Vitaal toegangsmanagement stapsgewijs geborgd

Door Merijn Snikkers, security architect

Adequate beveiliging begint bij helder toegangsmanagement, ofwel Identity & Acces Management (IAM). Al langer zien we echter dat bij veel organisaties een gefragmenteerd en ondoorzichtig toegangslandschap is ontstaan. Het beveiligingsrisico hiervan is al groter dan nodig, terwijl de dreiging van buitenaf in de afgelopen anderhalf jaar is toegenomen, juist door het toenemende gebruik van cloudvoorzieningen en internetverbindingen. Bovendien is een ondoorzichtig toegangslandschap inefficiënt en leidt het tot frustratie bij medewerkers die niet over noodzakelijke bevoegdheden beschikken. SimplifyNow werd gevraagd het toegangslandschap van een overheidsorganisatie te ontwarren en een nieuw IAM-beleid te schrijven.

Toegang binnen een organisatie waar informatie en data centraal staan, raakt iedereen en alles. Toegangsmanagement, ofwel Identity & Accesmanagement (IAM), moet daarom worden gezien als een vitaal onderdeel van de bedrijfsvoering. We hoeven maar te denken aan de krantenberichten van systemen die zijn gehackt, waardoor er geen les meer kan worden gegeven, geen olie meer kan worden getransporteerd of geen betalingen meer kunnen worden geaccepteerd. En nogal eens blijkt dat dit zich voordeed omdat de systeempoortjes wijd open stonden door een gebrekkige of ontbrekende IAM-strategie, en/of implementatie en/of het beheer ervan. Terwijl de dreigingen van buitenaf steeds talrijker en slimmer worden, heeft met de Covid-pandemie digitalisering een nog hogere vlucht genomen. Een van de uitkomsten daarvan is dat we steeds meer locatie-onafhankelijk willen kunnen werken. Voor sommige organisaties paste deze trend min of meer bij de werkwijze en kon snel worden gezorgd voor voldoende beveiligde toegang. Andere organisaties moesten ineens van IAM een heus en urgent actiepunt maken.

Onze opdracht
Bij een overheidsorganisatie was – met bovenstaande ontwikkelingen in de achtergrond – de behoefte aan advies om meerdere redenen ontstaan. Om te beginnen, waren de verschillen in volwassenheid van toegangsprocessen toegenomen en was de toegang voor menig medewerker onvoldoende ingeregeld. Door de zware auditing van kritischere domeinen konden deze weliswaar jaarlijks als compliant worden beschouwd, maar er was minder aandacht uitgegaan naar andere domeinen. Als gevolg daarvan was bij deze laatste domeinen sprake geweest van minder innovatie en door gebrek aan onderhoud zelfs afbraak van de beveiliging en de gebruiksvriendelijkheid. De toegankelijkheid en de compliancy stonden onder druk. Bovendien waren verwachtingen van uitvoerende afdelingen onvoldoende op elkaar afgestemd. Eigenaarschap en verantwoordelijkheden werden verschillend ingevuld en nageleefd.
Zoals bij vele andere organisaties ontbrak een schets van het toegangslandschap, evenals een decompositie van de verschillende toegangsdomeinen, zoals Identity & Access Management voor medewerkers/externen, Privileged Account-/Acces Management en Identity & Access Management voor klant/burger/partner-omgevingen.

Basis voor succes kent 3 elementen
Wat SimplifyNow betreft, draait de eerste stap om IAM duurzaam te kunnen implementeren, om het ontwikkelen van een heldere visie op Identity & Accesmanagement. Als deze strategische en integrale visie ontbreekt, resulteert dat altijd in suboptimale processen. Bij een herstructurering leidt dit gemis tot suboptimale innovatie en is het risico dat het toegangslandschap zelfs nog complexer wordt. Het tweede basiselement betreft de kwaliteit van de programmadirectie (de governance) en het projectmanagement. Dat moet voldoende stevig zijn.
En niet in het minst, en wellicht het meest kritisch, is het derde element: het draagvlak dat in de organisatie aanwezig is voor aanstaande veranderingen. Dit begint bij het betrekken van mensen bij de aanpak en invulling van het project. Van alle drie basiselementen gaat in het creëren van draagvlak meestal de meeste energie en tijd zitten.

Pas als deze basis is gelegd, kan aandacht worden besteed aan het vaststellen van de diverse toegangsniveaus. In het geval van onze opdrachtgever moest daarbij ook vastgesteld worden welke regelgeving van toepassing is. Er zijn nu eenmaal bepaalde toegangsprocessen die aan strengere regelgeving dienen te voldoen dan andere. Onderdeel van het beleid is ook het continu verbeterproces. In deze case werd dit proces geborgd aan de hand van een jaarlijkse audit.

Hoe gaf SimplifyNow vorm aan deze opdracht?
Het allereerste doel was om te komen tot een organisatiebrede toegangsvisie waarin de gewenste eindsituatie werd geschetst, en de uitdagingen waren geïnventariseerd. Daarvoor verrichtte SimplifyNow de nodige deskresearch en hielden we interviews. Zo verzamelden we informatie om een ‘hoog-over’-beeld te creëren van het bestaande toegangslandschap.
Min of meer gelijktijdig organiseerden we de governance (de programmadirectie) waarbij we zorgden dat alle organisatie-onderdelen betrokken werden, dit omwille van het draagvlak. Door mensen van verschillende disciplines mee te laten denken en schrijven aan diverse documenten in het project, werd dit draagvlak verder versterkt.
In de eindfase schetsten we het ‘high-level’ programma en project-onderdelen waarin verschillende domeinen van toegang vallen. Deze konden vervolgens worden geprioriteerd. Per toegangsdomein stelden we vervolgens de businesscase op waardoor voor elk domein de strategie (evolutie of revolutie?) en de koers werd bepaald om de gewenste situatie te bereiken.

Resultaat
Met de afronding van de opdracht heeft onze opdrachtgever een goed beeld van de te volgen richtingen en aanpak voor de verschillende toegangsdomeinen. Dit beeld staat als een huis, niet slechts door de inhoud ervan, maar ook door de hoge mate waarin de organisatie zelf betrokken is geweest. Als het gaat om eigenaarschap en verantwoordelijkheden rond toegangsvraagstukken is er nu duidelijkheid geschapen. En dat maakt de organisatie krachtiger. Bovendien is er een gedegen en gedragen beeld gecreëerd over wat er fout gaat maar ook wat er goed gaat. Dit inzicht maakt het makkelijker keuzes te maken en innovaties op specifieke toegangsdomeinen te introduceren. Zo kan er op een evenwichtige wijze worden ontwikkeld.

Zelf ook actief op het gebied van IAM?
SimplifyNow zoekt mensen die willen groeien! We komen graag in gesprek. Klik hier. »

SimplifyNow maakt IT eenvoudig en begrijpelijk

Neem contact op voor de inhoud van bovenstaand artikel met
Merijn Snikkers (+31 6 24 89 12 17  | merijn.snikkers@simplifynow.nl)
Meer weten over SimplifyNow, of over werken bij ons? Neem contact op met
Pieter Ruigrok (+31 6 83 06 96 54 | pieter.ruigrok@simplifynow.nl).