Uit recent onderzoek van IDC blijkt dat ondernemingen sceptisch zijn over investeringen in identiteits- en toegangscontrole. Volgens Marina Walser, sales director identity and security management bij Novell Central Europe, doen ze zichzelf tekort. Zij legt uit waarom.
Veel organisaties en ondernemingen staan sceptisch tegenover investeringen in identiteits- en toegangscontrole, omdat ze niet geloven in het besparingspotentieel. De redenering is ongeveer als volgt: de uitgaven waar je op bespaart, worden al gedekt door andere bedrijfsmiddelen. Met andere woorden, het zijn helemaal geen besparingen. Of er wordt zoiets gezegd als: wij hebben nog nooit te maken gehad met één van die beveiligingsproblemen waar iedereen het alsmaar over heeft. Waarom zouden we dan investeren als het blijkbaar nergens voor nodig is? Beide redeneringen gaan mank. Aan de hand van een recent onderzoek door het IDC valt duidelijk uit te leggen hoe ondernemingen zichzelf te kort doen.
Kosten terugbrengen
Het IDC-onderzoek laat zien dat geautomatiseerd identiteits- en toegangsbeheer, oftewel IAM (identity and access management), de bedrijfskosten aanzienlijk kan terugdringen. De tijd die de gemiddelde medewerker kwijt is aan inloggen en wachtwoorden invoeren kan met een modern systeem met 45 procent worden gereduceerd, terwijl telefoontjes naar de helpdesk met 21 procent kunnen worden verminderd. Bij een jaarlijkse bedrijfsgroei van 9 procent wil dat zeggen dat een optimale IAM-oplossing de operationele jaarkosten met zo’n 15.000 euro per honderd gebruikers terug kan brengen. In het onderzoek is gekeken naar ondernemingen in de productiesector, de gezondheidszorg en het verzekeringswezen in West-Europa, de Verenigde Staten en Canada. Het ging daarbij om organisaties met 2700 tot 40.000 medewerkers en gemiddelde groeicijfers per jaar van de genoemde 9 procent.
De besparingen zijn vooral het gevolg van een enorme toename van de productiviteit. Geautomatiseerd IAM betekent dat tot 90 procent van de tijd vrijkomt die medewerkers vroeger nodig hadden voor aanmeldprocedures, beheer en wijziging van wachtwoorden. Dat betekent een besparing van 19.000 euro per honderd gebruikers. Maar de totale berekening laat pas echt zien wat voor rendement een investering in IAM kan opleveren. Bij de bedrijven uit het onderzoek kwam die rekensom uit op een gemiddelde besparing van 40.000 euro per honderd gebruikers per jaar. Betrekken we daar ook de totale investeringen bij over de periode van drie jaar waarin de IAM-projecten gestalte kregen, dan is het resultaat een nettobesparing van iets meer dan 75.000 euro per honderd gebruikers over diezelfde periode. Een investering in IAM, met andere woorden, betaalt zichzelf terug in 6,3 maanden, met een gemiddelde ROI van maar liefst 358 procent.
Non-argumenten
Dat zijn cijfers die er niet om liegen. Het is dan ook des te opmerkelijker dat zoveel bedrijven nog altijd volharden in hun scepsis. Er zijn, eenvoudig gezegd, drie kampen: de vertegenwoordigers van het ‘kost veel geld, levert niets op’-adagium, de risicorekenaars die van naïeve vooronderstellingen uitgaan en de kleine tot middelgrote ondernemingen die vooral niet groot willen worden. Ze hebben één ding gemeen. Hun argumenten snijden geen hout.
Sommige it-managers zijn tegen IAM-oplossingen omdat die werk zouden doen wat al gedaan wordt door personeel dat er toch al is. De medewerkers van de helpdesk bijvoorbeeld, die immers ook problemen met wachtwoorden oplossen. En omdat die mensen, om wat voor reden dan ook, niet zo maar uitgefaseerd kunnen worden, is een investering in werk dat door hen wordt gedaan, geen besparing van kosten. Integendeel, het is een extra kostenpost en de helpdesk werkt niet langer op volle capaciteit.
Die redenering lijkt waterdicht, maar heeft niets te maken met economisch denken. Het is niet de bedoeling bestaande resources weg te snijden, het gaat om de zinvolle herverdeling van een winst in efficiëntie. Volgens Gartner wordt het van steeds groter belang dat zakelijke it-middelen toegevoegde waarde leveren voor de onderneming. Ze moeten, anders gezegd, innovatief vermogen ontwikkelen. Doel is het creëren van oplossingen voor eenvoudige opgaven, zodat de daardoor vrijgekomen capaciteit kan worden ingezet voor de echte uitdagingen, zoals verbetering van het eigen functioneren als bedrijf. De concrete besparingen zijn hoe dan ook gerelateerd aan groei. Ondernemingen die een vaste lijn van groei weten te realiseren, kunnen het zich in de toekomst simpelweg niet meer veroorloven veel tijd te besteden aan routinewerk als wachtwoordbeheer, terwijl dat nu een opgave is waar de medewerkers van de helpdesk 80 procent van hun tijd aan kwijt zijn. Dat zijn geen kosten die er ’toch al’ zijn. Managers die dat weigeren in te zien, zullen vroeg of laat met de harde realiteit geconfronteerd worden, als hun budget wordt gekort.
Struisvogelpolitiek
De denkwijze van het tweede kamp, dat van de naïeve risicorekenmeesters, komt neer op struisvogelpolitiek waarin de op niets gebaseerde overtuiging heerst dat iets dat in het verleden niet gebeurd is, in de toekomst ook wel niet zal gebeuren. Daarom is er dus geen enkele reden om te investeren in IAM. Wat vergeten wordt, is dat kansberekening geen wissels trekt op het verleden. De Engelse belastingdienst en Monster.com hadden ook nog nooit beveiligingsproblemen gehad. Tot op het moment dat ze vertrouwelijke persoons- en klantgegevens kwijt raakten. Het verlies van vertrouwen dat daar het gevolg van is, kan met financiële middelen nooit worden goedgemaakt.
En dan zijn er nog de kleine en middelgrote bedrijven, die denken dat IAM alleen voor de grote ondernemingen is. Voor hen zelf veel te duur en veel te ingewikkeld. Zo blijf je wel klein, ja. Op de eerste plaats gelden regels en voorschriften op het gebied van beveiliging niet alleen voor de grote concerns. Die gelden net zo goed voor de kleintjes. Op de tweede plaats is het helemaal niet zo ingewikkeld meer. De essentiële functionaliteit is tegenwoordig standaard aanwezig in alle moderne IAM-software. Een verantwoorde oplossing is eenvoudig te realiseren en volledig te plannen.
Wat voor argumenten er ook worden gebruikt, het is hoog tijd voor de IAM-sceptici om oog te krijgen voor het potentieel van échte oplossingen op het gebied van it-beheer. De voordelen spreken zeer duidelijke taal.
Marina Walser, sales director of identity and security management bij Novell Central Europe