Besturing iAM-projecten onder de MAAt

Besturing IAM-projecten onder de maat
ITExpert
Te veel gericht op technologie, ongemotiveerd, te eigengereidheid
De governance van projecten voor identity- & accessmanagement is een vak apart. Veel
projecten mislukken. Rob van der Staaij belicht de belangrijkste oorzaken en laat zien wat
er moet gebeuren. In het bijzonder een ‘Project Management Office’ kan helpen het project
meer structuur te geven.
menselijke factoren die risico vormen voor IAM-project
Factor
Hoe tegemoet te treden
Zich gepasseerd of onvoldoende betrokken voelen
Zorgpunten aanhoren en het gevoel geven dat zijn of haar inbreng er
werkelijk toe doet
Uitnodigen bij projectmeetings en andere overleggen, ook al is er echt
geen rol voor de betrokkene
Zich belangrijker voelen en gedragen dan in werkelijkheid
het geval is
Gevoel van belangrijkheid in stand houden, maar dit wel in balans houden
met het belang van de overige betrokkenen
Er op toezien dat de voortgang van en de sfeer binnen het project niet
worden geschaad
Niet willen opgeven van oude werkwijze of huidige tooling
Op basis van voldoende en steekhoudende argumenten verduidelijken dat
oude werkwijze of huidige tooling niet langer houdbaar zijn
Verwijzen naar visie en strategie
Uitleg geven over nieuwe tooling en processen
Rol geven bij totstandkoming van nieuwe IAM-omgeving
Zaken anders of sneller willen tijdens project
Uitleggen dat een IAM-project complex is en zorgvuldigheid vereist
Verwijzen naar projectplan
Angst om aan invloed of zelfs baan te verliezen
Toelichten dat identity & access management juist kansen biedt, doordat
nieuwe expertise nodig is en opgebouwd moet worden
door: Rob van der Staaij
H
et naar behoren optuigen en
beheersen van een project voor
identity- & accessmanagement
(IAM) blijkt voor veel organisaties
een zeer lastige taak. Veel
IAM-projecten mislukken of lopen aanzienlijke
vertragingen op door oorzaken die stuk voor
stuk met ondermaats projectmanagement,
maar vooral met slechte governance te maken
hebben. Gebrekkige besluitvormingsprocessen
en het ontbreken van duidelijke prioriteiten en
doelstellingen horen zonder meer thuis in de
topdrie van oorzaken van het mislukken van
IAM-projecten. Het te veel focussen op
technologie in plaats van de veel belangrijkere
processen eromheen is eveneens goed voor een
topdrienotering van oorzaken van IAM-debacles. Weerstanden, niet gemotiveerd zijn en
eigengereidheid behoren tot de menselijke
factoren die bijdragen aan de lijst van oorzaken
van IAM-fiasco’s. De gevolgen zijn vaak niet
mis: kostenoverschrijdingen, functionele
tekortkomingen, het niet halen van deadlines
en gezichtsverlies.
Er blijkt nogal wat nodig om een IAM-project
tot een goed einde te brengen. Niet alleen moet
het project op de juiste wijze ingericht en
bestuurd worden, ook de juiste mensen moeten
erbij betrokken worden. Dat vergt aandacht,
een goede voorbereiding en – onvermijdelijk
– tijd. Om een IAM-project op de juiste wijze te
kunnen inrichten, is het eerst nodig om alle
onderdelen te identificeren die hiervan deel
uitmaken. Zoals dat bij elk project het geval is,
kunnen binnen een IAM-project een aantal
faseringen worden onderscheiden die ieder hun
eigen activiteiten kennen. Veel hiervan zijn
open deuren. Tijdens de planning- of beginfase
wordt een businesscase opgesteld en worden het
projectplan en de projectstartarchitectuur
opgesteld, de projectorganisatie opgezet en het
budget bepaald. Tijdens de designfase worden
de IAM-infrastructuur en de processen
hieromheen, zoals het registreren van
identiteiten en het toekennen van autorisaties,
gedefinieerd. De realisatiefase omvat de
selectie van de productsuite, het implementeren van de technologie, het inrichten van de
processen en, last but not least, training en
voorlichting.
Abracadabra
Minder evident, maar minstens zo belangrijk
zijn het – ergens aan het begin van het project
– op papier zetten en uitdragen van een visie en
strategie. Hierin zet de organisatie uiteen
waarheen men wil gaan met identity- &
accessmanagement en wat de businessdrivers
en implicaties zijn. Deze visie en strategie
vormen de leidraad en het houvast voor alle
betrokkenen. Het document waarin die
Verantwoordelijkheden voor governance
IAM-project
28
beschreven worden, moet beknopt en eenvoudig zijn en aan iedereen, van business tot IT,
bekend worden gemaakt. Identity- & accessmanagement is namelijk voor verreweg de meeste
mensen nog altijd abracadabra. Via interne
publicaties, zoals het intranet en nieuwsbrieven, moet een samenvatting worden gepubliceerd en door middel van workshops moet zo
helder mogelijk worden uitgelegd wat identity& accessmanagement inhoudt en wat de
organisatie ermee wil. Wat vooral cruciaal is, is
dat het visie- en strategiedocument met alle
direct betrokkenen wordt opgesteld. De
opsteller van het document – meestal is dit een
externe adviseur of de projectmanager – moet
hierbij door de ogen van de stakeholders leren
kijken. Hiervoor is het nodig dat de opsteller al
vroeg begint met het opbouwen van een relatie
met de stakeholders. Een goede relatie helpt
ook bij het kunnen omgaan met weerstanden.
Inlevingsvermogen en gevoel voor politieke
verhoudingen zijn hierbij onmisbare eigenschappen. De visie en strategie moeten van tijd
tot tijd worden geëvalueerd en zo nodig worden
verfijnd of aangepast. De stip op de horizon
blijft echter ongewijzigd.
Partij
Verantwoordelijkheid
Senior management
Uitdragen van steun voor project
Governance
Stuurgroep
Oplossen van issues
Toezichthouden op het project
Nemen en zo nodig forceren van beslissingen
Uitoefenen van invloed
Kwaliteitsbewaker
Toetsen van de kwaliteit van het project (quality assurance)
Projectmanager
Rapportage aan de stuurgroep
Bewaken van de voortgang
Beheren van het budget
Communicatie
Tijdens de beginfase worden ook de rollen en
verantwoordelijkheden van de projectmedewerkers vastgesteld en toegekend. Dat kan een
hele dobber zijn, indien de betreffende
personen moeten worden gerekruteerd uit de
gelederen van de organisatie zelf in plaats van
daarbuiten. Het vissen in een kleine vijver
brengt bijna onvermijdelijk met zich mee dat
ook niet optimaal bekwame of gemotiveerde
projectmedewerkers deel zullen uitmaken van
het IAM-project, waarvan het maar de vraag is
of dat in evenwicht kan worden gebracht met
een ervaren en kundige projectmanager die
Projectteam
Rapporteren zodra er afwijkingen dan wel vertragingen
optreden of dreigen op te treden in het project
Voor reacties
en nieuwe
bijdragen van
IT-experts:
Henk Ester,
070 3046812
h.ester@
automatiseringgids.nl
wel van buiten wordt aangetrokken. Over dat
alles heen vindt de governance van het
IAM-project plaats. Governance is voor veel
mensen een nevelig en ongrijpbaar begrip dat
maar moeilijk concreet in te vullen lijkt. Hier
gaat het dan ook menigmaal mis. Governance
betekent letterlijk besturing. Dat houdt in ieder
geval in dat er een daadkrachtige stuurgroep
moet zijn met leden die ook werkelijk in staat
zijn en de autoriteit hebben om, wanneer dat
nodig is, doortastend op te treden. Tegelijkertijd moet worden vastgesteld dat het binnen
veel organisaties een moeizame opgave is om
mensen met voldoende gezag bereid te vinden
zitting te nemen in de stuurgroep. Het is in
ieder geval wenselijk dat de leden voor de
stuurgroep vanuit een brede diversiteit aan
wust een handtekening onder zetten. Governance houdt eveneens in dat alle risico’s bij
voortduring in kaart moeten worden gebracht
om zo snel mogelijk te worden gereduceerd.
Dat zijn niet alleen de gewone projectrisico’s,
zoals gebrek aan resources of onvoorziene
tegenvallers bij de softwareontwikkeling, maar
ook (alweer) menselijke factoren als weerstand,
het gevoel niet voldoende betrokken te worden
of het bewust afwijken van het projectplan.
Besluitvorming en effectiviteit zijn sleutelwoorden bij governance. Het is meer dan
waarschijnlijk dat verschillende belangen in
balans moeten worden gebracht en meerdere
conflicten moeten worden opgelost tijdens het
IAM-project, maar uiteindelijk moet het
project bijdragen aan het tegemoetkomen aan
Governance is voor velen een
nevelig en ongrijpbaar begrip
organisatieonderdelen, functieniveaus en
disciplines worden geworven. Een of meer
businessunitmanagers, de information security
officer, iemand van de auditafdeling, een
HRM-vertegenwoordiger en de manager van de
IT-afdeling zijn hierbij voor de hand liggende
rollen. De stuurgroep komt minimaal eens per
maand bijeen en wordt enkele dagen tevoren
voorzien van de agenda en alle relevante
informatie.
Essentieel is ook dat het hogere management
achter het IAM-project staat, of dit nu de
managing director of de raad van bestuur is. Het
management moet het visie- en strategiedocument letterlijk onderschrijven en hier welbe-
de businessdrivers waar iedereen achter zou
moeten staan. Het is daarnaast goed te
onderkennen dat de governance van een
IAM-project niet op zichzelf staat. Deze moet
worden gestroomlijnd met de governance van
verwante disciplines zoals risicomanagement
en in het bijzonder informatiebeveiliging. Dat
wil echter geenszins zeggen dat identity- &
accessmanagement een subdiscipline vormt
van informatiebeveiliging. Het heeft er sterke
raakvlakken mee en op onderdelen is sprake
van overlap, maar de businessdrivers voor IAM
zijn breder. Zo is efficiency een belangrijke
IAM-businessdriver die weinig van doen heeft
met informatiebeveiliging.
Standaarden
Een PMO (Project Management Office) helpt
om het IAM-project meer structuur te geven,
een team of afdeling die projectstandaarden en
-methoden vaststelt en hulp biedt bij het
uitvoeren van projecten. Een PMO kan ook een
tijdelijke aangelegenheid zijn en alleen voor de
duur van een project worden opgezet. Het PMO
faciliteert de activiteiten van het IAM-project
en verschaft hulpmiddelen, zoals tools voor het
beheren van de planning en het budget.
Daarnaast stelt het PMO mensen beschikbaar
die helpen het project te organiseren, zoals een
projectmanager, (deel)projectleiders en een
projectsecretaresse. Ook het regelen van een
projectruimte behoort doorgaans tot het
takenpakket van het PMO. Dit laatste klinkt
simpel, maar blijkt in de praktijk dikwijls een
hele uitdaging. Projectmedewerkers moeten
zich niet zelden verspreiden door de organisatie
en aanschuiven op verschillende afdelingen
wegens ruimtegebrek. Dat is allerminst
bevorderlijk voor de communicatie en
coördinatie binnen het IAM-project. Een
veelvoorkomend manco bij het PMO is het
ontbreken van een adequate aansturing
hiervan. Dit zou moeten gebeuren onder
auspiciën van de stuurgroep en valt
eveneens onder de noemer governance.
»
Rob van der Staaij
(www.robvanderstaaij.nl) is
adviseur op de terreinen
identity- & accessmanagement, cybersecurity en
privacy.
29

Download Report