM oplossing. De sponsor gebruikt de totale set van requirements als basis voor zowel de relatie als de eisen aan producten en diensten van deze leverancier. Bijvoorbeeld in de afweging out-of the-box versus outside-the-box, waarbij de sponsor zal moeten bepalen of bijvoorbeeld een partnerschap nodig is om de doelstellingen van het security programma te kunnen realiseren. Naast de leveranciers van IAM oplossingen moet er ook aandacht zijn voor requirements voor leveranciers als HR (user identities) en de leveranciers van technische infrastructuur. Te vaak leidt onvoldoende aandacht voor juiste en complete HR data tot afbreuk van veilige toegang.

De vier partijen zijn vaak afdeling overstijgend en doen dan ook een beroep op afdelingsoverstijgend denken. Dit vraagt om een bewustzijn van alle partijen. Wij denken dat programma’s die een Agile methode adopteren, middels een korte terugkoppel cyclus sneller dit bewustzijn kunnen bereiken.

Conclusies

Het IAM ecosysteem is een informatieverwerkend systeem waarin de informatiestromen, in dit geval het uitwisselen van requirements, zonder het nodige onderhoud vast zullen lopen. Met deze systeembenadering wordt duidelijk dat niet alleen de individuele activiteiten maar ook de mate van interoperabiliteit tussen deze activiteiten de basis zijn voor draagvlak en betrokkenheid.

De belangrijkste drijfveer hierin is samen inspelen op de indirecte klantvraag. Door met requirements de mate van interoperabiliteit transparant te maken, kunnen risico’s ten aanzien van het halen van de programmadoelen beter worden beheerst.

Agile werken blijkt ondersteunend aan het principe van interoperabilieit en stelt organisaties in staat de verticale integratie die heeft geleid tot silostructuur achter zich te laten en over te schakelen naar horizontale afstemming in de keten.

Het binnen programma’s consistent kiezen voor ecosysteembenadering zal bijdragen aan veilige IAM producten en diensten. Dit door bij afstemmingsproblemen niet alleen meer de plaatselijke alarmbel te horen luiden, maar te weten dat in de keten de klepel hangt.

Klik hier voor het derde IAM artikel over 'IAM tooling'.

Deel dit bericht via:Tweet about this on TwitterShare on LinkedInEmail this to someoneShare on FacebookShare on Google+Pin on PinterestPrint this page

Door de site te te blijven gebruiken, gaat u akkoord met het gebruik van cookies. meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten