Een goed uitgedacht identity management-beleid is al jaren een ondergeschoven kindje binnen organisaties. De meeste organisaties gaan pas met identity management aan de slag wanneer zij hier omwille van regelgeving of externe audits niet meer omheen kunnen. Dat is dan ook de reden dat andere landen hierop voorlopen ten opzichte van Nederland.
Het naleven van compliance en audits is natuurlijk een hele goede aanleiding voor een strategisch identity management-beleid, maar door hier de focus op te leggen doet een ander gevaar zich voor. Er zijn verschillende mogelijkheden voor het technisch inrichten van een identity management-omgeving. Veel organisaties maken mijn inziens een minder logische keuze.
Blind staren
Omdat zij zich blind staren op audits en regelgeving, implementeren zij vaak een bi-systeem of datawarehouse-achtige oplossing waarin toegangsrechten van medewerkers worden opgeslagen. Iedere maand haalt deze oplossing dan een CSV-bestand met mutaties op bij de verschillende netwerksystemen (bijvoorbeeld HR-systeem, Active Directory). Vervolgens wordt uit deze database een rapport uitgedraaid en aan de hand daarvan worden inconsistenties ten aanzien van regelgeving opgeheven.
Vervuiling bronsystemen
Op het eerste gezicht klinkt dit heel logisch. Maar als we kijken naar andere mogelijkheden voor het technisch inrichten van een identity management-omgeving, dan zullen organisaties zich realiseren dat deze werkwijze water naar de zee dragen is. Want als het netwerksysteem vervuild is, en dat is bij veel organisaties het geval, dan laat ieder CSV-bestand ook ieder keer een vervuiling zien. Daarnaast is de ervaring dat organisaties al snel één à twee fte nodig hebben voor het managen van de maandelijkse rapportages. Tot slot betekent een maandelijkse (en niet realtime) update van toegangsrechten dat ontslagen of tijdelijke werknemer nog steeds toegang hebben tot het bedrijfsnetwerk. Door deze aanpak komt het beheren van user accounts dus op de tocht staan.
Ik denk dat organisaties hun auditing-proces anders kunnen inrichten, waarmee ook het beheren van user accounts wordt ondersteund. Ik adviseer organisaties om als eerste stap in hun identity management-beleid user accounts (automatisch) te provisionen. De logs en rapportages kunnen worden gebruik voor auditing en compliance. Twee vliegen in één klap dus! En zelfs meerdere vliegen, want ook workflow management en RBAC kunnen hier eenvoudig aan toegevoegd worden. En dat betekent een completere indentity management-omgeving.
