Van startup naar scale-up. Wie heeft nog toegang tot wat?

Wanneer moet ik me als scale-up bedrijf zorgen gaan maken over digitaal toegangsbeheer? Als je jezelf als ondernemer die vraag stelt, is het antwoord meestal ‘nu’. Want ook al is je organisatie nog niet enorm groot, al snel wordt het lastig om grip te houden op al je applicaties en gegevens. Zodra de persoon die hiervoor verantwoordelijk is, het spoor bijster raakt tussen de spreadsheets met accounts en toegangsrechten, is het de hoogste tijd voor een structurelere aanpak. Het liefst voordat je te maken krijgt met je eerste datalek. Want dat je wordt gehackt, is tegenwoordig niet de vraag. De vraag is wanneer dat gebeurt en of je dan bent voorbereid.

Hoe kun je dat identiteits- en toegangsbeheer structureel aanpakken? We gaan er in deze blog uitgebreider op in.

Waarom wordt toegangsbeheer moeilijker als je groeit?

Bij identiteits- en rechtenbeheer gaat het om het verstrekken en beheren van accounts, applicatierechten en datatoegang voor medewerkers. Dat beheer wordt ingewikkelder naarmate het aantal collega’s groeit, je meer applicaties uitrolt en de bedrijfsvoering complexer wordt. Toegangsbeheer wordt daarmee echt een organisatievraagstuk als je als startup met enkele medewerkers doorschaalt naar het scale-up niveau met enkele tientallen of zelfs honderden medewerkers.

Vooral omdat bij een scale-up de innovatie meestal centraal staat, wat betekent dat er relatief veel gebruik wordt gemaakt van digitale toepassingen. Dat betreft niet alleen scale-ups die bijvoorbeeld hun eigen SaaS-dienst hebben ontwikkeld. Ook een onderneming in de bouw die prefabproducten ontwikkelt en levert, zal vandaag de dag bovengemiddeld investeren in digitalisering. En hoewel die digitalisering je primair efficiënter en productiever maakt, moeten we bij al die applicaties wél nadenken over het ‘business-eigenaarschap’ ervan, en wie er toegang moet krijgen tot die applicaties, de specifieke features en de data.

Gedurende dat groeiproces zal de organisatie bovendien complexer worden. Niet alleen komen er meer afdelingen, rollen en taken bij, maar ook het relatienetwerk met partners, klanten en toezichthouders wordt ingewikkeld. Ook daar moet je je afvragen wie bij welke gegevens mag komen en waarom.

Wat verandert er in IAM als je opschaalt?

Die groei zie je dus terug in de manier waarop je het account- en rechtenbeheer kunt organiseren. In de startup fase met een paar mensen ligt de nadruk meestal op snelheid en flexibiliteit. Accounts worden handmatig aangemaakt, wachtwoorden worden beheerd via eenvoudige tools of spreadsheets, en processen zijn grotendeels informeel ingericht. Iedereen heeft op dat moment letterlijk wel wat beters te doen.

Zodra je doorgroeit, ontstaat al snel behoefte aan meer structuur en centrale controle. In het gunstige geval trek je zelf de conclusie dat het anders moet, maar helaas is de aanleiding soms ook een eerste ‘cyberincident’ dat iedereen wakker schudt. Organisaties introduceren dan vaak een centrale identity provider, en mechanismen als Single Sign-On (SSO) en Multi-Factor Authenticatie (MFA) worden structureel ingericht.

Omdat tegelijk ook de buitenwereld steeds kritischer zal meekijken als je groeit, ontstaat dan meestal al snel de behoefte het rechtenbeheer echt te automatiseren als een ‘lifecycle proces’. Met behulp van een Identity & Access Management (IAM) oplossing verstrek en beheer je de toegangsrechten, vanaf de onboarding tot en met het afscheid van medewerkers.

We werken dit hierna verder uit in een stappenplan van startup en scale-up tot middelgrote organisatie. Maar eerst inventariseren we nog even de belangrijkste uitdagingen.

5 herkenbare IAM-problemen bij groeiende organisaties

De bovengenoemde centralisatie en automatisering van het identity & access management zijn noodzakelijk om een aantal bekende uitdagingen te tackelen bij groeiende organisaties.

• Ontbrekend lifecycle management. Met steeds nieuwe medewerkers en veranderingen binnen de organisatie, ontstaan er snel fouten als de instroom, doorstroom en uitstroom van personeel niet zijn georganiseerd. Het is niet alleen frustrerend dat een nieuwe medewerker moet wachten op een licentie, maar het is erger als iemand afscheid neemt maar daarna wel gewoon zijn account kan blijven gebruiken. Je wilt mensen op ieder moment van hun ‘identity lifecycle’ automatisch van de juiste IT-faciliteiten voorzien.

• Permission creep. Zonder controle stapelen rechten zich vaak ongemerkt op. Medewerkers krijgen extra toegang bij nieuwe projecten of functiewijzigingen, terwijl eerder verkregen rechten actief blijven. Deze zogeheten privilege creep vergroot de kans op beveiligingsincidenten en de impact ervan. Als een account bijvoorbeeld wordt overgenomen door een hacker, krijgt die direct veel meer rechten dan bedoeld. Met een concept als Role Based Access Control (RBAC) kun je ervoor zorgen dat gebruikers op ieder moment alleen beschikken over de benodigde rechten.

• Ongecontroleerd maatwerk. Niet alle toegangsrechten zijn af te leiden uit iemands rol. Er zijn altijd individuele uitzonderingen, zoals toegang tot een specifieke projectenmap of een Adobe-licentie. Wanneer deze rechten handmatig in losse systemen worden beheerd, gaat het overzicht snel verloren. Rechten blijven actief, terwijl niemand controleert of ze nog nodig zijn. Naast een automatische user lifecycle is er dus behoefte aan goed georganiseerde (self)serviceprocessen.

• Geen inzicht en auditmogelijkheden. Je moet niet alleen accounts en rechten kunnen verstrekken en beheren. Je moet ook desgevraagd direct kunnen aantonen hóe je dat hebt georganiseerd. Wie heeft welke rechten gekregen en op grond waarvan? Zonder een georganiseerd identity & access management raken gegevens verspreid over verschillende systemen, waardoor audits en securityonderzoeken veel tijd kosten.

• Geen structureel verbeterproces. Zeker scale-ups veranderen continu: nieuwe applicaties, andere processen, reorganisaties en nieuwe functies beïnvloeden direct welke rechten nodig zijn. Zonder periodieke evaluatie raakt je rechtenbeheer langzaam vervuild met overbodige accounts, uitzonderingen en verouderde rollen. Daarom is er een continue verbetercyclus nodig om je identiteits- en rechtenbeheer up-to-date te houden en compliant te blijven met de relevante wet- en regelgeving.

Hoe groei je mee met je toegangsbeheer?

Bij de groei van startup naar scale-up zal de eerste focus liggen op het centraliseren van de authenticatie met een identity provider en centraal ingerichte SSO en MFA. In HelloID-termen is dat het zogeheten access management. Maar we zagen al dat dit een basis vormt die al snel te krap wordt voor een scale-up. Dan wordt het noodzakelijk om ook je user lifecycle te automatiseren, de serviceprocessen te stroomlijnen en klaar te zijn voor governance vraagstukken. Dan is een complete IAM-oplossing noodzakelijk en is het erg belangrijk dat je bij de uitrol daarvan een beheerst stappenplan kunt doorlopen. We schetsen een voorbeeld aan de hand van HelloID.

Account- en rechtenbeheer automatiseren

Bij grotere aantallen gebruikers en applicaties is het cruciaal dat je het account- en rechtenbeheer zoveel mogelijk automatiseert. Dit doe je met user provisioning, waarbij je accounts en rechten automatisch verstrekt op basis van eenduidige beleidsregels. Die automatisering kan ingewikkeld zijn, want je hebt te maken met veel gebruikers, een variëteit aan rollen en verschillende systemen. Gelukkig hoef je niet alles in één keer te doen. Je kunt de provisioning geleidelijk uitrollen.

Vaak start je met het koppelen van het HR-systeem als het primaire bronsysteem. Daarin vind je de belangrijkste gegevens die nodig zijn om accounts voor medewerkers aan te maken. Het eerste doelsysteem is meestal de al aanwezige identity provider, en in het verlengde daarvan de kantoorapplicaties en eventueel een IT Service Management systeem.

Ook al begin je met alleen het beheer van deze accounts, toch krijg je als organisatie al veel meer grip op je toegangsbeheer. Van hieruit kun je gaandeweg steeds meer applicaties aansluiten en naast de accounts ook de autorisaties binnen systemen automatiseren. Je bepaalt daarbij zelf de prioriteiten en het tempo.

Service processen automatiseren

Het beheer van individuele gebruikersverzoeken kun je stroomlijnen met service automation. Vaak is de eerste stap zogeheten helpdeskdelegatie. Met intuïtieve online formulieren kunnen ook minder getrainde supportmedewerkers nu zelfstandig IT-beheertaken uitvoeren, zonder het risico dat ze fouten maken in gevoelige backendsystemen. Dat is ook relevant als tijdens de groeifase zulke supporttaken nog worden uitgevoerd naast andere werkzaamheden. Voorbeelden van zulke taken zijn het aanmaken van user accounts, en het toewijzen en ontnemen van toegangsrechten. Als vervolgstap kun je deze taken zelfs eventueel verder delegeren richting managers of zogeheten key users. Ook kun je een selfserviceportaal uitrollen voor eindgebruiker.

De gebruikersverzoeken kunnen worden begeleid door een vooraf gedefinieerde workflow. Die zorgt ervoor dat aanvragen automatisch worden doorgestuurd naar de juiste personen voor goedkeuring, en dat alle stappen consistent en efficiënt worden uitgevoerd. Het systeem kan bijvoorbeeld automatisch controleren of een medewerker aan bepaalde criteria voldoet voordat toegang wordt verleend. Zo houd je als organisatie grip op alle individuele wijzigingen, en zijn alle handelingen traceerbaar.

Governance inrichten

Standaard voorziet een platform als HelloID in logs en rapportages om de correcte werking van de beheerfuncties te controleren en dit aan te tonen richting auditors en toezichthouders. Als vervolgstap kun je de informatievoorziening verder professionaliseren en ook je governance verder inrichten. Denk bijvoorbeeld aan de koppeling van externe rapportage-, monitoring- en analysetools, en de integratie met een SIEM-omgeving (Security Information and Event Management).

Daarnaast kunnen governance tools helpen het bestaande rechtenbeheer periodiek te evalueren en te verbeteren. Bijvoorbeeld met tools om de consistentie tussen systemen te bewaken, conflicterende rechten te voorkomen, individuele rechten opnieuw te certificeren, en de gebruikte beleidsregels te optimaliseren. Deze compliance en governancefuncties kun je gedurende je IAM-programma introduceren. Sommige features zijn direct bij aanvang al nuttig, anderen kun je later uitrollen, afhankelijk van de eigen behoeften.

Samen een IAM-groeipad ontwikkelen?

Bij een groeiende scale-up verschuift het zwaartepunt van de IAM-problematiek dus gaandeweg van de puur technische toegangsbeveiliging naar het organiseren van de toenemende aantallen accounts en toegangsrechten. Hoe zorg je dat al je medewerkers steeds beschikken over de juiste IT-hulpmiddelen.

Handmatig wordt dat al snel chaotisch. Je kunt problemen voorkomen met een goed geautomatiseerde identity lifecycle voor je gebruikers, aangevuld met goed geautomatiseerde serviceprocessen en selfservice. Krachtige governance tools helpen je om dat rechtenbeheer regelmatig te verifiëren, te optimaliseren en te verbeteren.

Belangrijk daarbij is dat je kiest voor een IAM-oplossing die je stap voor stap kunt uitrollen. Beginnend met het accountbeheer van je basissystemen, en doorgroeiend naar het autorisatiebeheer van bijvoorbeeld je ERP- en andere bedrijfsapplicaties. Meer weten over hoe HelloID dit voor je kan regelen?

Bekijk HelloID
Hier maak je kennis met de IAM-oplossing en kun je ook een demo aanvragen.