Identity Management (IdM) is omgedoopt tot Identity & Access Management (IAM). Deze naam illustreert dat het beheer van useraccounts en hun rechten is uitgegroeid tot een serieus vakgebied. Door de toegenomen complexiteit in ICT, strengere wet- en regelgeving, hogere security-eisen en nieuwe technologieën zoals de cloud, doe je IAM er niet meer ‘even bij’.
Capitar IT Group is gespecialiseerd in het beheer van ICT – netwerken, infrastructuur en applicaties – en van IAM in het bijzonder. Managing Director, Peter Jurg, legt uit dat Capitar anders dan de meeste marktpartijen IAM benaderen vanuit de beheerkant. “Capitar levert al 25 jaar managed services op het gebied van IT. Sinds vijf jaar beheren wij ook het IAM-deel volledig voor onze klanten. Op basis van het abonnement en het afgesloten SLA zorgen wij ervoor dat alles goed draait en dat wijzigingen, patches en upgrades goed en tijdig worden doorgevoerd. Bij incidenten reageren wij gegarandeerd binnen de afgesproken termijn van bijvoorbeeld een half uur, en komen binnen de afgesproken tijd met een oplossing.”
Krachtenbundeling van RealOpenIT en Capitar
Per 1 maart maakt RealOpenIT deel uit van Capitar IT Group. Peter Jurg vertelt dat het steeds moeilijker wordt om aan de groeiende vraag vanuit de markt te blijven voldoen. “Goed opgeleide professionals in ons vakgebied zijn schaars. Wij leiden zelf wel mensen op, maar het kost toch minstens een half jaar om iemand volledig up-to-speed te brengen. De kans deed zich voor om RealOpenIT over te nemen. Dat kwam dus mooi samen. Voorlopig blijft RealOpenIT nog onder de eigen naam opereren.”
Spanningsveld
Jan van Veldhuizen, Commercieel Directeur bij Capitar, beschrijft het spanningsveld tussen het doen van projecten en beheer. “Wij kunnen IAM zonder meer implementeren, maar voor ons begint het echte werk eigenlijk daarna. Het beheer is een langlopend traject, met in principe een driejaarcontract, waarbij je een echte relatie met de klant op kan bouwen. Dat is wat wij graag willen. Wanneer je teveel resources aanwendt voor projecten, kan dat de SLA-afspraken in het nauw brengen. Dat laatste mag natuurlijk nooit gebeuren. Daarom werken we veel samen met partijen die alleen projecten doen. Bij nieuwe klanten waar nog geen project loopt, doen wij het met plezier zelf, maar alleen als duidelijk is dat wij daarna ook het beheer gaan doen.”
Jurg voegt hieraan toe: “Wij zien vaak dat klanten na de implementatie op vragen of problemen stuiten. Ze hebben dan met de implementatiepartij een soort van strippenkaart afgesproken, maar als hun resources alweer op een nieuw project zitten, duurt het soms weken voordat een vraag of probleem wordt opgepakt. Klanten worden dus min of meer aan hun lot overgelaten.”
Functionele blauwdruk
De aanpak van Capitar begint bij de business. Jurg legt uit dat een speciaal team eerst de bedrijfsprocessen in kaart brengt en de IAM-uitgangspunten van de organisatie inventariseert. “Op basis daarvan beschrijven we alle IAM-processen, wat een soort van ERP-systeem oplevert voor functieprofielen, accounts en rechten. Dan gaan we accounts toewijzen aan de applicaties: waar mag iemand in, wanneer leesrechten, wanneer schrijfrechten, hoever gaat de selfservice als iemand zijn wachtwoord kwijt is, wat doe je met de lifecycle van een identiteit, bij indiensttreding, bij functiewijziging en bij uitdiensttreding? Tot op dit punt kijken we nog niet naar de techniek. Als je dat te vroeg doet, loop je het gevaar dat je te snel de focus op details legt. Pas als de volledige functionele blauwdruk klaar is, en de klant staat erachter, gaan we bouwen. Omdat wij met meerdere fabrikanten van IAM-oplossingen samenwerken, is de pakketkeuze onafhankelijk. Door voortschrijdend inzicht tijdens het bouwen, kunnen dingen nog worden veranderd. Wij gieten niets zo strak in beton dat het onwrikbaar wordt. Bij het testen verifieert de klant steeds met ons of wat we hebben bedacht ook echt zo werkt in de praktijk. Dat is een complexe klus. Hoe meer applicaties en hoe meer medewerkers, hoe complexer het IAM. Voor de supermarktketen Jumbo hebben wij bijvoorbeeld recent de toegang voor 65.000 medewerkers ingericht. Met een paar honderd applicaties en veel personeelsverloop en functiewisselingen, is dat een continu proces.”
Vertrouwen
Hoe lang een implementatietraject duurt valt in algemene zin nauwelijks aan te geven. “Een tijdspad is afhankelijk van de klant en wat we daar aantreffen”, aldus Van Veldhuizen. “Wel kunnen wij op basis van onze ruime ervaring bij aanvang een goede inschatting geven. Bij een Hogeschool hebben we IAM in twee maanden geïmplementeerd, maar die klant kenden wij al heel goed. We hoefden niet meer alle processen te beschrijven. Een grote retailer wilde het ook graag in twee maanden, maar na onze eerste inschatting kwamen wij uit op één jaar. Op de vraag waarom wij meer tijd nodig hebben dan een ander, hoeven we alleen maar enkele projecten te beschrijven die vanwege haast en een verkeerde aanpak faliekant zijn misgelopen. Onmisbaar in zo’n traject is het vertrouwen in elkaar. Ondanks onze lange en brede ervaring komen we iedere keer uitdagingen tegen. Daarom zijn onze SLA’s ook maar twee A4’tjes en onze dienstbeschrijvingen zijn net zo kort. Op basis van wederzijds vertrouwen kunnen we het beste toewerken naar het gemeenschappelijke doel: eigentijdse, veilige IAM die excellent wordt beheerd.”
Hybride beheer
IAM-beheer omvat het voortdurend wijzigen van applicaties, authenticaties, rollen en rechten. “Iedere nieuwe applicatie, personeelswijziging of organisatorische wijziging vergt dat IAM mee verandert”, vertelt Jurg. “Wie bij ons een abonnement heeft, is ervan verzekerd dat wij heel snel reageren om dergelijke wijzigingen door te voeren. Bovendien zijn onze professionals vertrouwd met twee werelden: de cloud en on-premise. Wij kunnen beide werelden managen als een soort van hybride beheerder. De veronderstelling dat IAM met cloudapplicaties eenvoudig is, omdat alles gestandaardiseerd zou zijn, klopt niet altijd. Denk maar aan een applicatie als Salesforce. Als je die helemaal customized gaat inrichten, wordt het minstens zo complex als bij een op maat gemaakte on-premise applicatie.”
Capitar kent ook de dienstverlening van de business heel erg goed. “Wij hebben ruime ervaring in vrijwel alle sectoren, waaronder onderwijs, zorg, banken en verzekeraars”, vertelt Van Veldhuizen. “Beheer is voor ongeveer 80 procent generiek. Daarbinnen kennen we alle valkuilen. Maar wij begrijpen ook heel goed die specifieke 20 procent die een organisatie uniek maakt. Bovendien speelt security een cruciale rol anno 2018. Datalekken wil je niet hebben, maar als je ze hebt, wil je in ieder geval dat je de zaken op orde hebt.”