Identity Management, heb ik dat wel nodig?

Een terechte vraag, zeker omdat problemen als gevolg van falend Identity & Access Management niet direct zichtbaar zijn. Waarom eigenlijk niet en waarom wordt het probleem niet opgepakt? 

Geen collectieve beleving

Het ongemak is verspreid over de gehele organisatie en de kosten ervan worden centraal niet gevoeld. Ook is de perceptie van het probleem bij managers, gebruikers en beheerders verschillend. Zo ervaart een gebruiker het probleem vaak eenmalig bij indiensttreding of functieverandering terwijl beheerders het probleem als incident behandelen en rapporteren, zonder het onderliggende probleem te herkennen. 

Organisatorische onduidelijkheid 

De oorzaak en eigenaar van het probleem zijn vaak onduidelijk. Is dit een probleem van personeelszaken, van ICT of toch van de business? Hierdoor is niemand geneigd verantwoordelijkheid te nemen en kan de vraag 'Wie gaat dat betalen?' niet beantwoord worden.

Technische complexiteit

Van oudsher hebben bedrijfs- en databasetoepassingen eigen manieren van authenticatie en autorisatie, die ook nog op verschillende plekken beheerd worden. Ook is het vaak niet helder wat het aanvraagproces voor toegang is en bij wie men moet zijn. Het gevolg is dat het authenticatie- en autorisatiemodel organisch is gegroeid tot een spaghetti die moeilijk te ontwarren is. Bovendien ontbreekt de kennis en ervaring om een bedrijfsbreed model te ontwerpen en te implementeren.

Psychologische factoren

Medewerkers raken gewend aan het ongemak en hebben zich erbij neergelegd of weten inmiddels via slinkse weggetjes het probleem te omzeilen. Beheerders vinden Identity & Access Management vaak niet sexy of motiverend. Er is altijd wel een leuker project om op te pakken.

Gevolgen

Ondanks gebrekkig Identity & Access Management blijft een organisatie wel doordraaien, Toch heeft het een prijs die, als deze beter zichtbaar zou zijn, meer aandacht voor het probleem zou opleveren.

Verhoogde kosten

Afhankelijk van het aantal gebruikers en systemen zijn de kosten voor Identity & Access Management hoger dan noodzakelijk. Ook de wachttijd van gebruikers (user-time-to-productivity) is een flinke verborgen kostenpost.

Grotere bedrijfsrisico's

Een organisatie loopt een verhoogd risico door ongeautoriseerde toegang, als gevolg van geleende, te ruime of niet beëindigde autorisaties. Mocht een organisatie niet kunnen voldoen aan de wet- en regelgeving (compliance), dan kunnen toezichthouders sancties opleggen.

Verlies van organisatorische scherpte

Het wachten op autorisaties en het niet productief kunnen zijn levert frustratie op bij de welwillende medewerker. De kans bestaat dat medewerkers en managers het vertrouwen in hun organisatie verliezen. Goede medewerkers zullen hierdoor sneller vertrekken of vervallen in onprofessioneel gedrag (“omdat het toch allemaal kl… gaat”). Last but not least belemmert het de organisatie in het snel kunnen reageren op veranderende omstandigheden of het snel op de markt kunnen brengen van een nieuwe dienst of product. De time-to-market neemt steeds verder toe.

 

Vooral de laatste categorie is ernstiger dan men vaak beseft. Ontbreken van organisatorische scherpte of het vertrek van goede mensen veroorzaakt door een traag faciliterende ICT afdeling is de doodsteek voor een bedrijf dat scherp moet opereren.