Starten met IAM:
een 7-daags onderzoekstraject
Inleiding
Binnen uw organisatie wilt u dat mensen toegang hebben tot de systemen en documenten die nodig zijn om het werk uit te voeren. Het liefst heeft niet iedereen toegang tot alle systemen wanneer dit niet nodig is. Het kan namelijk voor veiligheidsrisico’s zorgen. Tijd dus voor een goed Identity en Access Management.
Identity en Access Management (IAM) is een term voor het beheer van gebruikersrechten binnen een organisatie. Een organisatie bepaalt hierbij welke rechten en welke toegang tot systemen medewerkers krijgen. Dit doen ze met behulp van een Access Management Systeem, waarin het rechtenbeheer digitaal is vastgelegd. IAM is een belangrijk onderwerp binnen IT security. Als de rechten en toegang in de verkeerde handen vallen, heeft dit grote gevolgen voor de organisatie.
Wilt u starten met een IAM-traject, maar geen idee waar te beginnen? In dit artikel leggen we uit welke zeven stappen we doorlopen om voor uw organisatie een overzichtelijk plan van aanpak te kunnen maken voor een veilig en effectief Identity en Access Management.
Meer weten?
Bel met David Douwstra
+31 (0) 6 466 388 24
Managementsamenvatting
Om de eisen, wensen en randvoorwaarden op het gebied van Identity en Access Management helder te krijgen, biedt Fortezza Cybersecurity een 7-daags traject. Het doel van dit traject is het bepalen van de visie en scope en het helder krijgen van de diverse functionele en technische eisen op het gebied van Identity en Access Management. Daarnaast onderzoeken we hoe de te koppelen systemen en functionele processen onderdeel uitmaken van de beoogde Identity en Access Management implementatie. Dit alles maakt het mogelijk om een roadmap op te stellen en advies te geven aan de hand van een plan van aanpak. Het onderzoek bestaat uit acht voorgedefinieerde fases die uitgevoerd worden samen met uw organisatie. Deze fases bestaan voornamelijk uit het vergaren en inventariseren van de nodige informatie door middel van interviews en workshops op locatie.
Onderzoeksomschrijving
Wat zijn de wensen en eisen op het gebied van Identity en Access Management? Dit is de hoofdvraag van een 7-daags traject dat we samen in gaan. Onderdeel van dit traject zijn workshops voor het verzamelen en bespreken van informatie en het uitwerken van vooraf gedefinieerde opleveringen (deliverables). Deze activiteiten zullen gedurende achtereenvolgende fases uitgewerkt en opgeleverd worden.
Resultaat
Aan het einde van het 7-daagse traject is het duidelijk wat de Identity en Access Management wensen en eisen zijn. Vervolgens wordt er een passend advies gegeven over de aanpak.
Concreet hebben we dan een antwoord op de volgende vragen:
- Wat is er allemaal mogelijk op het gebied van Identity en Access Management. Denk aan welke bron of doelsysteem betrokken moeten worden bij de Identity en Access managementoplossing.
- Wat is de visie op het gebied van Identity en Access Management?
- Welke doelen wilt uw organisatie bereiken met behulp van Identity en Access Management?
- Wat zijn de huidige processen op het gebied van Identity en Access Management en waar is ruimte voor verbetering? Denk aan de instroom en uitstroom van medewerkers.
- Met welke facetten moet er rekening gehouden worden bij een implementatie van Identity en Access Management?
- Welke onderdelen zijn cruciaal of hebben prioriteit?
Daarbij zullen de volgende deliverables opgeleverd worden:
- Vereisten (requirements) matrix (zie hoofdstuk 4)
- Overzicht van te koppelen bron- en doelsystemen
- Top-level use cases (zoals: instroom, doorstroom en uitstroom van medewerkers)
- Roadmap
- Plan van aanpak
De onderzoeksfases
Het 7-daags traject waarin we de visie en de scope bepalen, is onderverdeeld in verschillende fases. In onderstaande tabel geven we een overzicht van de diverse fases. Daarna gaan we dieper in op de inhoud van iedere individuele fase.
Fase
Aantal dagen
Fase 0: Voorbereiding
1
Fase 1: Kick-off en workshop eisen en wensen
1
Fase 2: Opstellen overzicht van eisen en wensen
1
Fase 3: Workshop inventarisatie bron en doel systemen
1
Fase 4: Opstellen bron en doel systemen document
1
Fase 5: Workshop Identity en Access management Use Cases
1
Fase 6: Uitwerken top-level Use Cases document
1
Fase 7: Oplevering
1
Totaal
7
Fase 0: De voorbereiding
Om het 7-daags traject zo effectief mogelijk uit te voeren, zijn er enkele voorbereidingen nodig. Een deel van het traject bestaat uit het houden van sessies en workshops bij u op locatie. Belangrijk uitgangspunt hierbij is dat zowel vanuit Fortezza Cybersecurity als bij u mensen vanuit verschillende rollen aan tafel zitten. Zo krijgen we namelijk een vollediger beeld van de organisatie, dan wanneer we enkel met de CEO om tafel zitten.
Voor een succesvolle workshop moeten minimaal de volgende rollen aanwezig zijn:
- Eindverantwoordelijke beheer afdeling
- Security officer/architect
- Proceseigenaar (of teamleider met meeste proces kennis)
- IT Manager
- Project/programma manager
Ook in de volgende fases is het wenselijk dat personen met verschillende functies binnen de organisatie aanwezig zijn.
Voor een productieve sessie is het wenselijk dat voor de bijeenkomst alvast wordt nagedacht over de volgende vraagstukken:
- Welke eisen en wensen stellen wij als organisatie aan een Identity en Access Management oplossing?
- Welke externe systemen willen wij als organisatie koppelen aan een Identity en Access Management oplossing?
- Welke procedures, afspraken en processen kennen wij binnen onze organisatie als het gaat om instroom, doorstroom en uitstroom van medewerkers?
Fase 1: Kick-off en sessie wensen en eisen
De eerste fase begint met een kick-off van het onderzoek. In deze sessie bespreken we de aanpak en de planning van de opdracht. Na de kick-off pakken we direct door met een sessie waarin we de wensen en eisen definiëren die gesteld zullen worden aan een Identity en Access managementoplossing. Fortezza Cybersecurity helpt en adviseert waar nodig om tot een goed pakket van wensen en eisen te komen. Ook onze Technisch Specialist zal daaraan bijdragen.
Aan het eind van deze fase is er voldoende informatie verzameld om een ‘vereisten matrix’ uit te werken. Daarnaast levert het een overzicht op met relevante aandachtsgebieden.
Fase 2: Opstellen van het overzicht van wensen en eisen
Op basis van de inventarisatie in fase 1 zal een Business Consultant van Fortezza Cybersecurity een vereisten matrix – op basis van MOSCOW methode – uitwerken en opleveren.
Hoe zit de MOSCOW prioriteiten methode eruit?
M – must haves: deze eisen (requirements) moeten in het eindresultaat terugkomen
S – should haves: deze eisen zijn zeer gewenst
C – could haves: deze eisen zullen alleen aan bod komen als er voldoende tijd is
W – won’t haves (ook wel would haves genoemd): deze eisen zullen in dit traject niet aan bod komen maar kunnen in de toekomst, bij een vervolgproject, interessant zijn.
Eindresultaat van deze fase is een Identity en Access management requirements matrix. Daarmee zijn we samen in staat op overzichtelijke wijze de wensen en eisen in te zien. De requirements matric kan in een later stadium dienen als input voor het aanbrengen van een fasering in de daadwerkelijke implementatie.
Fase 3: Workshop inventarisatie bron- en doelsystemen
In deze fase zullen de gewenste te koppelen (externe) bron en doelsystemen worden geïnventariseerd. Een goede Identity Management oplossing is namelijk in staat met diverse verschillende systemen te koppelen. Zo kunnen we een zo volledig mogelijke Identity en Access Management oplossing creëren.
Om een inschatting te kunnen maken van de impact, de benodigde hardware, software en resources, is het van belang dat inzichtelijk wordt welke systemen gekoppeld moeten worden. Deze workshop zal tevens worden gebruikt om te inventariseren welke informatie gecommuniceerd gaat worden tussen de verschillende gekoppelde systemen. Deze sessie zal worden begeleid door een Technisch Specialist van Fortezza Cybersecurity.
Aan het eind van deze fase hebben we voldoende input voor een duidelijk overzicht welke systemen gekoppeld moeten worden en wat hun functie is.
Fase 4: Opstellen van een bron- en doelsystemendocument
Op basis van de inventarisatie van de eisen en wensen uit fase 3 zal een Technisch Specialist van Fortezza Cybersecurity een overzicht opleveren waarin de verschillende te koppelen systemen en bruikbare informatie overzichtelijk getoond worden. Dit document kan gebruikt worden als invoer voor een gestandaardiseerde implementatiestrategie voor de verschillende koppelingen die gemaakt moeten worden.
Aan het eind van deze fase ligt er een overzichtsdocument met daarin de te koppelen systemen. Uw organisatie en Fortezza Cybersecurity zijn daarmee in het bezit van een helder en compleet overzicht van de verschillende te koppelen bron- en doelsystemen en hun functie in de Identity en Access managementoplossing. Dit overzicht kan ook als basis dienen om in een later stadium een fasering aan te brengen in de implementatie van het Identity en Access Management systeem.
Fase 5: Workshop Use Cases
Binnen deze fase zullen de drie belangrijkste processen worden geïnventariseerd. Dit wordt gedaan door de bijbehorende use cases te definiëren.
De use cases beschrijven het doel van een proces, welke actoren (personen of systemen) belangrijk zijn tijdens het proces en wat hun functie is. Tijdens deze workshop wordt dus bepaald welke systemen of mensen de nodige taken gaan verrichten om de primaire Identity en Access managementprocessen te stroomlijnen.
De volgende drie Top-Level Use Cases zullen behandeld worden:
- Instroommedewerker
Deze Use Case beschrijft welke functionele en technische processen er plaatsvinden bij het instromen (in dienst komen) van een nieuwe medewerker. - Doorstroommedewerker
Deze Use Case beschrijft welke functionele en technische processen er plaatsvinden bij het doorstromen van een nieuwe medewerker. Hierbij valt bijvoorbeeld te denken aan wijzigingen op het gebied van autorisaties en attributen van een object bijhorende aan de medewerker bij het verhuizen naar een andere afdeling. - Uitstroommedewerker
Deze Use Case beschrijft welke functionele en technische processen er plaatsvinden bij het uitstromen (uit dienst gaan) van een medewerker.
De overige processen worden enkel genoteerd maar niet uitgewerkt tot een complete use case.
Deze sessie wordt begeleid door een Business Consultant en een Technisch Specialist van Fortezza Cybersecurity. Het eindresultaat van deze fase zal als input dienen voor het uitwerken van een Use Case document.
Fase 6: Uitwerken Top-Level Use Cases Document
Op basis van de inventarisatie van de Use Cases uit fase 5 zal een Technisch Specialist van Fortezza Cybersecurity een top-level Use Case document uitwerken en opleveren. Dit document beschrijft de drie belangrijkste Use Cases. Op basis hiervan kunnen in een later stadium Use Cases worden opgesteld per het te koppelen (externe) systeem uit het overzicht dat is opgesteld in fase 4.
Fase 7: Oplevering
Een helder stappenplan, dat is waar we voor gaan. Dankzij het doorlopen van de voorgaande fases kan Fortezza Cybersecurity nu een goed beeld geven van alle facetten waar rekening mee gehouden moet worden bij de implementatie van Identity en Access Management. Deze informatie wordt ook gebruikt bij het samenstellen van de roadmap en een plan van aanpak.
Roadmap
De Roadmap is een totaaloverzicht van activiteiten en afhankelijkheden, inclusief een grove indicatie van volgordelijkheid en benodigde (relatieve) doorlooptijd.
Plan van Aanpak
Het plan van aanpak geeft inzicht in hoe de implementatie van de verschillende componenten uit de roadmap opgepakt worden. Verder wordt ingezoomd op de cruciale onderdelen (bijvoorbeeld koppelen met het EPD) van de roadmap en waar nodig een Proof of Concept (POC) gedefinieerd. Met een POC kan er snel en op kleinschalige wijze aangetoond worden of de verschillende onderdelen van de roadmap technisch mogelijk zijn en voldoen aan de eisen.
De onderzoeksfases in het kort
EISEN & WENSEN
WORKSHOP
OPSTELLEN/UITWERKEN
INVENTARISATIE DOEL
EN BRON SYSTEMEN
WORKSHOP
OPSTELLEN/UITWERKEN
USE CASES
WORKSHOP
UITWERKEN
ROADMAP
Scope
Om echt iets voor elkaar te kunnen betekenen en het traject succesvol af te ronden, is het belangrijk om helder te maken wat we nodig hebben.
De beste resultaten behalen we wanneer:
- Er vanuit de organisatie wordt gezorgd voor een vast aanspreekpunt met voldoende kennis van zaken van de bestaande werkomgeving en voldoende mandaat om zaken te regelen.
- Er vanuit de organisatie wordt gezorgd voor voldoende beschikbaarheid bij medewerkers met kennis van deze opdracht.
- Er vanuit de organisatie wordt gezorgd dat de nodige ruimtes en resources beschikbaar zijn gedurende traject.
- Er wordt verondersteld dat de personen die meedoen aan de workshops op zijn minst kennis hebben van de basisprincipes van Identity en Access Management.
- Uw organisatie zelf verantwoordelijk is voor de planning rondom de verschillende te houden workshops.
