'Als je niet weet waar je naartoe wilt, is iedere weg goed', sprak de Cheshire kat tegen Alice in Wonderland. Een helder doel is belangrijk, maar als je niet weet waar je bent, maakt het ook niet uit waar je naartoe gaat… en dat is zeker ook zo voor access governance. Weet jij waar je organisatie staat?
De wijze woorden van de Cheshire kat uit de klassieke fabel van Lewis Caroll hebben we goed in onze oren geknoopt. We spenderen veel tijd en geld aan visies, houtskoolschetsen en/of blueprints. Daarbij creëren auditbevindingen behoorlijk veel management aandacht.
In Alice in Wonderland zegt het konijn steeds dat er heel belangrijke activiteiten zijn en dat het heel belangrijk is om zaken op tijd af te hebben. Wat onbenoemd blijft is waar we staan. Het is dus zaak om je eigen positie te weten om van daaruit de route te kunnen bepalen waar je naartoe wilt.
Babylonische spraakverwarring?
Een vast terugkerend onderdeel in audits is logische toegang, oftewel de identity en access governance (iag). De meeste bedrijven kampen met aanbevelingen op dit gebied (o.a. autorisatiebeheer en privileged accounts). Lange tijd was het iag-domein vooral gefocust op de twee pijlers; Efficiency en Functionaliteit. Efficiency kan gaan over het (automatisch) beheren van werkplek accounts en Functionaliteit kan variëren van het aanvragen van werkplekapplicaties tot het afhandelen van werkorders.
De afgelopen jaren wordt iag echter niet meer (primair) gedreven door efficiency en functionaliteit. Met de invoering van SOX en vergelijkbare wet- en regelgeving is sinds begin 2000 meer en meer de druk bij de business komen te liggen. Daardoor zijn ook de eisen en wensen die we aan iag stellen meer en meer gewijzigd om aan deze wet- en regelgeving te kunnen voldoen. De focus ligt nu op corporate risk en dat maakt dat in de organisatie van hoog tot laag over iag wordt gesproken, maar wie is er nu echt in de lead? Het maakt de route voor Alice door iag-land er niet veel duidelijker op.
Samenspel in plaats van ‘rode kaarten’
De onduidelijkheid in iag-land wordt versterkt door de ‘rode kaarten’ vanuit de audits. Er zal bijvoorbeeld zelden een aanbeveling komen om de complexiteit van het gebruikte rollenmodel terug te dringen. Toch kan deze complexiteit een behoorlijke belemmering vormen voor het groeipad naar een succesvolle iag implementatie. Ook de kennis van de processen voor autorisaties in business applicaties is zelden bekend bij de it-organisatie, terwijl daar vaak de functionaliteit van de iag-applicatie wordt bepaald.
Een veel gehoord adagium is dan ook dat business en it samen moeten werken. Samen zijn ze in staat om uit wonderland te komen, maar hoe dan?
In de business en de modder
We zien dat op alle lagen in de organisatie over iag wordt gesproken; iedereen vanuit zijn eigen rol en verantwoordelijkheid. Het is dus essentieel dat alle betrokkenen helder hebben waar de organisatie staat en hoe we samen op reis gaan om iag op orde te brengen om zodoende voorbereid te zijn op de toekomst.
De kracht van een goede partner uit zich in de kennis en ervaring van zowel de business als de it, waardoor ze een gids kunnen zijn in het wonderland van iag. Het is immers belangrijk om zowel de taal van de business te spreken, als om te weten wat de uitdagingen zijn bij een implementatie. Dat is alleen mogelijk als je daadwerkelijk in de business en in de modder hebt gestaan.
Door het bepalen van de positie op al de gebieden van iag, in een gezamenlijke sessie met business en it, valt pas een volledig -en door de hele organisatie gedragen- groeipad naar een nieuwe situatie te creëren. Zoals de kat in Wonderland al zei tegen Alice: ‘Elk avontuur begint met een eerste stap. Afgezaagd, maar waar, zelfs hier.’ Als je hierbij onthoudt dat die stap vanuit een goed bepaalde positie en in de juiste richting gezet moet worden, was die kolderkat dus eigenlijk zo gek nog niet.