Het beheren van identiteiten ofwel user accounts in het netwerk wordt een steeds grotere uitdaging voor ondernemingen. Niet alleen hebben systeembeheerders te maken met steeds complexere infrastructuren en een groot aantal mutaties in user gegevens (een medewerkers verlaat bedrijf, neemt na een huwelijk een andere naam aan of verhuist naar een andere afdeling). Ook hebben zij te maken met striktere regelgeving wat vereist dat alle handelingen rondom user account beheer worden gelogd.
Door beheertaken, zoals create, delete user, reset wachtwoord, et cetera , te automatiseren kan een audittrail aangemaakt worden. Dat is één van de belangrijkste voordelen van Identity & Access Management (IDM) oplossingen. Maar ook tijd- en kostenbesparing spelen een rol. Ict-beheerorganisaties zien ook steeds meer de voordelen van het automatiseren van de mutaties op de user accounts, maar gaan vaak te snel of onbezonnen van start met het implementeren van een (soort) Identity & Access Management oplossing. En als zo'n beslissing dan te snel wordt genomen, is er altijd een aantal valkuilen waar zij in dreigen te vallen.
Dweilen met de kraan open
Een van de valkuilen is te kiezen voor een pure export/rapportage oplossing omwille van auditeisen. Vanuit de auditor wordt de eis gesteld dat er inzicht moet zijn in de rechten die toegekend (SOLL) en daadwerkelijk (IST) beschikbaar zijn in het netwerk voor eindgebruikers. Om deze eis zo eenvoudig mogelijk in te vullen is het mogelijk om periodiek een export te doen van alle rechten in het netwerk per medewerker (IST) en deze te vergelijk met de instellingen zoals deze zouden moeten zijn (SOLL).
De lijst met niet acceptabele verschillen (medewerker heeft teveel rechten, medewerker is al uitdienst, medewerker heeft niet acceptabele combinatie van rechten, et cetera) moeten vervolgens handmatig in het netwerk gecorrigeerd worden. Het grote nadeel van deze 'snelle' oplossing is dat vervuiling iedere keer weer opnieuw optreedt en gecorrigeerd moet worden. Het is dweilen met de kraan open. Een structurele oplossing is ervoor te zorgen dat via auto provisioning, Role Based Access Control (RBAC) en workflow management de niet acceptabele verschillen helemaal niet meer op kunnen treden.
Role Based Access Control
Het implementeren van Role Based Access Control (RBAC) leidt al snel tot de volgende valkuil. Veel organisaties streven naar 100 procent auto provisioning middelsRBAC, ofwel users accounts worden gecreëerd op basis van de rollen en functies van de medewerker binnen de organisatie. RBAC wordt niet voor niets Personal Based Access (PBAC) genoemd! In de praktijk blijkt auto provisioning middels RBAC niet sluitend.
Er zijn vaak net zoveel functies als medewerkers binnen een organisatie en daardoor ontstaat er een eindeloze opsomming van rollen ten opzichte van resources. Het in kaart brengen en vullen van de RBAC-matrix wordt dan ook vaak een ondoenlijk proces met een lange looptijd. Als dan tijdens het RBAC-project een reorganisatie of fusies plaatsvindt, moet er vaak weer opnieuw begonnen worden.
Medewerkers centraal
Hiernaast is één van de valkuilen het niet centraal stellen van de medewerker en de managers in het IDM-proces. De manager weet exact welke resources de medewerkers nodig hebben om hun werkzaamheden te kunnen uitvoeren. En de medewerker is prima in staat om aan te geven wat zij/hij nodig heeft om werkzaamheden uit te voeren. Waarom hen dan niet in de lead te laten en zelf aanvragen te laten doen middels workflowmanagement en een self service systeem?
Tot slot, wensen veel organisaties in één keer een volledige Identity & Access Management omgeving in te voeren. Dat blijkt in de praktijk wel mogelijk, maar gaat gepaard met een langdurig project waarbij pas na maanden resultaat geboekt kan worden. Wellicht is het beter om een gefaseerde aanpak te hanteren. Dat biedt de flexibiliteit en de ruimte om op eigen tempo Identity Management stap voor stap uit te rollen. Ook de benodigde investeringen lopen dan in de pas met de uitrol binnen je organisatie en binnen enkele weken kan dan resultaat worden geboekt. En een snel en goed resultaat betekent een beter draagvlak binnen de organisatie.
Probeer om de valkuilen heen te lopen door niet overhaast in een Identity Management project te stappen. Bekijk de mogelijkheden en bedenk dat niet alles in één keer hoeft. Met kleine stappen bent je waarschijnlijk sneller thuis.
ing. Tjeerd Seinen MBA, Tools4ever
