Beheer

Security
Rijkspas

Businesscase identitymanagement niet rond te krijgen

Identitymanagement is essentieel, maar moeilijk te onderbouwen qua businesscase.

© Ministerie van OCW
17 september 2010

Als methode om persoonlijke gegevens te beschermen, staat het toepassen van identitymanagement niet ter discussie. Toch loopt het bij het opstellen van een businesscase vaak mis. Het is namelijk moeilijk de grote voordelen ervan in harde euro’s uit te drukken. Een leverancier die beweert dat dat wel kan, zegt Rob van der Staaij, verkoopt lucht.

Persoonsgegevens staan tegenwoordig bloot aan een groot aantal risico’s. Door de groei van het aantal toepassingen en door ontwikkelingen als cloud computing nemen gebruikersaccounts, wachtwoorden en andere identiteitsgegevens per individu steeds meer toe en raken steeds meer verspreid, zowel binnen als buiten de organisatie. Steeds meer partijen zijn betrokken bij het beheer van die gegevens of krijgen zelfs het bezit hierover, waardoor zowel individuen als organisaties het overzicht en de controle erover dreigen te verliezen. Dit kan een groot aantal – soms ernstige – gevolgen hebben. Cybercrime en identiteitsfraude liggen op de loer, het wordt steeds moeilijker om te voldoen aan relevante wetgeving, beheerkosten nemen toe, de productiviteit van medewerkers neemt af en de operationele efficiency van de organisatie staat onder druk.

Tegen deze achtergrond is het niet verwonderlijk dat veel organisaties de mogelijkheden verkennen om persoonsgegevens, accountinformatie en autorisaties op een efficiënte en veilige wijze te overzien en te beheren. Het is inmiddels een welbekend gegeven dat identitymanagement hierop het enige juiste antwoord is. Identitymanagement biedt een groot aantal services en technieken waarmee de hierboven geschetste problemen en uitdagingen kunnen worden aangepakt, zoals user provisioning, logische en fysieke toegangscontrole, sterke authenticatie, single sign-on en federated identity.

Organisaties hebben doorgaans geen moeite om vast te stellen welke van deze services en technieken men precies nodig heeft, zeker niet wanneer een extern adviesbureau wordt ingeschakeld. Het bepalen van de roadmap waarmee de toekomstige identitymanagementomgeving moet worden ingevoerd, wordt al iets lastiger, maar ook hier komen organisaties meestal wel uit, desnoods weer met behulp van dat externe adviesbureau.

Het opstellen van de businesscase – nodig om de noodzakelijke fondsen te verwerven – is dikwijls het eerste echte obstakel. Een businesscase is bedoeld om inzicht te krijgen in nut en noodzaak van de identitymanagementoplossing en in de kosten en risico’s van de invoering ervan. Maar diezelfde business­case wordt meestal ook gehanteerd om te bepalen wat de terugverdientijd ofwel return on investment (ROI) van de oplossing is. Hier loopt het vaak mis, want het is slechts ten dele mogelijk om de voordelen van identitymanagement in geld uit te drukken. Het komt voor dat organisaties afzien van de implementatie van bijvoorbeeld sterke authenticatie of role-based access control, doordat zij alleen die onderdelen van de businesscase laten meewegen die een duidelijke ROI te zien geven, maar de overige aspecten – die niet in geld zijn uit te drukken – onderbelicht laten, waardoor de businesscase ongunstig lijkt uit te pakken. Een rondje langs de businessdrivers voor identitymanagement zal duidelijk maken waarom de businesscase ervan financieel niet dekkend kan worden gemaakt.

De businessdrivers voor identitymanagement kunnen worden onderverdeeld in een aantal categorieën. Om die boven water te krijgen, hoeven we alleen maar naar de eerder beschreven problemen en issues te kijken die een relatie hebben met persoonsgegevens, accountinformatie en autorisaties. We hebben gezien dat die gegevens tegenwoordig grote risico’s lopen. Het vermijden van die risico’s, ofwel risicomanagement, is dus een van die businessdrivers. Ook bestaat er gerelateerde wet- en regelgeving, bijvoorbeeld de Wet bescherming persoonsgegevens, die bepaalt dat zorgvuldig moet worden omgegaan met identiteitsgegevens en privacy. Compliance ofwel het voldoen aan wet- en regelgeving is daarmee eveneens een businessdriver voor identitymanagement. Ten slotte willen de meeste organisaties kosten besparen en operationele processen zo efficiënt mogelijk inrichten, ook rondom het beheer van identiteitsinformatie en autorisaties. Kostenbesparing en efficiency zijn dus eveneens businessdrivers.

Daarmee hebben we de businessdrivers voor identitymanagement te pakken. Sommige adviesbureaus en IT-dienstverleners noemen nog governance, agility en time-to-market. Governance heeft echter als bezwaar dat het een te brede betekenis heeft om bruikbaar te zijn. Dit begrip wordt in een veelheid van contexten gebruikt en de stelling is verdedigbaar dat governance een relatie heeft met alle eerdergenoemde businessdrivers. Agility en time-to-market zijn niet veel anders dan uitingsvormen van efficiency.

De businessdrivers en de problemen en issues die er aan ten grondslag liggen, laten meteen al zien dat het in een aantal gevallen onmogelijk is om de baten van een identitymanagementoplossing in harde euro’s te vertalen. Want hoe druk je in geld uit dat het met user provisioning mogelijk wordt dat nieuwe medewerkers sneller aan de slag kunnen en daarmee aan efficiency gewonnen wordt? Dat weet je pas indien je gedurende een langere periode de twee situaties – met en zonder user provisioning – zou bijhouden en met elkaar zou vergelijken. Maar dan nog is het knap lastig de met user provisioning behaalde productiviteitswinst te vertalen naar een concreet geldbedrag. Nog lastiger, zo niet onmogelijk, is het om de reputatieschade te berekenen die een financiële dienstverlener kan vermijden door onlinefraude aan te pakken. Iets wat met behulp van sterke authenticatie kan worden bereikt. Je weet dat die reputatieschade aanzienlijke financiële risico’s met zich mee zal brengen, maar hoeveel verlies er dan precies geleden zal worden, is onmogelijk scherp te krijgen. Zo zijn er legio voorbeelden van duidelijke voordelen die met identitymanagement kunnen worden behaald, maar die simpelweg niet in geld zijn uit te drukken.

Natuurlijk zijn er ook veel voordelen van identitymanagement die wel in geld zijn te vertalen. Met single sign-on of wachtwoordmanagement bijvoorbeeld kan het aantal helpdesktelefoontjes worden gereduceerd dat gepaard gaat met het opnieuw instellen van wachtwoorden. Je kunt uitrekenen hoeveel tijd een helpdeskmedewerker gemiddeld kwijt is aan zulke telefoongesprekken. Meestal is dit een flink percentage. Een ander voorbeeld is de tijd die gewonnen wordt met het automatisch aanmaken, wijzigen en verwijderen van accountinformatie, iets wat met user provisioning kan worden bereikt. Ook hier kan berekend worden hoeveel tijd en dus geld een beheerder gemiddeld besteedt aan het hand-matig beheren van accountinformatie. Nog een aansprekend voorbeeld wordt geboden door de sancties die toezichthouders kunnen opleggen indien een organisatie niet voldoet aan een bepaalde wet. De maximale boetes daarvan zijn bekend en daarmee ook de kosten die gemaakt worden met het nalaten van de invoering van de oplossing waarmee compliance kan worden gerealiseerd.

De conclusie is dat organisaties de business­case voor identitymanagement niet alleen moeten baseren op de financiële baten ervan. Want een ROI is bij die discipline zelfs bij benadering niet uit te rekenen. Een adviesbureau of leverancier die beweert van wel, verkoopt lucht. In een businesscase moet daarom evenveel, zo niet meer nadruk worden gelegd op de kwalitatieve winstpunten van identitymanagement. Dat houdt automatisch in dat een dergelijke businesscase niet louter als een financieel en cijfermatig instrument moet worden gezien, maar vooral ook en misschien nog wel meer als een marketing- en pr-instrument, bedoeld om alle stakeholders te overtuigen van de waarde van identitymanagement. Omdat niet iedereen hier genoegen mee zal nemen, moet alles worden aangevoerd om de businesscase extra kracht bij te zetten, bijvoorbeeld door ook de risico’s en negatieve scenario’s te schetsen voor het geval er niets zou worden gedaan.

Rob van der Staaij is adviseur op de terreinen risicomanagement, privacy- en identitymanagement.

Businesscase

Businesscase rijkspas staat als een huis

Binnen de rijksoverheid wordt de rijkspas ingevoerd. Deze pas moet het ambtenaren en andere medewerkers mogelijk maken om in fasen fysieke toegang te verkrijgen tot eerst het eigen departement en daarna tot elkaars departementen. Ten slotte zal men de pas kunnen gebruiken als authenticatiemiddel voor systemen en applicaties. Zodoende zal het met de rijkspas in de toekomst mogelijk zijn om op een veilige en efficiënte manier tijd- en plaatsonafhankelijk te werken, een concept dat ook wel bekend staat als ‘het nieuwe werken’.De invoering van de rijkspas verloopt echter moeizaam en de kosten dreigen flink uit de hand te lopen, wat onlangs nog van diverse kanten forse kritiek heeft opgeleverd. De kritiek spitste zich onder meer toe op het feit dat er voor de rijkspas geen sluitende businesscase is in termen van geld. Onterecht, want er is geen glazen bol voor nodig om te zien dat er met de rijkspas in hoge mate tegemoetgekomen zal worden aan alle bekende businessdrivers voor identitymanagement, te weten risicomanagement, compliance, efficiency en kostenbesparing. De pas biedt immers een extra veilige vorm van authenticatie, levert geconcentreerde audit- en rapportagemogelijkheden, maakt het medewerkers veel gemakkelijker om zich overal aan te melden en vermindert kosten en rompslomp, doordat er maar één type pas beheerd en uitgegeven hoeft te worden. Worden de huidige systemen voor fysieke en logische toegang in stand gehouden, dan zouden de departementen uiteindelijk substantieel inleveren op al de genoemde aspecten. Hoewel de businesscase voor de rijkspas maar deels in euro’s uitgedrukt kan worden, staat deze als een huis.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!