IT Security, en met name Identity & Access Management (IAM), krijgt steeds meer aandacht binnen organisaties. Het mag echter geen doel op zichzelf worden. Het draait om de route die je als organisatie aflegt om de huidige situatie te verbeteren. Technologie speelt daar een belangrijke rol in, maar ook de mensen, de processen en gezond verstand. Het moet, net als IT in het algemeen, meerwaarde hebben voor de business.
Over deze blogger
Jos Akkermans is sinds 2014 werkzaam bij Grabowsky en is als lid van het Management Team verantwoordelijk voor Strategie & Sales. Hij heeft ruim 15 jaar managementervaring binnen de IT, op de gebieden Architectuur, Informatie Beveiliging en ICT, waarvan de laatste jaren op directieniveau. Jos begon als Architect bij het Ministerie van Defensie en werd al snel hoofd- en oprichter van de Cyber Security Afdeling van de Koninklijke Luchtmacht. Hierna heeft hij enkele jaren een operationele functie als verbindingsofficier bekleed. Jos behaalde zijn MBA aan de Nyenrode Business Universiteit. Hij volbracht de opleiding tot officier aan de Koninklijke Militaire Academie en studeerde Luchtvaartelektronica in Amsterdam en de Verenigde Staten.
Er bestaat helaas nog altijd een kloof tussen IT en business. Ervan uitgaande dat iedere medewerker de juiste intenties en doelstellingen voor ogen heeft, zou deze kloof snel geslecht zijn. Waar zit dan de crux? Wat maakt IAM-projecten zo bijzonder?
Verschillende domeinen
Eén van de plekken waar IAM zichtbaar wordt, is bij het in-, door- of uitstromen van medewerkers. Deze processen raken de verschillende domeinen binnen een organisatie, die lang niet altijd optimaal samenwerken; het HR-domein is vaak verantwoordelijk voor de registratieprocessen, terwijl IT en facilitair verantwoordelijk zijn voor het verstrekken van de benodigde voorzieningen om te kunnen werken. Traditioneel staat op het krijgen van rechten meer druk dan op het inleveren ervan; zonder rechten kan een medewerker immers niet werken. Voorbeelden van misbruik van “oude” rechten of middelen komen dan ook regelmatig in de media. Het verbinden van deze domeinen, om zo efficiënt en veilig mogelijk te kunnen werken, is een taak die mede bij de business ligt, maar die ze moeilijk kan invullen. Beslissingen in het ene domein, kunnen namelijk verregaande gevolgen hebben in het andere domein. En dat zorgt voor hoofdbrekens bij de business.
IT als water uit de kraan
Naast de business is er ook een complexe IT-kant. Voor de (vaak niet IT-georiënteerde) business, moet IT namelijk een vanzelfsprekendheid zijn; zo simpel als water uit de kraan. De reguliere IT, zoals de werkplek, telefoon of tablet, moet dan ook op eenzelfde manier functioneren als thuis en vooral; zonder gedoe. Vaak is dit binnen het IAM-domein nog niet het geval; om bijvoorbeeld samen te werken met collega’s buiten de organisatie, zijn meestal geen voorzieningen beschikbaar. Medewerkers maken hierdoor gebruik van (veelal gratis) online voorzieningen, met alle risico’s van dien. Ook het versturen van e-mails naar privételefoon of tablet is daardoor een veel voorkomend en ongewenst verschijnsel. De door de business gewenste innovatie stelt eisen aan het IAM-landschap, dat hier vaak nog niet op voorbereid is. Aan de IT-kant is een heldere vraag en transparante prioriteit noodzakelijk om de gewenste verandering door te kunnen voeren.
De verwevenheid van IAM binnen de verschillende pijlers van de business (van HR en Risk tot IT en facilitair), in combinatie met de hoge mate van gewenste functionaliteit en vernieuwing door dezelfde business, maakt het IAM-domein tot een complex speelveld waarin de business en IT intensief samen moeten werken.
De oplossing hiervoor ligt niet zozeer in cultuur of gedrag van beide partijen, maar vooral in begrip voor elkaar. Het vanuit de Business eenvoudig uitleggen wat nodig is, en vanuit IT eenvoudig uitleggen wat wordt opgeleverd, biedt een goede basis voor wederzijds begrip. Echter, zoals Einstein met de relativiteitstheorie al aangaf, is het simpel uitleggen vaak helemaal niet zo eenvoudig.