Identity & Access Management (IAM) is allang geen 'nice-to-have' meer. Het is een bedrijfskritische basisvoorziening die veilige, schaalbare en efficiënte bedrijfsvoering mogelijk maakt. Tegelijkertijd zien we dat veel organisaties vastlopen in terugkerende IAM-valkuilen die voortgang vertragen, kosten verhogen en risico's vergroten. Met tientallen jaren gecombineerde IAM-ervaring kennen onze consultants deze IAM uitdagingen van binnen en van buiten. In deze serie delen we de meest voorkomende valkuilen, en praktische best practices om ze te voorkomen of te herstellen.

We hebben deze valkuilen gegroepeerd in vijf domeinen:

• Strategie, businesscase en planning
• Governance en eigenaarschap
• Continuïteit en programmatische aanpak
• Technische flexibiliteit en aanpasbaarheid
• Budget, resources en realistische verwachtingen
  

Dit artikel bundelt een eerdere LinkedIn-serie in één overzicht. Zo heb je alles bij elkaar, wel zo praktisch. Zo heb je alles makkelijk bij elkaar. Wel zo praktisch, niet? Veel plezier!

Link to LinkedIn carousel

• IAM-visie, doelen en strategie
  • Valkuil: starten zonder duidelijke IAM-visie en -strategie. Veel organisaties beginnen met IAM vanuit goede intenties, alleen zonder helder doel. Dit kan bijvoorbeeld leiden tot scope creep, versnippering en oplopende kosten.
  • Best practice: werk vanuit een duidelijke visie en strategie. Bepaal vooraf wat je wilt bereiken, waarom en hoe. Pas daarna volgt de uitvoering.

• “IAM is te complex” Wel nee!
  • Valkuil: IAM als te complex beschouwen. IAM wordt nog weleens als overweldigend of ingewikkeld ervaren, wat kan leiden tot uitstel of half afgemaakte initiatieven.
  • Best practice: decomplexeer en werk gefaseerd. Knip IAM-initiatieven op in behapbare stappen. Fases zorgen voor overzicht, voortgang en draagvlak.

• Budget en business buy-in
  • Valkuil: onvoldoende budget en prioriteit, en IAM als noodzakelijke kostenpost. Zonder structurele financiering en voldoende draagvlak kunnen IAM-initiatieven blijven hangen in pilots of losse projecten.
  • Best practice: onderbouw IAM met een sterke businesscase. Benadruk de waarde van IAM als enabler van security, efficiëntie en innovatie en positioneer IAM als bedrijfskritische en waardevolle investering.

• Heroverweeg bedrijfsprioriteiten
  • Valkuil: IAM staat laag op de prioriteitenlijst. Het deprioritiseren van IAM tegenover andere bedrijfsinitiatieven kan leiden tot gaten in identiteitsbeheer, toegangscontrole, en beveiliging.
  • Best practice: IAM als strategische bedrijfsaanjager. Verzorg breed bewustzijn rond de strategische waarde van IAM voor je organisatie en versterk steun en draagvlak, verzamel essentiële buy-in en verzeker je van financiering.
    

Tip! Ons artikel “IAM as strategic accelerator - thriving confidently in the digital age” is wellicht interessant om ook eens te lezen.

Dit waren een aantal gebruikelijke valkuilen onder Strategie, Businesscase en Planning, en best practices om ze te overkomen.

Hierna: 2/5 - governance en eigenaarschap Tot straks!

Link to LinkedIn carousel

• "IAM is van IT"
  • Valkuil: onduidelijk eigenaarschap voor IAM IAM blijft vaak hangen binnen IT, terwijl impact en verantwoordelijkheid organisatiebreed zijn.
  • Best practice: betrek de business actief. IAM vraagt eigenaarschap van management, HR, security en IT samen. Betrek belangrijke, bedrijfsbrede stakeholders vroeg en doorlopend. Sluit hen die worden geraakt door IAM initiatieven en verzeker je ervan dat ze de relatie tussen IAM en de wend- en weerbaarheid van je organisatie begrijpen en daar eigenaarschap over voelen.

• Gebrek aan governance
  • Valkuil: geen heldere governance-structuur. Dit kan leiden tot inconsistente besluiten, inefficiënte workflows en risico's.
  • Best practice: richt een helder IAM governance-model in. Leg rollen, verantwoordelijkheden en besluitvorming expliciet vast. Dit helpt met consistente besluitvorming, efficiëntere werkprocessen, en lange termijn toezicht

• IAM is doorlopend, geen eenmalig project
  • Valkuil: IAM behandelen als (eenmalig) IT-project. Dit negeert de continue aard van identity & access governance en de behoefte aan bedrijfsbrede, afdelingsoverstijgende betrokkenheid en bedrijfsinzichten.
  • Best practice: benader IAM als doorlopende verantwoordelijkheid. IAM is meer dan een stukje van IT. Het is de ruggengraat van operatie en bedrijfsvoering. Net als finance of HR is structureel, met duidelijke accountability en eigenaarschap, en een toegewijd team.

• Aandacht voor certificeringsdoelstellingen
  • Valkuil: rapporten voor certificeringscampagnes blijven links liggen of worden onvoldoende grondig doorgenomen. Managers lopen hier bijvoorbeeld aan tegen onduidelijkheden wat betreft het waarom, hoe, en/of wat van deze campagnes. Dit kan datakwaliteit ondermijnen en risico op kwetsbaarheden vergroten, wat weer gevolgen heeft voor identity governance programmas en auditbaarheid.
  • Best practice: maak doel en verantwoordelijkheid expliciet. Help managers met hun verantwoordelijkheid voor zowel hun teams, maar ook de toegangsrechten van hun teams. Maak campagnedoelen en werkwijzen duidelijk en toegankelijk zodat iedereen zich zeker voelt over diens rol in het verhaal.
    

Dit waren een aantal veelvoorkomende IAM valkuilen en best practices in het domein van IAM Governance en eigenaarschap.

Hierna: 3/5 - Continuïteit en programmatische aanpak

Op naar de volgende!

Link to Li nkedIn carousel

• IAM is langetermijnwerk
  • Valkuil: IAM als eenmalige inspanning zien. Dit kan ertoe leiden dat het op de lange termijn lastig wordt om duurzame IAM vol te houden, nadat een project is voltooid, en dat focus en kennis na projectafsluiting verdwijnt.
  • Best practice: Richt IAM minimaal in als meerjarig programma. IAM gaat nergens heen! Omarm het voor de lange termijn. Dat verbetert rendement, planning en volwassenheid.

• Verstevig steun en draagvlak, vergroot bewustzijn
  • Valkuil: gebrek aan IAM bewustzijn. Stakeholders onderschatten in deze context de waarde van IAM en de toegevoegde waarde ervan ten opzichte van andere bedrijfskritische prioriteiten. Dit zorgt voor lage(re) betrokkenheid, begrip en buy-in.
  • Best practice: positioneer en promoot IAM als business enabler. Maak zichtbaar hoe IAM kan bijdragen aan schaalbaarheid, veiligheid en continuïteit.

• Inrichten van IAM is een veranderproces
  • Valkuil: cultuur- en veranderaspecten negeren. IAM herstructureert bedrijfsprocessen en operatie en kan serieuze organisatorische verandering met zich meebrengen. Onderschat dit niet! Dat kan leiden tot weerstand en uitdagingen in het implementeren en doorvoeren van belangrijke IAM praktijken.
  • Best practice: integreer change management in IAM-aanpak. Wees transparant over impact en begeleid de organisatie hierin. Integreer change management principes in je IAM plannen om een ondersteunend en constructieve omgeving te bouwen.

BONUS! We hebben hier een extra valkuil toegevoegd: Gebrek aan structurele IAM-kennis

• Valkuil: IAM-kennis is tijdelijk of persoonsafhankelijk. IAM programma's en inkoopprocessen lopen nog wel eens anders dan verwacht. Dit kan zijn door onjuiste vereisten, te kleine of te brede scope, en/of business-IT mislignment
• Best practice: bouw een duurzaam IAM-team . Verbind met IAM communities (IDPro, Identibeer) en zoek professionel ervaren externe consultants en business partners.. En onthoud: externe expertise kan je enorm helpen - en is soms zelfs onmisbaar - in het leggen van een goede, sterke IAM basis en met het aanpakken van specifieke problemen of uitdagingen terwijl je bedrijf verder groeit en ontwikkelt, uiteindelijk is het doel altijd om IAM een geïntegreerde, verankerde bedrijfsfunctie te maken. Een vast kernonderdeel van je organisatie.
  

Dit waren een aantal gebruikelijke IAM valkuilen en best practices in het domein van continuïteit en programmatische aanpak

Hierna: 4/5 - Technische flexibiliteit en aanpasbaarheid

Daar gaan we weer!

Terwijl we langs de vijf IAM valkuil - en - best - practice - domeinen bewegen, zijn we inmiddels aanbeland bij de vierde categorie: Technische flexibiliteit en aanpasbaarheid Elke valkuil wordt gevolgd door een best practice om meteen toe te passen. Klaar voor de start …

Link to LinkedIn carousel

• Toegangsbeheer: RBAC, ABAC, PBAC .. Kiezen?
  • Valkuil: "moeten: kiezen tussen de BACs Begrijpelijk, maar niet nodig! Het kan leiden tot structuren die meer rigide zijn dan nodig, met geminimaliseerde kansen en ruimte voor flexibiliteit.
  • Best practice: combineer waar mogelijk en waar nodig. 1+1=3. Je hoeft je niet vast te leggen en te beperken tot één specifiek model voor toegangsbeheer. Begin bijvoorbeeld RBAC en verrijk met ABAC/PBAC waar dat waarde toevoegt. Een dergelijke, flexibele IAM strategie maakt ruimte voor een meer genuanceerde, fijnmazige benadering van toegangsbeheer. Zowel op de korte, als op de lange termijn.
    

Tip! Have a read at our article "Evolution of Access Control: a bit of RBAC and ABAC history" on LinkedIn.

• IAM organisatie en eigenaarschap
  • Valkuil: "IAM is van HR" Hiermee ligt er te veel afhankelijkheid voor toegangsbeheer bij HR, wat kan leiden tot beperkte flexibliteit, zeker in complexe organisaties. HR afdelingen hebben lang niet altijd de gespecialiseerde kennis, tools en bezetting (of mandaat) om dynamisch IAM effectief te beheren.
  • Best practice: gedeeld eigenaarschap. IAM vraagt samenwerking tussen HR, IT, security en business. Breng de rol van HR in IAM in lijn met bredere bedrijfsdoelstellingen en benader het als gedeelde verantwoordelijkheid.

• A pleidooi voor dynamische autorisaties
  • Valkuil: Statische autorisaties, puur op functietitel. In de dynamische aard van de moderne werkplaats is een functiegedreven autorisatiemodel mogelijk te rigide en te statisch. Toegangsbeheer is in toenemende mate taak-, mandaat- en contextafhankelijk. Ongemoeid kan dit leiden tot gaten in toegangsbeheer, onnodige toekenning van (te veel) rechten en privileges, en grotere risico's.
  • Best practice: een dynamisch, context- en taakgericht autorisatiemodel. De context rond toegang kan veranderen. Daarmee zit er waarde in het ontwerpen van een dynamisch autorisatiemodel, bijvoorbeeld door op taak- en mandaatgebaseerde elementen toe te voegen. Dit verkleint risico's en verhoogt flexibiliteit.

• Meerdere wegen die naar een IAM oplossing leiden
  • Valkuil: custom IAM zelf bouwen als default. Sterke technische expertise kan ertoe leiden dat IAM oplossingen standaard in-house en custom gebouwd worden. Maar hiermee komt een risico op misalignment, afhankelijkheden, hogere kosten, beperkte schaalbaarheid en andere knelpunten. Zeker zonder model om governance en beveiliging te koppelen aan bedrijfsdoelstellingen en -behoeften.
  • Best practice: Reuse before Buy before Build. Gebruik wat er al is, koop waar nodig, bouw alleen als het écht moet. Kijk wat je al hebt en hoe je het zou kunnen aan- en toepassen. Overweeg het aanschaffen van tools alleen om gaten op te vullen en bouw alleen maar custom in geval er unieke, goed gedefinieerde vereisten bestaan die onmogelijk op een andere manier geadresseerd kunnen worden.

• Een trap beklim je stap voor stap
  • Valkuil: Big-bang implementaties en inzetten op alles in één keer Een grootschalige, directe IAM uitrol en implementatie kan leiden tot onnodige fouten, veel weerstand, lage adoptie, en resources onder druk. Dit kan weer een heel IAM initiatief ondermijnen, zowel direct als voor toekomstige plannen.
  • Best practice: flexibele, gefaseerde IAM-implementatie. Klein beginnen, leren, verbeteren en opschalen.

Dit waren een aantal veelvoorkomende IAM valkuilen en best practices die we zien in het domein van technische flexibiliteit en aanpasbaarheid.

Hierna: 5/5 - Budget, resources en realistische verwachtingen

Hebben we de beste bewaard voor het laatst? Maar en manier om daar achter te komen!

Deze vijfde en laatste sectie rond onze serie over veelvoorkomende IAM valkuilen en best practices af. De laatste, ja. Maar niet de minste. Hier zijn ze voor onze vijfde categorie: ‘Budget, Resources and Realistiche verwachtingen.’

Link to LinkedIn carousel

• IAM heeft langetermijncommitment nodig
  • Valkuil: IAM onderschatten qua tijd en kosten. Kosten en commitment voor IAM worden nog wel eens onderschat, bijvoorbeeld doordat het aangevlogen wordt als gewoon een nieuwe tool om aan te schaffen en daarmee een eenmalige uitgave. Maar deze benadering kan leiden tot ineffectieve planning en onnodig veel druk op (schaarse) resources
  • Best practice: structurele businesscase en educatie. Regelmatig en consistent betrekken van stakeholders bij de langetermijnwaarde van IAM helpt voor doorlopende priotering en budgetbevestiging. Een goede business case voor IAM, die laat zien hoe IAM zowel waarde uitwetkt op beveiliging als op operationele efficiëntie, helpt om dit gestructureerd te benaderen.

• Focus op toekomstige voordelen
  • Valkuil: te veel vasthouden aan bestaande systemen Oudere IAM systemen, hoewel functioneel, kunnen technische schuldenposten worden die je moderne operatie in de weg gaan staan. In het verleden hebben ze geld gekost, er is (flink) in geïnvesteerd, en daardoor kan het idee van ze vervangen weerstand oproepen. Maar, NIET vervangen kan weer leiden tot inefficiëntie, gaten in compliance en beveiligingsrisico’s.
  • Best practice: kijk vooruit! Beschouw en accepteer bijvorbeeld vroegere investeringen als sunk cost.

• IAM is een initiatief met hoge prioriteit
  • Valkuil: IAM verliest van andere initiatieven. Hier concureert IAM bijvoorbeeld met andere organisatieprioriteiten, en wint dit lang niet altijd. Wat kan leiden tot inconsistente budgetten, support en mindere resultaten
  • Best practice: positioneer IAM als strategisch fundament. IAM is onmisbaar voor de wend- en weerbaarheid van de operatie, voor compliance, innovatie en groei. Het verdient een geïntegreerde plek aan de top van de prioriteitenlijst.
    

• Goede aansluiting is essentieel
  • Valkuil: IAM staat los van andere trajecten en er is geen/weinig aansluiting met verdere programma’s. IAM is bijna nooit het enige programma wat in een organisatie wordt gedraaid. Geïsoleerde IAM benadering en misalignment met andere initiatieven kan leiden tot conflicterende prioriteiten en resource toekenning.
  • Best practice: stem IAM af op bredere organisatie-initiatieven. Dit helpt met stakeholder buy-in en budget toewijzing, en vraagt op openheid en transparantie in communicatie, wat weer helpt om IAM initiatieven aan te sluiten op andere lopende programma’s

Dit waren een aantal veelvoorkomende IAM valkuilen en best practices in het domein van budget, resources en realistische verwachtingen.

Dat was ‘m dan, het eind van dit Archive Artikel.

Deze IAM valkuilen en best practices komen we dagelijks tegen in de praktijk. Herkenbaar? Dan sta je zeker niet alleen. Het goede nieuws: ze zijn te voorkomen ze zijn te voorkomen mits je ze op tijd ziet aankomen. Meer weten? info@sonicbee.eu

Bij SonicBee helpen we organisaties om IAM structureel, schaalbaar en werkbaar in te richten. Met een realistische aanpak, gebaseerd op ervaring en samenwerking. Wil je sparren over jouw situatie? Onze deur staat voor je open.