Identity Management: wat is de ROI?

De maanden september en oktober vormen traditioneel de maanden waarin de budgetaanvragen voor het volgende jaar voorbereid en ingediend gaan worden. Met de NEN 7510 in het achterhoofd, kijken veel ziekenhuizen naar een Identity & Access Management (IAM) oplossing om de User Lifecycle strakker te kunnen inrichten en een goede controle te hebben op wie, waar en wanneer toegang heeft tot belangrijke informatie. Vooral het zorgvuldig toekennen van de rechten die medewerkers hebben op applicaties en systemen (Role Based Access Control) en een snelle en consequente ontmantelingsprocedure bij uit-diensttreding zijn hierbij van belang.

In een tijd met teruglopende IT-budgetten, is het schrijven van een goede busiesscase veelal een must om budget voor een project toegekend te krijgen. Een snelle Return-On-Investment (ROI) is daarbij een sterke motivator om een Identity Management project opgenomen te krijgen in het budget voor het komende jaar.

In dit artikel zal ik een aantal belangrijke punten toelichten die sterk bijdragen aan een korte terugverdientijd van een Identity & Access Management (IAM) oplossing en daarmee de budgetaanvraag flink kunnen versoepelen!

Minder ICT-personeel
Deze besparing klinkt met name de medewerkers op de ICT-afdeling niet altijd even prettig in de oren, maar voor het management is dit zeker in economisch lastige tijden wel degelijk aantrekkelijk. Doordat het aanmaken van accounts, het doorvoeren van wijzigingen, unlock/reset password, aanpassen groepslidmaatschappen, verwijderen van accounts en vele andere veel voorkomende beheerswerkzaamheden in slechts enkele minuten of zelfs volledig automatisch plaats vindt, kan worden bespaard op de hoeveelheid personeel op de servicedesk of helpdesk. Op ICT-afdelingen met een hoge werkdruk kan de inzet van een Identity Management (IDM) oplossing een sterke verlaging van de werkdruk teweeg brengen. Dit heeft als positief effect minder ziekteverzuim, kleinere kans op fouten en snellere doorlooptijden bij het afhandelen van calls.

Snellere service
De doorlooptijd voor het aanmaken van een account voor een nieuwe medewerker vanaf aanvraag vanuit de organisatie tot aan realisatie loopt bij veel organisaties al snel op tot 1 - 2 weken als gevolg van drukte op de helpdesk/servicedesk. Met name als een afdelingsmanager vergeten is om een nieuw personeelslid aan te melden bij de ICT afdeling, kan een lange doorlooptijd zeer hinderlijk zijn. Immers, de nieuwe medewerker begint en kan niet bij zijn mailbox, heeft geen toegang tot de printers, netwerkmappen enz.
Met het implementeren van een Identity & Access Management (IAM) oplossing kan door middel van auto provisioning vanuit het HR-systeem naar active directory, koppeling vanuit de AD naar diverse applicaties en systemen en Role Based Access Control (RBAC) automatisch een user account worden aangemaakt. Een proces wat voorheen enkele weken in beslag nam, is dan gereduceerd tot enkele minuten.

Ook na indiensttreding van een medewerker kan middels een Identity Management (IDM) oplossing een sterk verbeterde dienstverlening geboden worden vanuit de ICT-afdeling richting de organisatie. Wijzigingsverzoeken kunnen via Workflow Management & Self Service snel de goedkeuring krijgen van de betrokken personen en vervolgens automatisch of via een ticket door de helpdesk worden afgehandeld. Wijzigingsverzoeken verlopen hiermee snel en secuur, zodat medewerkers niet onnodig hoeven te wachten op de uitvoer van hun verzoek.

Lager gekwalificeerd personeel
Door middel van auto provisioning van user accounts en het bieden van digitale formulieren voor het afhandelen van veel voorkomende beheertaken, kunnen veel van de dagelijkse werkzaamheden op het gebied van user accountbeheer uitgevoerd worden door non-skilled medewerkers. Er hoeven dan immers geen werkzaamheden in de Active Directory meer plaats te vinden, waardoor minder IT kennis noodzakelijk is. Het inzetten van lager gekwalificeerd personeel voor veel voorkomende user beheertaken, biedt dan een aanzienlijke kostenbesparing.

Besparing op licentiekosten
In veel organisaties is het gangbaar dat bij indiensttreding van een medewerker een kopie gemaakt wordt van het user profiel van diens voorganger of van een collega met min of meer dezelfde functie. Zo kan het gebeuren dat hierbij het profiel gekopieerd wordt van iemand die extra rechten had op bepaalde applicaties. Naast het grote gevaar wat hierin schuilt op het gebied van security brengt dit ook onnodige licentiekosten met zich mee.

Slecht doorgevoerd IT Asset Management (ITAM) zorgt bij veel organisaties ook voor onnodig hoge licentiekosten. Zo geven medewerkers eenmaal verkregen toegangsrechten op een applicatie (voor bijvoorbeeld een tijdelijk project) niet meer terug op het moment dat ze dit niet meer nodig hebben. En weten afdelingsmanagers vaak ook niet welke applicaties hun medewerkers nu echt nodig hebben voor de uitvoering van hun functie. Gemakshalve wordt dan vaak een heel lijstje aangevinkt vanuit het idee ‘beter te veel dan te weinig’.... Het spreekt voor zich dat de licentiekosten hiermee onnodig oplopen. Met het inzetten van
Role Based Access Control (RBAC) kan dit voorkomen worden. Op basis van de rol die iemand vervult in de organisatie kan bij indiensttreding een account aangemaakt worden, waarbij op basis van de informatie uit de RBAC-tabellen door de IDM-oplossing de benodigde applicatierechten uitgelezen worden. Hiermee krijgt een medewerker toegang tot exact de juiste applicaties die hij of zij nodig heeft. Een sterke besparing op de licentiekosten is het gevolg.

Besparing resources van ex-medewerkers
In organisaties waar geen sluitende uitdienst-procedure toegepast wordt bij het vertrek van medewerkers, blijkt al snel zo’n 3 – 10 procent vervuiling in de Active Directory op te treden. User accounts blijven bestaan en daarmee lopen de kosten voor opslag/backup (home directory en mailbox data) en licenties gewoon door terwijl de betreffende medewerkers niet meer bij de organisatie werkzaam zijn. Door het koppelen van de contractinformatie uit het personeelssysteem met de user accounts in het netwerk is op eenvoudige wijze een besparing op de resources van ex-medewerkers te realiseren. In de praktijk blijkt hiermee zo’n 3 procent reductie in opslag-, backup- en licentiekosten te behalen.

Conclusie
De Return-On-Investment (ROI) is sterk afhankelijk van de huidige situatie bij een organisatie. Bovenstaande veel voorkomende besparingspunten kunt u als uitgangspunt gebruiken bij het schrijven van een businesscase voor uw eigen organisatie. Afhankelijk van de wijze waarop het user accountbeheer nu ingericht is, is een snelle of minder snelle ROI mogelijk. Doorgaans zien we dat de ROI al binnen 1 of 2 jaar te behalen valt en dan hebben we het nog niets eens over de vele indirecte (security) voordelen.

Praktijkervaring en ervaringscijfers
Meer informatie over de indirecte besparingen die met de implementatie van een Identity Management oplossing te behalen zijn, kunt u vinden op: Return On Investment (ROI) voor geautomatiseerd user account beheer

Voor ervaringscijfers van organisaties die met de implementatie van de Identity & Access Management oplossing UMRA van Tools4ever een sterke besparing hebben gerealiseerd op het gebied van User Accountbeheer, kunt u kijken op: Return On Investment (ROI) berekening van Identity Management projecten

Om een goed beeld te krijgen van de voordelen en besparingen die een zorginstelling kan behalen met de aanschaf van een Identity & Access Management oplossing, treft u hieronder een aantal casestudies aan van zorginstellingen die recent een IAM-oplossing hebben geïmplementeerd:
- Westfriesgasthuis: Veilige informatievoorziening bij Westfriesgasthuis
- Ziekenhuis Rivierenland: Single Sign On met gebruikerspas noodzakelijk voor NEN 7510
- Zuwe Hofpoort Ziekenhuis: Zuwe Hofpoort Ziekenhuis vindt oplossing voor digitaal onderdeel van NEN 7510
- UMC Utrecht: UMC Utrecht regelt delegation of control en meer met UMRA
- Stichting Talant: Interface met bronsystemen Beaufort en Unit4Cura ten behoeve van HKZ certificering en audit
- Stichting Altrecht: Stichting Altrecht maakt vliegende start met effectief beheer van user accounts
- Ipse de Bruggen: Automatische synchronisatie tussen Beaufort en de Active Directory middels User Management Resource Administrator
- Bureau Jeugdzorg Overijssel: Auto provisioning van user accounts vanuit en naar Active Directory, Beaufort (RAET), IJ