Steeds meer organisaties zijn doordrongen van het belang van Identity & Access Management (IAM). Het is een belangrijk uitgangspunt voor veilig en transparant informatiemanagement en de juiste databeveiliging. Maar hoe pak je het aan als je hier als organisatie serieus werk van wilt maken? Fons Breedeveld, expert op het gebied van projectmanagement bij IAM-implementaties, vertelt het je in deze blog.

De meeste IAM-trajecten worden in projectvorm uitgevoerd. Dit kan in een groot alomvattend programma met verschillende deelprojecten of opgesplitst in kleinere projecten naar aandachtsgebied. Maar misschien past een projectvorm met enkel losse activiteiten wel het beste bij jouw organisatie. “Het maakt niet uit welke vorm je kiest, als je er van tevoren maar goed over nadenkt. Het moet duidelijk zijn wat de impact van de keuze is en je moet als organisatie weten waarom je de keuze maakt”, licht Breedeveld toe. Hij is sinds februari 2019 werkzaam bij IAM in control als projectmanager/IAM-consultant en heeft meer dan vijftien jaar ervaring als ICT- en projectmanager. Hij werkte onder meer bij SSC-ICT, een shared serviceorganisatie op het gebied van ICT bij de Dienst Justitiële Inrichtingen en bij NIFP in het Pieter Baan Centrum. Momenteel is hij via IAM in control werkzaam als IV-expert op het gebied van IAM bij Politie Nederland.

Start vanuit een visie

Hoe je een IAM-traject aanvliegt hangt af van de tijd die er is en het aantal beschikbare mensen en middelen. Verder spelen de doelen en de uitgangspositie een belangrijke rol. Volgens Breedeveld draait het vooral om ‘de juiste dingen goed doen’. “Het klinkt wellicht als een open deur, maar als je jouw identiteits- en toegangsbeheer goed wilt aanpakken, moet je een goed beeld moeten hebben wat IAM inhoudt en hoe het bijdraagt aan het behalen van de organisatiedoelstellingen. Start vanuit een visie, anders is het lastig om het project te ‘verkopen’. Zonder visie vraagt de organisatie zich na verloop van de tijd af waarom het project bestaat en is er onvoldoende steun om gefocust te zijn en blijven”.

Hermes Framework
Als die visie er nog niet is, is er geen man over boord. IAM in control maakt gebruik van een handig hulpmiddel om samen met klanten de visie helder te krijgen; het Hermes Framework. Dit is proven technology hoe wij IAM-kennis in organisaties verankeren. Hierbij komen, bij iedere stap die gezet wordt, de juiste spelers in de organisatie in actie. Met behulp van het framework verbinden we verschillende lagen in de organisatie met elkaar. Iedere laag heeft een aantal aandachtsgebieden die relevant zijn voor de resultaten die behaald moeten worden. Om de visie te kunnen formuleren, moeten deze vragen worden beantwoord:

1. Wat wil de organisatie in de toekomst bereiken ten aanzien van identiteit en toegangsbeheer? Waar staan we over 5 jaar met de organisatie? Wat is het mission statement? En wat betekent dit voor het identiteitsbeheer? Zo heeft het beheren van identiteiten in een gedeelde (cloud)omgeving bijvoorbeeld aanzienlijke gevolgen.
2. Wat moet hierin periodiek bijgesteld worden?

Het formuleren van antwoorden kan lastig zijn. Deze aanvullende vragen kunnen nog helpen:

1. Wie heeft er binnen de organisatie last van?
2. Welke oplossingen kunnen passen bij dit probleem? (dit kan bijvoorbeeld een product, dienst of procesverbetering zijn)
3. Formuleer het droomscenario in de ideale IAM-wereld voor de organisatie.

Als je dit allemaal hebt gedaan, heb je je visiedocument. Klinkt simpel, maar in de praktijk loopt het volgens Breedeveld vaak vast wanneer er iets op papier gezet moet worden. “Een workshop of startbijeenkomst kan dan heel verhelderend werken en zorgen voor een versnelling. In slecht Nederlands noemen we zo’n bijeenkomst een roadmap voor projectmanagement”.