Een masterplan voor IAM
‘Onze vluchten worden voorlopig niet hervat…’
Met het slechte weer werden in december veel vluchten in de Verenigde Staten geannuleerd. Toen het weer beter werd hervatten vrijwel alle maatschappijen hun vluchten, maar SouthWest bleef er heel veel annuleren. Wat gebeurde daar? Hun software en systemen waren zo ver achterop met upgrades en updates dat ze het hervatten van de vluchtschema’s niet aankonden. Ze leden aan ‘technical debt’, oftewel achterstallig onderhoud. En wel in zo’n mate dat hun dienstverlening niet hervat kon worden.
Wat heeft dat met IAM van doen? IAM kan ook last krijgen van achterstallig onderhoud en dit zijn we in diverse situaties tegengekomen. De manier om dit aan te pakken is: onderken het probleem en maak een masterplan.
Waar komt dat achterstallige onderhoud vandaan?
IAM ondersteunt kritische bedrijfsfuncties door ervoor te zorgen dat de juiste persoon bij de juiste data kan, oftewel, de juiste toegang heeft. Maar IAM is ook vatbaar voor achterstallig onderhoud, zeker in grotere bedrijven waar de software voor IAM al jaren geleden is aangeschaft. SouthWest laat met hun casus heel praktisch zien wat er gebeurt als je niet af en toe aan onderhoud doet (zie het artikel in de New York Times, The Shameful Open Secret Behind Southwest’s Failure). Ik heb het voor m’n ogen zien gebeuren: de focus op nieuwe, snelle oplossingen en resultaten, nieuwe features, verbeteringen en daarbij de druk (en prioriteit) van belangrijke business changes en programma’s, allemaal vragen om de juiste toegang. Iets wat IAM heel goed kan doen.
We kunnen best een change nog even uitstellen, of een update later doen, want dat leidt niet direct tot issues. Of we kunnen iets snel neerzetten en wat scripts eromheen bouwen, zodat het werkt. Dat is snel en duidelijk. Maar veel scripts leiden tot complexiteit en veel interne afhankelijkheden in de IAM-oplossing. Een script is een snelle oplossing, maar 100 scripts worden een sleepanker dat elke wendbaarheid langzaamaan verstikt.
Het lijkt een beetje op: ja, ik kan nog wel een stuk taart op (business feature), ook al heb ik een beetje tandpijn (IAM), gewoon doorbijten. Gister deed het toch ook al een beetje zeer, morgen vast ook. Ik kan dat tandartsbezoek best even uitstellen. Want dat kost zoveel tijd (uit mijn backlog), en tandartsbezoek is nooit leuk (liever een nieuwe feature live zetten dan saai onderhoud doen). Maar als je dat patroon lang genoeg laat gaan, dan kom je bij de tandarts met flinke pijn en stuurt deze je door naar de kaakchirurg en dan ben je echt verder van huis…
Een masterplan, een master team en een bel die gehoord wordt
Er moet een masterplan zijn dat bijhoudt welke legacy er bestaat en wat IAM nodig zou hebben om helemaal bij te komen en duurzaam en wendbaar te blijven. Dat masterplan bevat welke upgrades en updates nodig zijn, maar ook welke versimpeling van de infrastructuur nodig is. Bij dat masterplan hoort een ‘master team’. Een team wat tijdig aan de bel trekt als de balans doorslaat naar nieuwe functionaliteit en de IAM-technologie steeds minder wordt bijgewerkt en er risico ontstaat dat IAM het helemaal niet meer doet, vanwege achterstallig onderhoud.
Als laatste, zorg er dan ook voor dat die bel gehoord wordt. Dat het leiderschap en senior management wordt uitgelegd wat de uitdaging is en dat zij kunnen reageren op zo’n signaal. Want management snapt niet alle details van IT en dat hoeven ze ook niet en kunnen ze ook niet altijd. Zij kopiëren vaak de ‘iPhone experience’ op middleware en infrastructuur.
Dus gebruik een masterplan om de consequenties te schetsen en met een oplossingsrichting te komen. In het geval van SouthWest was het achterstallig onderhoud zeer bekend, maar koos management ervoor het niet te prioriteren. Vanwege de auteur in de NYT door de doelstellingen die op korte termijn waren ingesteld (beursresultaten, kwartaalcijfers). Dan maar een stukje ducttape voor de techniek, zodat we dit kwartaal de targets weer halen. Short term gain, long term pain.
De balans tussen ondernemen, beheersing en technologie
Een masterplan gaat over alle IAM-functies en beschrijft wat IAM doet voor de onderneming, welke impact het heeft. Het plan geeft ruimte om nieuwe functionaliteiten te ontwikkelen en business changes te ondersteunen. Want daarbij is het vaak de vraag ‘kan ik morgen nog inloggen en werken?’. Dat moet namelijk nog wel. Het plan beschrijft ook hoe risico’s worden beheerst met maatregelen, de ‘vangrails’ van de onderneming waardoor toegang nooit teveel of onjuist is (denk o.a. aan privacy wetgeving, fraude risico’s, functiescheiding).
Ten slotte, en daar begon dit hele blog mee, houdt het plan de status van IAM-technologie bij en wanneer grote upgrades nodig zijn. Bij software die intern draait kan dit zo elke twee jaar zijn en dan zijn teams hier weken mee bezig, als het niet maanden zijn. Je moet soms groot onderhoud doen, maar niet te vaak. Het gaat om de balans tussen deze drie aspecten: balanceren, prioriteren en uitleggen, waarbij het de taak van leiderschap is om dit inzichtelijk te krijgen en de prioritering te sturen.
Daarom is er ook een afstemming tussen business en IT nodig om de juiste doelstellingen neer te zetten, voor korte en lange termijn. Zodat de business vooruit kan, binnen de kaders van de vangrails, en met wanneer het nodig is groot onderhoud. Met kortetermijnwinsten en langetermijnresultaten in het oog. Gedragen door een visie geeft een masterplan de input voor de (strategische) keuzes die je maakt.
Senior management heeft die input nodig. Maar ook op de werkvloer speelt dit een rol. Toen ik met DevOps teams werkte, gebruikte we een plaatje (ooit op LinkedIn gezet door John Cutler) om uit te leggen wat achterstallig onderhoud is/doet. Het heet ‘Care for the garden’:
Business en IT alignment voor IAM
Dit onderwerp hangt nauw samen met de afstemming tussen business en IT waar mijn collega, Andre Koot, recent een artikel over heeft gepubliceerd. Dat artikel benadrukt wat deze afstemming tussen business en IT brengt voor IAM en waarom het noodzakelijk is. Achterstallig onderhoud als onderwerp voor IAM kan ook vanuit dat perspectief benaderd worden. Maar daar mag Andre zelf een blog over schrijven 😊