De afgelopen periode hebben veel organisaties CIAM flink hoger op de management agenda gezet. Digitalisering van producten en diensten leidt al jaren tot steeds hogere eisen aan de digitale klantkanalen. En door de COVID pandemie is het aanbieden van naadloze en veilige customer journeys in een ware stroomversnelling gekomen. Ondertussen nemen de dreigingen voor verstoring en inbraak van digitale klantkanalen toe, met mogelijk grote gevolgen voor de bedrijfsvoering en zelfs bedrijfscontinuïteit van organisaties. Daarnaast is de technologie rond digitale identiteit en cybersecurity complex en steeds in ontwikkeling. En krijgen veel organisaties de komende jaren ook nog eens te maken met belangrijke veranderingen in wet- en regelgeving rond digitale identiteiten, bijvoorbeeld door de Wet Digitale Overheid en de introductie van de European Digital Identity (EDI) wallets.

Een kritische succesfactor

Dit alles maakt CIAM voor nagenoeg elke organisatie een kritische succesfactor voor het realiseren van marktdoelstellingen en het voldoen aan eisen ten aanzien van privacy en compliance. De beschikbaarheid van CIAM is voor steeds meer organisaties direct van invloed op de business; zodra externe gebruikers niet meer kunnen inloggen staat de business stil. CIAM heeft dan ook veel stakeholders, elk met verschillende belangen. Zo hebben business, marketing, security, risk management, legal, compliance, IT en DevOps allemaal raakvlakken met CIAM.

Maar hoe zorg je er nu voor dat CIAM optimaal wordt ingericht? Passend bij de specifieke context waarin jouw organisatie opereert? Op een manier die door alle stakeholders wordt begrepen en gedragen? Het beantwoorden van deze vragen vereist allereerst dat alle stakeholders een gemeenschappelijk beeld hebben van CIAM – van de huidige situatie en van de meest wenselijke inrichting in de toekomst.

CIAM Maturity Model

Om organisaties hierbij te ondersteunen heeft InnoValor Advies recent een CIAM Maturity Model opgesteld, op basis van het beproefde Capability Maturity Model. Dit CIAM Maturity Model helpt de huidige en de gewenste inrichting van CIAM in kaart te brengen en biedt handvatten voor gefaseerde verbeteringen.

Het model benoemt voor vijf opeenvolgende volwassenheidsniveaus de belangrijkste kenmerken voor onderstaande aspecten van CIAM:

• Visie en strategie - De relatie van CIAM met de bedrijfsstrategie
• Governance - Het sturen op het realiseren van de CIAM visie en strategie
• Organisatie - Het beheersen van middelen, mensen en budget voor CIAM
• Compliance - Het voldoen aan standaarden, wet- en regelgeving en certificeringen
• Processen - De beheersing van de CIAM processen
• Technologie - De efficiënte en effectieve inzet van CIAM technologie

CIAM volwassenheidsniveaus

Het model geeft een overzicht van de belangrijkste kenmerken van de implementatie van CIAM in een organisatie, geordend naar niveaus van toenemende effectiviteit en efficiency. Het model onderscheidt vijf opeenvolgende volwassenheidsniveaus:

1. Initieel - Chaotische, onvolledige inrichting van CIAM, zonder visie en besturing.
2. Herhaalbaar - Enige sturing en documentatie van CIAM processen, weinig samenhang tussen processen, systemen en initiatieven, nog veel handwerk.
3. Gedefinieerd - CIAM visie en strategie zijn vastgesteld, eigenaarschap is belegd,  sturing op CIAM KPI’s, geautomatiseerde processen.
4. Gemanaged - Datagedreven beheersing en sturing van CIAM processen en KPI’s, ook op basis van klantcontext en -gedrag.  
5. Geoptimaliseerd - Continu innovatief verbeteren van CIAM processen, mede op basis van Machine Learning / Artificial Intelligence en door integratie van CIAM met bijvoorbeeld Security Information and Event Management (SIEM), Customer Relationship Management (CRM), Digital Experience Platform (DXP) en Information Security Management System (ISMS).

Het model geeft op elk volwassenheidsniveau de belangrijkste kenmerken (inrichting, technieken) van de CIAM processen Registratie, Provisioning, Authenticatie, Autorisatie, Gebruikersbeheer en Monitoring & Rapportage.

Het bereiken van het hoogste CIAM volwassenheidsniveau 5 is geen op zichzelf staand doel. De wenselijkheid van een bepaald volwassenheidsniveau volgt uit de context (doelen, klantverwachtingen, resources etc.) waarin een organisatie zich bevindt. Veel CIAM aspecten kunnen alleen in samenhang worden verbeterd. De haalbaarheid van verbeteringen is daardoor mede afhankelijk van de mate waarin CIAM aspecten op eenzelfde volwassenheidsniveau zijn ingericht.

Op basis van interviews met een aantal grote Nederlandse CIAM gebruikers en enkele toonaangevende CIAM aanbieders lijkt CIAM zich bij de meeste organisaties op volwassenheidsniveau 2 tot 3 te bevinden. Bijna alle door ons benaderde organisaties gaven aan nog aan het begin te staan van het verbeteren van CIAM in hun dienstverlening. De geïnterviewde CIAM gebruikers hebben over het algemeen nog maar weinig van door leveranciers en adviseurs benoemde best practices geadopteerd, dan wel zijn zelf op zoek naar best practices (met name ten aanzien van de aspecten Governance en Organisatie).

Zelf aan de slag met CIAM?

InnoValor Advies helpt je graag met het bepalen van de ‘stip op de horizon’ voor CIAM. Wil je meer weten over het CIAM Maturity Model en het verbeteren van de CIAM volwassenheid in jouw organisatie? Neem dan contact met mij op.