Tips voor je reorganisatie met IAM

• Product en technologie

Reorganisaties heb je in soorten en maten. Soms beperkt het zich tot wat aanpassingen binnen één afdeling, maar meestal zijn de veranderingen ingrijpender. Complete afdelingen worden opgeheven of samengevoegd, het functiehuis wordt herbouwd of de bedrijfsprocessen gaan op de schop. Ongeacht het doel en de omvang van een reorganisatie, het succes valt of staat met de voorbereiding. Je moet mensen meekrijgen in de plannen, bij grotere veranderingen kan een sociaal plan nodig zijn, en er moet een implementatieplan worden uitgewerkt. En juist bij die implementatie speelt je IT-afdeling een belangrijke rol en kan het IAM-platform een belangrijk hulpmiddel zijn.

Wat is een reorganisatie vanuit IAM perspectief?

Pas bij de implementatie weet je of een reorganisatieplan echt werkt. Dat is het moment waarop mensen daadwerkelijk starten in een nieuwe functie, andere taken krijgen en wellicht naar een andere afdeling verhuizen. En waar organisatieadviseurs puzzelen met de complexe samenhang tussen mensen, verantwoordelijkheden, processen en afdelingen, heb je als IT-team te maken met een vergelijkbare uitdaging binnen het IT-landschap.

Tot dan toe verstrekte het IT-team licenties, accounts en rechten aan de hand van de bestaande bedrijfsvoering. Nu moet je gebruikers vanaf een afgesproken moment voorzien van andere toegangsrechten, passend bij hun nieuwe functie, afdeling of vestiging. Mensen verwachten een probleemloze overgang en de grootste angst is een reorganisatie die vastloopt in een massale stroom telefoontjes en berichten naar de servicedesk, omdat ‘het allemaal niet werkt’.

De puzzel is nog ingewikkelder, omdat je een reorganisatie meestal niet als een ‘big bang’ kunt plannen. In de praktijk zullen teams en afdelingen gefaseerd overgaan naar de nieuwe organisatie, en dat betekent dat het omzetten van accounts en applicatierechten volgens diezelfde tijdlijnen moet plaatsvinden. Ook wil je soms een periode ‘schaduwdraaien’; medewerkers die al toegang hebben tot nieuwe applicaties en gegevens, wil je ook nog tijdelijk toegang geven tot hun eerdere systemen. Zodat mensen geleidelijk elkaars werkzaamheden kunnen overnemen en elkaar nog kunnen ondersteunen. Maar ook weer niet te lang, om beveiligingsrisico’s te beperken.

Het is natuurlijk onbegonnen al die wijzigingen handmatig door te voeren. Gelukkig kan een IAM-oplossing als HelloID hier enorm bij helpen.

Hoe helpt IAM je tijdens een reorganisatie?

HelloID automatiseert het account- en rechtenbeheer met behulp van Role Based Access Control (RBAC)[1]. Dat houdt in dat je niet per individuele gebruiker apart bepaalt welke accounts en rechten iemand nodig heeft. In plaats daarvan automatiseer je dat aan de hand van zogeheten ‘gebruikersattributen’ die worden bijgehouden in de HR-applicatie of een ander bronsysteem. Voorbeelden van zulke attributen zijn iemands functie, afdeling, vestiging of behaalde diploma’s. We gebruiken vervolgens business rules om vanuit zulke attributen af te leiden welke accounts en rechten iemand moet krijgen. Een voorbeeld:

Gebruikers met de functie ‘Sales manager’ krijgen een account op het CRM-systeem, met het recht om klantdossiers aan te maken en ze te bewerken.

Met een beperkte set van zulke regels kun je het rechtenbeheer dus grotendeels automatiseren. De verzamelde set business rules van de organisatie noemen we het rollenmodel.

Dit rollenmodel is ook enorm nuttig als je gaat reorganiseren. We hoeven dan niet per individuele gebruiker te bepalen welke accounts en rechten moeten worden aangepast. Integendeel, we kunnen de meeste wijzigingen automatisch doorvoeren door business rules aan te passen, te verwijderen of nieuwe aan te maken. Zo kunnen we de rechtenuitgifte gedurende de reorganisatie eenvoudig up-to-date houden.

Hoe gebruik je business rules bij je reorganisatieplannen?

Hoe werkt dit in de praktijk? We geven een paar voorbeelden.

1. Verandering van functie, afdeling of vestiging

Als medewerkers in het kader van een reorganisatie doorstromen naar een andere – maar al wel bestaande - functie, afdeling of vestiging, wordt dit automatisch verwerkt binnen HelloID. In het HR-systeem wordt dan bijvoorbeeld iemands afdeling gewijzigd, waarna HelloID aan de hand van de bijbehorende business rule(s) automatisch de accounts en rechten aanpast. Dit doorstroomproces werkt altijd zo, ongeacht of iemand individueel een andere rol krijgt, of dat dit gebeurt als onderdeel van een reorganisatie. Wel gaat het bij een reorganisatie meestal om grotere aantallen wijzigingen. HelloID detecteert zulke bulkwijzigingen en vraagt dan de beheerder eerst om een extra bevestiging om eventuele vergissingen te voorkomen.

2. Vertrek uit de organisatie

Als gevolg van reorganisaties kan het ook voorkomen dat collega’s de organisatie gaan verlaten. Dit is natuurlijk allereerst iets persoonlijks dat goed moet worden begeleid vanuit het management en het HR-team. Echter, HelloID kan vervolgens wél de administratieve afhandeling vereenvoudigen. Met een goed geconfigureerd uitstroomproces zorg je dat accounts automatisch tijdig worden geblokkeerd om datalekken te voorkomen. Wel kunnen zo nodig specifieke rechten nog tijdelijk actief blijven, zodat oud-collega’s gedurende die periode nog toegang hebben tot bijvoorbeeld loonstroken en jaaropgaves.

3. Aangepaste taken en verantwoordelijkheden

Vaak worden als onderdeel van reorganisaties bestaande functies anders ingevuld, of krijgen afdelingen andere taken. Binnen het HR-systeem verandert dan feitelijk niets, want iemand houdt administratief dezelfde functie, afdeling etc. Wel veranderen de werkzaamheden en heb je soms andere IT-faciliteiten nodig. Daarvoor moet de betreffende business rule worden aangepast met andere permissies. Zulke wijzigingen kun je binnen HelloID eenvoudig configureren. Je kunt desgewenst ook nog een overgangsperiode overwegen, waarin gebruikers zowel de oude als de nieuwe rechten krijgen, om de overgang zo eenvoudig mogelijk te maken.

4. Nieuwe functies, afdelingen of vestigingen

Als onderdeel van de reorganisatie kan het functiehuis worden uitgebreid met nieuwe functies. Ook kunnen er nieuwe afdelingen worden opgezet en extra vestigingen worden geopend. Medewerkers kunnen binnen het HR-systeem dan organisatorisch worden gekoppeld aan zo’n nieuwe functie, afdeling en/of locatie. Als daar ook specifieke licenties en rechten bij horen, kun je hiervoor binnen HelloID extra business rules aanmaken.

Combinaties van wijzigingen

Dit waren wat eenvoudige voorbeelden. In werkelijkheid zijn er allerlei combinaties mogelijk. Mensen met identieke functies kunnen straks bijvoorbeeld net even verschillende rechten nodig hebben, afhankelijk van de specifieke afdeling waar ze werken. We kunnen dit oplossen met business rules die niet langer alleen die functie gebruiken als conditie, maar voortaan ook iemands afdeling. Of er is een aparte business rule nodig per vestiging, omdat we ook de instellingen voor de toegangspasjes verstrekken vanuit HelloID. Bottomline is dat we aan de hand van het HelloID rollenmodel de overgang van de oude bedrijfsvoering naar de nieuwe zo goed mogelijk kunnen ondersteunen.

Ad hoc aanpassingen met Service Automation

Hierna begint een nazorgperiode. In de praktijk zullen er na een reorganisatie nog regelmatig zaken ontbreken, terwijl iemand ze wel nodig heeft in de nieuwe situatie. Sowieso kun je met business rules vaak maar zo’n 80% van alle rechten automatiseren. De overige 20% verstrek je meestal individueel. Zo hebben medewerkers regelmatig neventaken – ze zijn bijvoorbeeld BHV-er - die niet zijn te herleiden uit HR-gegevens. En bij stafpersoneel zijn IT-behoeftes vaak niet zozeer afhankelijk van hun functie of afdeling, maar van de specifieke projecten waar ze aan werken.

Met de HelloID Service Automation functionaliteit kun je voorzien in zulke individuele en ad hoc aanpassingen. Via deze module kun je online formulieren aanmaken, waarmee bijvoorbeeld helpdesk medewerkers de meest gangbare gebruikersverzoeken eenvoudig kunnen afhandelen. Ook kunnen medewerkers via een self-service portaal sommige faciliteiten zelfstandig aanvragen, waarna de beoordeling en verwerking automatisch plaatsvindt. Zo zorg je dat na de reorganisatie medewerkers snel kunnen worden voorzien van ontbrekende zaken.

De reorganisatie finetunen met governance tools

Als we enige tijd in de nieuwe organisatie werken, hebben we waarschijnlijk gaandeweg veel ontbrekende of onjuiste instellingen tussentijds opgelost via de servicedesk of het self-service portaal. Dan wordt het tijd om de bestaande situatie opnieuw te beoordelen. Is het rollenmodel nog wel actueel? Moeten er business rules worden aangepast of toegevoegd? Ook kan er gaandeweg vervuiling zijn ontstaan, omdat in de hectiek van de reorganisatie rechten handmatig zijn toegekend, terwijl die niet structureel nodig zijn.

Om de actuele rechtensituatie te evalueren, beschikt HelloID naast log- en rapportagefuncties inmiddels ook over uitgebreide governance features. Zo kun je met behulp van Role Mining logische verbanden herkennen tussen gebruikers, hun rol en de verstrekte rechten. Hiermee kun je het rollenmodel verder verfijnen en optimaliseren. De Toxic Policies oplossing voorkomt daarbij de uitgifte van conflicterende toegangsrechten. En met Reconciliation beschikken we over een handige tool om eventuele rechtenvervuiling binnen systemen eenvoudig te detecteren en te corrigeren. Ook is er een Recertification functie om individueel verstrekte rechten, periodiek opnieuw te laten beoordelen. Zo voorkomen we dat ad hoc rechten onnodig lang actief blijven binnen je IT-omgeving.

Reorganisatie-topics per sector

Een IAM-platform als HelloID is dus een hulpmiddel bij reorganisaties. Met automatische provisioning zorgen we dat de aangepaste organisatie, rolverdeling en werkzaamheden relatief eenvoudig kunnen worden omgezet naar nieuwe accounts en toegangsrechten. Service Automation helpt vervolgens om het rechtenbeheer individueel te ‘finetunen’ en met behulp van de Governance functies kunnen we dit gaandeweg nog verbeteren en optimaliseren.

Daarbij zijn er natuurlijk wel specifieke uitdagingen per branche. Bij een zorginstelling liggen de zwaartepunten natuurlijk anders dan – noem eens wat - een retailer. We verzamelden daarom wat voorbeelden van aandachtspunten per sector.

Zorginstellingen

In zorginstellingen moet binnen Identity and Access Management extra aandacht zijn voor de fijnmazige toegangsbeveiliging tot patiëntgegevens in de zorgsystemen. Uitgangspunt is het zogeheten ‘least privilege’ concept, waarbij iedereen alleen toegang heeft tot die medische persoonsgegevens die nodig zijn voor de eigen werkzaamheden. Extra ingewikkeld daarbij is dat veel inhuurkrachten worden ingezet, mensen vaak meerdere contracten hebben en er steeds wisselende diensten zijn. De integratie van bijvoorbeeld roostersystemen vraagt dan extra aandacht. Ook zijn de logging en auditing van de toegang tot die medische systemen cruciaal.

Onderwijsinstellingen

Onderwijsinstellingen combineren vaak meerdere onderwijstypes, studies of faculteiten. Daarbij horen verschillende groepen medewerkers, studenten, leerlingen en onderwijsprocessen, waarvoor specifieke systemen en ‘identity lifecycles’ worden beheerd. Tegelijk moet er de flexibiliteit zijn om tijdelijke docenten en vervangers snel te voorzien van de juiste gegevens, en omdat studenten en vooral minderjarige leerlingen een kwetsbare groep vormen, moet hun privacy extra goed worden bewaakt. Omdat binnen het onderwijs jaarlijks – of zelfs ieder semester – veel wijzigingen tegelijk moeten worden doorgevoerd, is dat een extra aandachtspunt.

Overheidsorganisaties

Bij overheidsorganisaties is het cruciaal dat ook na reorganisaties de compliance, integriteit en functiescheiding gegarandeerd blijven. Vooral het rechtenbeheer binnen zogeheten zaaksystemen vraagt veel aandacht, zodat medewerkers alleen toegang houden tot de dossiers waarvoor zij zelf verantwoordelijk zijn. En dat is extra belangrijk omdat er in deze systemen vaak gevoelige persoonsgegevens van burgers worden verzameld en verwerkt. Om integer te kunnen opereren, is een heldere functiescheiding erg belangrijk en moet men op het gebied van privacy en informatiebeveiligingsnormen een voorbeeldrol vervullen.

Retailers

De retail is van nature gericht op snelheid en dynamiek in een markt met vaak relatief kleine marges. Ook het personeelsbeheer is dynamisch met veel tijdelijke en parttime medewerkers, dus je IAM moet zo zijn ingericht dat je wijzigingen snel en eenvoudig kunt doorvoeren. Veel medewerkers moeten toegang hebben tot kassasystemen, het voorraadbeheer en de logistieke applicaties, en het is dus belangrijk dat fouten en misbruik wordt voorkomen. Omdat er steeds meer sprake is van ketenintegratie, moet de toegang van partners en leveranciers tot applicaties en data goed worden beheerd en gemonitord. Ook de veilige omgang met persoonsgegevens van consumenten vraagt extra aandacht.

Non-profit

Bij non-profitorganisaties is het erg belangrijk dat de persoonsgegevens en financiële data in onder andere CRM- en donateurssystemen extra goed worden beschermd. Ook is er veel aandacht nodig om de verschillende type gebruikers te provisionen en te beheren. Er zijn naast reguliere medewerkers meestal veel vrijwilligers en externe partijen betrokken, en vaak zijn er veel projectgebonden en tijdelijke accounts in gebruik. De uitbesteding van de IAM-processen naar de cloud is hier extra belangrijk om zo de IT-kosten te beperken.

Meer weten over HelloID?

We hebben in deze blog wat voorbeelden gegeven hoe je HelloID kunt inzetten om binnen een reorganisatie de bestaande account- en toegangsrechten over te zetten naar de nieuwe situatie. Tegelijk zijn er nog tal van andere scenario’s. Je kunt bijvoorbeeld via een van de connectoren relatief eenvoudig nieuwe applicaties aansluiten. Ook zijn er allerlei fusie-scenario’s mogelijk, waarin je bijvoorbeeld HR-gegevens van twee organisaties kunt combineren. En organiseerde je het rechtenbeheer tot nu toe handmatig? Dan is een reorganisatie wellicht hét moment om een IAM-oplossing te introduceren!

Wil je ontdekken wat HelloID voor jouw organisatie kan betekenen? Bezoek de HelloID-pagina of vraag direct een demo aan