Holacratisch werken en IAM, dat werkt toch niet samen?
Chief Evangelist André Koot richt zich al 20 jaar op het domein Identity and Access management (IAM). In het begin als één van de weinigen, maar inmiddels staat IAM bij organisaties volop in de belangstelling. Intussen is IAM geen innovatie opzich, maar zijn er wel veel innovatie kansen voor organisaties door IAM optimaal in te richten. In deze blogreeks stellen we kritische vragen over innovaties die een mogelijke impact hebben op IAM.
Holacratisch werken en Identity & Access Management
Als IAM-consultants hebben we bij SonicBee ervaring in het ontwerpen van toegangsmodellen en zijn we gewend aan een typische omgeving waarin toegang wordt afgeleid van de afdeling, positie en rol van een werknemer. Een persoon heeft alleen toegang nodig als en voor zover die toegang relevant is in relatie tot zijn of haar positie in de organisatie en de toegewezen taken. Als er geen behoefte is aan toegang, moeten alle machtigingen worden ingetrokken. Het is hard werken om deze toegangsmodellen te ontwerpen, maar gelukkig kunnen we zeggen: ‘we hebben het vaker gedaan’.
Bij twee van onze recente klanten kwamen we een nieuwe ‘ervaring’ tegen. Toen we bespraken hoe we het toegangsmodel moesten ontwerpen, kwamen we erachter dat deze organisaties een holacratische manier van werken toepasten. Dat vereist enige uitleg over het concept van holacratisch werken. Je vraagt je misschien af wat dat is, en dat deden wij ook. We weten wat de holistische filosofie is: dat gaat over alles. We weten van hiërarchische organisatietypes en matrixorganisaties, dat gaat allemaal over organisatie. En holacratie probeert deze twee te combineren: alles over een organisatie. Maar het is nog steeds niet zo makkelijk te definiëren.
Holacratie. Wat is dat?
Holocratie is een management framework wat verder gaat dan hiërachisch management. Het is gebaseerd op maximale autonomie en zelfsturing van en door medewerkers. Besluitvorming is gedecentraliseerd en teams organiseren zichzelf volledig. Het heeft wat weg van agile werken, maar holacratie is zelfs nog meer dan dat.
Normaal gesproken kun je zeggen: identiteiten krijgen hun autorisatie op bases van karakteristieken of attributen. Dit kan zijn hun plaats in de organisatie (de afdeling), hun positie en rol, fysieke locatie en nog veel meer. De voornaamste structuur die we tegenkomen is top-down hiërarchisch. Holacratie staat daar dus recht tegenover en heeft geen hiërarchische structuur. Daardoor is het veel minder logisch of duidelijk om personen te vinden die verantwoordelijk zijn voor toegang. Bovendien, teams en rollen binnen teams in een holacratische organisatie veranderen constant, dus ook daar kun je eigenlijk je toegangsrechten niet op baseren.
Holacratie is ’the next way or organizing’. Voorheen hadden we strikt hiërarchische organisaties met een centraal en top-down management. In de afgelopen jaren hebben een grote toename gezien van agile georganiseerde workforces, met meer automonie in teams en minder centrale, top-down sturing. Holacratie gaat zoals gezegd nog een stapje verder. Er is helemaal geen ‘centraal’ of ’top-down’ meer. De organisatie werkt in teams en deze teams definiëren hun werk zelf.
Voor ons als IAM-experts ontbreekt daarmee de relatief ‘comfortabele’ en overzichtelijke structuur van afdelingen, functies en teams. Hoe combineer je nou IAM en holacratisch werken? Hoe organiseer je toegangsbeheer in een niet-hiërarchische, niet-matrix-achtige, niet-agile organisatie? Gelukkig houden wij wel van een uitdaging.
Toegang gebaseerd op rollen – traditioneel RBAC
Normaal gesproken ontwerpen we dus een model wat toegang verleent aan medewerkers op basis van hun rollen. Deze rollen zijn een verzameling van individuele autorisaties. Bijvoorbeeld, een vertegenwoordiger van de klantenservice heeft toegang tot acht verschillende applicaties nodig. In plaats van deze autorisaties een-voor-een toe te kennen, wat best veel tijd kost, is het makkelijker om deze acht autorisaties te bundelen in een rol. Het is vervolgens nóg makkelijker om van tevoren te bepalen: elke vertegenwoordiger van de klantenservice heeft deze rol, en daarmee dus deze autorisaties nodig. Op die manier hoeven we niet voor elke aparte medewerker te bekijken of ze wel de klantenservice vertegenwoordigen, maar schrijven we een regel: als een medewerker de functie ‘vertegenwoordiger van de klantenservice’ heeft, geef hen dan automatisch deze rol (waarin dus die acht autorisaties al zijn toegekend). Zo krijgt deze medewerker direct en automatisch toegang tot alle applicaties die nodig zijn. Superefficiënt dus! En dat is in de basis het concept van Role Based Access Control, oftewel toegang gebaseerd op rollen.
Het automatiseren van het proces waarbinnen medewerkers instromen, doorstromen, of uitstromen is verder niet heel ingewikkeld. Het verkrijgen van een Identity feed vanuit het HR-systeem waarin alle veranderingen en bewegingen staan en daar wat magie op loslaten om accounts te creëren of verwijderen is wat zogenoemde Identity Governance and Administration software doet. Na het beheren van de accounts, is het toevoegen van autorisaties al wat complexer. Dit is de fase in het proces waar we ‘rollen’ (groepen van autorisaties) toekennen aan identiteiten. Een manager definieert de benodigde autorisaties van een direct report, de manager verleent en ontneemt autorisaties, de manager ontvangt rapportages en hercertificeringen. Kortom, in traditionelere organisaties met een top-down structuur is de manager verantwoordelijk en aansprakelijk voor de toegang van een medewerker tot applicaties en wat de medewerker vervolgens met die toegang doet.
Holacratie: Rollen zonder hiërarchie
Dat de manager op die manier verantwoordelijkheid draagt, gaat in holacratische organisaties alleen niet op. Holacratische organisaties hebben teams, of ‘circles’, en die cirkels maken eigenlijk de hele structuur van de organisatie. Het kan wel zo zijn dat er binnen een cirkel weer meerdere kleinere cirkels zijn, zoals binnen een afdeling meerdere teams. Daarnaast maakt het feit dat mensen in verschillende hoedanigheden binnen verschillende cirkels aan verschillende dingen werken, effectief IAM en holacratisch werken nog wat complexer. Daarbij komt dus dat er geen managers in de traditionele zin van het woord zijn. Elke cirkel beheert en organiseert zichzelf, richting een specifiek doel en de mensen binnen de cirkel definiëren hun eigen regie en sturing om dat doel te bereiken.
Binnen deze cirkels worden weliswaar rollen toegekend aan medewerkers, maar deze rollen veranderen zoals gezegd constant. Sterker nog, er is geen relatie tussen hiërarchie, RBAC-rollen en holacratische rollen.
Holacratie en RBAC? Kan dat dan wel samen?
Normaal gesproken krijgt een persoon via RBAC een business rol toegekend en die rol verbindt weer met rollen in applicaties en platformen. Dat noemen we applicatierollen. Deze applicatierollen geven weer meer verfijnd toegang, meer effectieve autorisatie of entitlements. Het creëren van deze applicatierollen is niet eenvoudig en als een rol eenmaal is gemaakt kan deze niet zomaar worden veranderd. Wat dat betreft zou ik elke organisatie willen uitnodigen het creëren van een rol goed te vieren!
Deze complexiteit betekent vervolgens dat aangemaakte applicatierollen, als ze er eenmaal zijn, statisch zijn. Dat is lastig in holacratische kringen, want zoals gezegd: rollen veranderen constant in deze organisaties. Self-governance betekent dat wanneer autorisaties binnen rollen veranderlijk zijn, traditionele RBAC-methodes niet echt werken.
Holacratische rollen zijn daarentegen helemaal niet statisch. Dat houdt in dat toebedeelde rollen kunnen leiden tot verschillende effectieve autorisaties. De rol die gister nog was toegekend, kan vandaag iets anders betekenen. Terug naar het voorbeeld; de medewerker heeft nog steeds dezelfde rol (vertegenwoordiger van de klantenservice), maar heeft vandaag negen applicaties nodig als onderdeel van die rol in plaats van acht. Dit benadrukt enorm het belang van helder, effectief en overzichtelijk rolbeheer in holacratische organisaties, anders verdwijnen autorisaties op een gegeven moment gewoon zonder dat iemand daar echt controle over heeft.
Access Governance (ook wel toegangsbeheer)
Vanuit het perspectief van autorisatiemanagement, IAM en holacratisch werken betekent dit dat toegangsbeheer in een holacratische organisatie heel anders moet worden geïmplementeerd. Het managen van rollen en autorisaties vraagt in deze context om een zeer dynamische aanpak. Om Role Based Access Control mogelijk te maken in een holacratische organisatie is zo’n dynamische aanpak zelfs essentieel. Daarin is version control en het monitoren van het toekennen van rollen een randvoorwaarde.
In traditionele Identity Governance and Administration softwareoplossingen is een hiërarchisch perspectief op Governance onderdeel van de features. Daardoor passen traditionele IGA solutions niet in niet-hiërarchische organisaties. In een toekomstig blog gaan we verder in op deze uitdaging en onderzoeken we verder dat je misschien wel helemaal geen hiërarchie nodig hebt om in control te blijven.
Achtergrond blogreeks
Identity and Access management (IAM) staat vollop in de belangstelling. Er liggen namelijk veel kansen voor ‘operational excelence’ (efficiëntie, slagkracht, kosten besparen) en de nood is hoog. Enerzijds zorgde de digitalisering voor meer systemen en gebruikers en daarmee voor nieuwe behoefte om dit werkbaar te houden. Anderzijds heeft regelgeving zoals AVG gezorgd voor een stijgende behoefte aan IAM oplossingen. Het wordt simpelweg vereist.
Maar er is meer. Met IAM kun je ervoor zorgen dat ketenpartners digitaal kunnen samenwerken. Het biedt kansen tot interoperabiliteit.IAM is geen innovatie opzich, maar er zijn wel veel innovatie kansen voor organisaties door IAM optimaal in te richten. Denk bijvoorbeeld aan nieuwe vormen van organisatie aansturing, zoals holocratisch werken. Nieuwe concepten, zoals zero trust. En nieuwe technologieën zoals block chain. In hoeverre heeft dat impact of biedt het zelfs synergee kansen voor toegangsmanagement? Deze blogreeks gaat hierop in.