Nederland heeft gelukkig geen harde afrekencultuur. Als er iets tegen de regels in een organisatie plaatsvindt gaan we na constatering het erover hebben. Harde maatregelen worden genomen als echt duidelijk is dat regels bewust zwaar zijn overtreden.
Een in Nederland ingerichte IAM omgeving, ingericht met als doel een zekere mate van controle uit te oefen, is vaak gericht op begeleiding van processen en controle achteraf. In landen met Angelsaksische culturen worden regels strakker bewaakt en is de afrekening bij overtreden van regels wat heftiger dan hier in Nederland.
Toch laten organisaties zich leiden door analisten en rapporten die systemen aanbevelen ontwikkeld voor organisaties in landen die prijs stellen op strenge controle, afrekening en formaliteit.
In de praktijk zal bij implementaties van IAM omgevingen, ingericht voor strakke controle, blijken dat de klant geconfronteerd wordt met vragen die nooit eerder ter sprake zijn gekomen in de bedrijfsprocessen. Dit is één van een aantal redenen waarom IAM implementaties uitlopen of mislukken.
Basisfunctionaliteit IAM
De basisfunctionaliteit van Identity & Access Management (IAM); geautomatiseerd en gecontroleerde instroom, doorstroom en uitstroom (het IDU-proces) van identiteiten, geeft al aan dat techniek, proces en controle samenkomen. In het overgrote deel van IAM functionaliteit weegt het component ‘bedrijfsproces‘ zwaarder dan ‘techniek‘.
Vaak gestelde vragen zijn: hoeveel connectoren heeft IAM oplossing X? Is er een connector beschikbaar voor connectie met systeem Y? In onze ervaring zijn niet de specificaties van connectoren bepalend voor succes maar hoe ermee om wordt gegaan. Is het bekend welke informatie doorgegeven of gesynct moet worden? Is bekend met welke frequentie en wanneer dit moet gebeuren? Is het bekend of identiteitsgegevens in aanleverende (bron)systemen aanwezig en/of compleet zijn? In het kort: zijn de Use Cases voor het IDU–proces kloppend, zijn ze conform wet- en regelgeving, en zijn ze compleet? Het zal u niet verbazen: zelden of nooit is deze set van informatie compleet.
Afrekencultuur versus redelijkheid
Dan een gevoelig onderwerp: In welke mate gaat IAM bedrijfsprocessen controleren en transparant maken waar en door wie eventuele overtredingen zijn begaan.
Met name in de VS wordt hard afgerekend met medewerkers en bestuurders die overtredingen begaan. Op zijn minst volgt enige mate van “exposure”, op zijn hardst ontslag gevolgd door een juridische procedure. In Duitsland worden dergelijke zaken weer met gevoel voor procedure en met meer inzet van hiërarchie opgepakt dan wij dat hier zouden doen.
In Nederland gaat het anders; we willen graag redelijke controle hebben en als het mis gaat een goed gesprek met elkaar kunnen hebben over hoe dit in de toekomst voorkomen kan worden. We laten gelukkig geen angstcultuur ontstaan en de IAM oplossing mag niet als een harnas aanvoelen.
Alleen in geval van schaamteloze fraude wordt hard opgetreden. Achteraf kunnen bepalen wat en waar het is misgegaan werkt goed genoeg.
Creativiteit van de mens
Waargebeurd: Bij een grote organisatie in de Randstad was een echtpaar werkzaam. Eén van de twee werkte in Finance en de ander bij Inkoop; je voelt hem aankomen. En echt waar; de één creëerde het budget en de ander zorgde voor de “uitputting” daarvan. Bewaking van Segretation of Duties is in de meeste IAM systemen verregaand in te stellen.
Het gebruikte systeem was niet ingericht om de Segretation of Duties door te trekken in de privé relationele sfeer, het kan echter wel. Maar willen we dat überhaupt, dat we zo strak worden gecontroleerd? Of willen we accepteren dat zoiets nou eenmaal, incidenteel, kan gebeuren?
Teveel controle is ongemakkelijk en gaat ons net als te lang durende (Corona)richtlijnen de keel uithangen. Let op: geen enkel systeem is opgewassen tegen de creativiteit van de mens (lees: medewerker).
Darryl Karamat-Ali
Verkoop, Trusted-ID