Heeft uniek zijn een prijs als het gaat om Identity & Access Management?

Opinie

Heeft uniek zijn een prijs als het gaat om Identity & Access Management?

De IAM-oplossing versus bedrijfsprocessen

In de praktijk zien we dat organisaties vaak een commerciële Identity & Access Management (IAM) oplossing aanschaffen en deze vervolgens aan laten passen zodat deze naadloos aansluit op hun specifieke bedrijfsprocessen. Het standaardpakket verandert hiermee in een maatwerkoplossing voor het bedrijf. Op het eerste gezicht lijkt dit een goed idee, maar wat zijn de uitdagingen hierbij?

Van standaard naar maatwerk

IAM wordt vaak vanuit IT gedreven, waarbij de interactie met de business zeer beperkt is. In de veronderstelling van IT dat bedrijfsprocessen optimaal zijn ingericht, wordt maatwerk toegepast op de “out-of-the-box” IAM-oplossing om deze zo aan te laten sluiten bij de bestaande bedrijfsprocessen. Maar een IAM-oplossing die wordt aangepast aan de organisatie is geen standaardoplossing meer, we spreken hier eerder van maatwerk. Dit leidt er vaak toe dat deze niet wordt bijgewerkt en dat door veroudering de systemen steeds kwetsbaarder worden.

Bij maatwerk wordt vaak geen of onvoldoende documentatie achtergelaten wat ertoe leidt dat reguliere updates niet meer kunnen worden doorgevoerd. De organisatie, die inmiddels is doorgegroeid, krijgt dan te maken met doorontwikkelde bedrijfsprocessen die niet meer aansluiten op de verouderde IAM-oplossing. Dit leidt tot een behoefte aan nog meer maatwerk. Door dit nieuwe maatwerk bovenop het bestaande maatwerk te stapelen, ontstaat een vicieuze cirkel. De geweldige IAM-oplossing die toentertijd de bedrijfsprocessen ondersteunde, zorgt er nu voor dat de naadloze aanpassing in de bedrijfsvoering niet de verwachte voordelen oplevert.

Om schoon schip te maken staat de organisatie nu weer voor een keuze: passen we een kant-en-klare commerciële IAM-oplossing opnieuw aan op onze bedrijfsprocessen? Of kiezen we voor een standaard IAM-oplossing met aangepaste bedrijfsprocessen?

Voordelen van een ‘standaard’ IAM-oplossing:

  • Geen ontwikkelkosten
    Het speciaal ontwikkelen van software vergt veel tijd, energie en geld. Hierbij is te denken aan onder andere het ontwerpen, testen en onderhouden van de ontwikkelde software. Deze kosten worden sterk gereduceerd wanneer een out-of-the-box IAM-oplossing in gebruik wordt genomen.
  • Onderhoud- en beheerbaarheid
    Door de geringe wijzigingen aan de IAM-oplossing kunnen (security) updates en patches worden uitgevoerd zoals aangeleverd door de leverancier. Hierdoor blijft de oplossing onderhouden en gaat deze mee met de laatste technologieën en trends. Ook kan de standaarddocumentatie van de leverancier gebruikt worden en kunnen medewerkers de kant en klare cursussen volgen om bij te leren over de IAM-oplossing.
  • Verbeterde bedrijfsprocessen
    Om ervoor te zorgen dat bedrijfsprocessen aansluiten op de IAM-oplossing, moeten deze processen kritisch doorlopen en aangepast worden. Uit onze ervaring is gebleken dat een standaard oplossing ertoe leidt dat IAM gerelateerde bedrijfsprocessen beter worden begrepen, gedocumenteerd, en zelfs verbeterd kunnen worden op basis van best practices uit de industrie.

Is een ‘out-of-the-box’-oplossing de oplossing?

Bij een out-of-the-box IAM-oplossing dienen de huidige bedrijfsprocessen aangepast te worden zodat deze aansluiten op de standaard IAM-oplossing. Een dergelijke wijziging kan in eerste instantie leiden tot weerstand in de organisatie. Door de voordelen van deze keuze goed uit te leggen aan de stakeholders binnen de organisatie en deze sterk te betrekken bij de transformatie, is commitment en buy-in realiseerbaar. Hiermee kan de business in een nieuwe richting bewogen worden.
 

Blijf kritisch op maatwerk voor uw IAM-oplossing

Het is in ieder geval verstandig om maatwerk tot een minimum te beperken. De business is gewend aan een IAM-oplossing die naadloos aansluit op de ‘unieke’ bedrijfsprocessen, en zal in eerste instantie dan ook weinig begrip tonen voor het doorvoeren van veranderingen in de organisatie en haar processen. Maar ondanks dat iedere business unieke bedrijfsprocessen kent, blijkt uit onze ervaring dat de IAM gerelateerde processen binnen organisaties weinig verschillend zijn. Ieder bedrijf heeft hetzelfde doel: zich beschermen tegen dreigingen van zowel buiten als binnen.

Ons advies: kijk eens goed naar alle pijn die voortkomt uit de ontwikkeling en het onderhoud van maatwerk binnen de huidige organisatie - niet alleen voor IAM maar ook voor andere bedrijfssystemen. Wees hiervan bewust en maak een rationele afweging tussen maatwerk en standaardisatie in bedrijfsprocessen. Uniek zijn heeft soms een te hoge prijs en dan loont het om de IAM-oplossing ook eens voorrang te geven.

Vond u dit nuttig?

Gerelateerde onderwerpen