`Denken in ketens is essentieel`

Woningcorporatie De Alliantie bevindt zich midden in een digitale transformatie, waarbij de focus ligt op datagedreven werken en digitalisering. Afgeleide doelstelling is dat het Identity & Access Management (IAM) voor iedere medewerker – intern en extern – goed geregeld moet zijn. Zo kan een veilige werkomgeving worden geboden. Projectleider Jeroen Riedstra en rollenbeheerder Yvonne Karbodin vertellen waarom er gekozen is voor SmartAIM, hoe de implementatie is verlopen en wat het De Alliantie oplevert.

 

De woningmarkt staat al een tijd flink onder druk en de verwachting is dat dit de komende jaren alleen maar verder toeneemt. Er zullen op elk vlak meer huizen nodig zijn: voor gezinnen, eenpersoonshuishoudens en senioren. Daarom werkt De Alliantie aan betaalbare woningen voor de sociale huur en de vrije sector. De woningcorporatie verhuurt, onderhoudt, bouwt en verkoopt woningen in een aaneengesloten woningmarktgebied in de regio’s Amsterdam, Almere, Amersfoort en Gooi en Vechtstreek.

“Binnen de branche lopen we voorop op het gebied van innovatie en verduurzaming. Met behulp van data en digitalisering proberen we onszelf en onze dienstverlening continu te verbeteren. Zo zorgen we ervoor dat we klaar zijn voor de toekomst, op elke schakel van onze keten”, licht projectleider Jeroen Riedstra toe. Zo’n anderhalf jaar geleden kwam hij in dienst bij De Alliantie, nadat hij zijn eigen bedrijf had verkocht en in een tussenjaar zijn vaardigheden had verdiept op het gebied van data analytics, data science en Scrum.

Na zijn studie Computer Science aan de Universiteit van Amsterdam werkte hij eerst jarenlang in verschillende IT- en projectmanagementrollen bij ING en de Rabobank. Hij specialiseerde zich onder meer in implementatietrajecten van ERP-, HR-, Finance- en data warehousingsystemen. “Bij de Rabobank werken tienduizenden medewerkers in tientallen landen. Ik was op zoek naar een kleinere werkgever met een minder commerciële insteek. Bovendien was ik op zoek naar een organisatie met een socialer gezicht.” Hij kwam uiteindelijk uit bij de Alliantie, dat ‘iedereen een passend thuis’ als missie heeft. Er staan zo’n 650 medewerkers op de loonlijst, daarnaast werken er nog een flink aantal externen. De Alliantie is een van de grotere woningcorporaties met 55.000 verhuurbare eenheden.

Vernieuwd applicatie- en datalandschap
De Alliantie is haar applicatie- en datalandschap aan het vernieuwen. Op die manier wil de woningcorporatie naadloze ervaringen bieden voor huurders en medewerkers en de flexibiliteit verhogen. Ook staat data gedreven werken hoog op de agenda. De woningcorporatie gebruikt veel verschillende systemen, applicaties en tools, zoals Panorama, een portaal voor medewerkers en huurders, ontwikkeld op de platformen van OutSystems en BeInformed, het ERP-systeem Tobias 365 en documentsmanagementsysteem ShareWorX – beide van leverancier Aareon. Daarnaast wordt er gewerkt met de Office-apps van Microsoft 365 en diverse vastgoedapplicaties. De BI-tool die wordt gebruikt om gegevens op te halen en te visualiseren uit het datawarehouse is Power BI van Microsoft.

Het eerste project dat bij De Alliantie op het pad van Jeroen kwam, was de implementatie van een nieuw Identity & Access Management (IAM)-systeem. “Met het systeem dat in gebruik was liepen we helaas tegen allerlei knelpunten aan. Dit systeem bleek prima geschikt voor green field implementaties, maar bij ons draaien nog best wat legacy systemen. We liepen keer op keer tegen bepaalde zaken aan in het uitvoeren van grotere opschoonwerkzaamheden. Bovendien had het systeem onvoldoende rapportagefuncties. Dus hebben we gezamenlijk bepaald dat we moesten overgaan op plan B.”

Role Based Access Control
Nog voor zijn eerste maand bij De Alliantie erop zat, werd de IAM-situatie geëvalueerd: waar staan we nu en waar willen we naartoe? De woningcorporatie had Role Based Access Control (RBAC) als grondslag voor identiteit- en toegangsbeheer geselecteerd. Maar ook de invoering van de BIC (Baseline Informatiebeveiliging Corporaties, gebaseerd op ISO27001) – waarmee woningcorporaties richtlijnen krijgen om hun informatiebeveiliging te verbeteren – wezen in de richting van een verstevigd toegangsbeheer. Hiervoor is een juist werkende IAM-oplossing essentieel, inclusief terugkoppeling vanuit de aangesloten systemen. Bovendien moeten de huidige autorisaties een volledig onderdeel van het IAM-proces zijn en moet er sprake zijn van een goede rapportage.

IAM in control, dat ondersteuning leverde tijdens de implementatie van het vorige IAM-systeem, attendeerde De Alliantie op de oplossing van SmartAIM, waarmee het een strategisch partnerschap heeft. SmartAIM werd uitgenodigd voor een demo en de Alliantie was erg te spreken over wat er allemaal mogelijk was met de verschillende modules van de IAM-oplossing. Na deskresearch naar eventueel andere oplossingen, viel de keuze uiteindelijk op SmartAIM. Jeroen: “Andere pakketten bedienen vaak grotere organisaties, zijn doorgaans prijziger en zijn minder dichtbij voor de klant. SmartAIM was voor ons een goede pasvorm.”

Waarom SmartAIM?
Rick Thiele, IAM-consultant bij IAM in control, dat advies en ondersteuning bood bij de datamigratie en implementatie van SmartAIM vertelt dat één van de eisen bij de migratie naar SmartAIM was dat er ‘as-is’ overgegaan moest worden. “Alle acties, zoals het aanmaken van AD-accounts, mailboxen en homedirectories, moesten door SmartAIM worden overgenomen. Ook moesten alle autorisaties zoals ze nu zijn uitgegeven behouden blijven.”

Yvonne Karbodin, sinds ongeveer een jaar werkzaam bij de woningcorporatie en in dit project aangewezen als rollenbeheerder, legt uit waarom er is gekozen voor SmartAIM. “Met deze oplossing reduceren we veel handmatig werk en administratieve taken in de in-, door- en uitstroomprocessen. Zo kunnen we nu ook massamutaties doen, wat gigantisch veel werk en tijd bespaart. Bovendien kunnen we nu eenvoudig rapportages maken en ontstaat er volledige controle over toegangsrechten voor gebruikers van systemen en data.”

Goed geolied team
Jeroen benadrukt dat de samenwerking met SmartAIM en IAM in control heel soepel is verlopen vanwege de korte lijntjes – niet alleen tussen IAM in control en SmartAIM, maar ook met de verantwoordelijken bij De Alliantie. “We werkten met z’n allen aan de beste oplossing – we stonden niet tegenover elkaar maar naast elkaar. Dat is echt een belangrijk verschil”, licht Yvonne toe. Ook SmartAIM kijkt terug op een prettige samenwerking. Er werd een goed geolied team gevormd om de implementatie in goede banen te leiden, dat in totaal uit zo’n 12 personen bestond.

SmartAIM leverde onder meer een Delivery Manager en een Principal Consultant. Na de implementatie stelde SmartAIM ook een Accountmanager als vast aanspreekpunt voor alle vragen en issues beschikbaar. IAM in control verzorgde de inrichting en het technisch applicatiebeheer. Binnen De Alliantie werden naast projectleider Jeroen en rollenbeheerder Yvonne ook nog een functioneel applicatiebeheerder en een technisch beheerder voor de Active Directory (AD) aangewezen. Daarnaast werd er intensief geschakeld met de enterprise architect van kantoorautomatiseerder OpenLine. Tot slot was ook de afdeling Mens & Organisatie nauw bij de implementatie betrokken, aangezien het HR-systeem – in dit geval Visma – het bronsysteem voor SmartAIM is.

Na een soepel verlopen implementatietraject is SmartAIM binnen vijf maanden tijd live gegaan. Eerst werd de module Auditbox gedraaid, om alle autorisaties inzichtelijk te maken. Zo ontstond er direct inzicht in de huidige situatie en te nemen verbeterstappen. Na deze fase is SmartAIM volledig geïmplementeerd inclusief de Identity Registration. De Attestatie-module is nog in de testfase. Met de Attestatie-module kunnen managers aangeven of toegewezen autorisaties nog kloppen.

Autorisatieplan naar hoger plan
Nadat SmartAIM operationeel is geworden is het RBAC-project weer verder opgepakt door IAM in control en de rollenbeheerders van De Alliantie. Met behulp van de rapportagemogelijkheden in SmartAIM worden momenteel rollen en autorisaties ingericht en wordt het autorisatiesmodel naar een hoger plan getild. Dit proces wordt ook wel role mining genoemd.

SmartAIM hanteert de IST- en SOLL-aanpak, waardoor de huidige situatie in kaart wordt gebracht en organisaties stap voor stap kunnen richting de gewenste situatie kunnen gaan. Jeroen: “Zo wordt het beheer in de toekomst een stuk eenvoudiger.” Yvonne vult aan: “Als de AD leesbaarder wordt, is de kans ook groter dat leidinggevenden hun verantwoordelijkheid nemen bij het toekennen en intrekken van autorisaties. En daar willen we naartoe. We willen de informatie zo begrijpelijk mogelijk maken voor managers, zodat zij hun werk goed kunnen uitvoeren.”

Drie lessons learned
Jeroen heeft nog wel een aantal tips voor organisaties die aan het begin staan van een IAM-implementatie. “Onderschat het aantal schakels voor het koppelen van SmartAIM aan Active Directory en alle daarbij benodigde partijen niet. Zeker als onderdelen hiervan ge-outsourced zijn. Betrek ze allemaal in je team. Het lijkt iets kleins, maar hier gaat in de praktijk veel tijd in zitten.”

Een tweede tip is dat je de livegang beter halverwege de maand kunt plannen dan aan het eind van een maand, omdat er bij de overgang van maanden altijd veel mutaties zijn op het gebied van in-, door- en uitstroom. Jeroen: “Dit brengt bij het overzetten van systemen extra handelingen en kans op fouten met zich mee.”

En last but nog least: laat je autorisatiebeleidstraject meelopen met de implementatie van het systeem. “Ga niet achteraf pas denken: zit ons beleid wel goed in elkaar? En wie is waarvoor verantwoordelijk? Trek liever iets meer tijd uit voor het hele traject, zodat alles in één keer goed staat. Denk en organiseer in ketens. Zo worden het identiteit- en toegangsbeheer en jouw in-, door- en uitstroomprocessen pas echt efficiënt en veilig.”