ATP er gået fra manuelle processer med høj risiko til systemunderstøttende IAM-værktøjer. ”Det handler om at finde den rette balance,” lyder det fra IAM Analyst hos ATP, der kommer med tre anbefalinger til købsprocessen.
Et konstant skiftende IT-landskab har skærpet behovet for kontrol- og informationssikkerhed. Det har man også mærket hos pensions- og administrationskoncernen ATP, der blandt andet står for udbetalingen af velfærdsydelser.
I ATP, ført an af Identity & Access Management Analyst hos ATP, Christian Klausen-Ambrosiusen, har man netop gennemført et udbud og købt en ny IGA-løsning, der skal understøtte sikkerhedsarbejdet med identitetsrelaterede adgange.
Vigtigst var det, at udbud- og indkøbsprocessen muliggjorde en fortsat stabil drift og sikkerhed for flere tusind danskeres udbetalinger og data.
Et andet væsentligt element var, at ATP udskiftede eksisterende praksisser og tankegange med en decideret forretningsorienteret tilgang til processen. Koncernen lagde blandt andet energi i at tydeliggøre, hvordan hver enkelt medarbejder og vedkommendes arbejdsopgaver bidrager til det fælles forretningsmæssige mål.
Det fortæller Christian Klausen-Ambrosiusen og deler tre erfaringer fra ATP’s proces med købet.
1: Undgå impulskøb
Tænk over, hvad du vil opnå, før du køber værktøjet, og hvad der er vigtigst for din organisation.
Det er vigtigt at undgå panikkøb, lyder den første anbefaling.
”Sælgerne af IAM-løsninger er gode til at vise, hvad de kan, men man skal ikke tage det første og det bedste. Tænk over, hvad du vil opnå, før du køber værktøjet, og hvad der er vigtigst for din organisation,” anbefaler Christian Klausen-Ambrosiusen.
ATP gik udenom en stor undersøgelse af behovene forinden, men fandt i stedet frem til de parametre, der vægtede højest, som de derefter præsenterede for leverandøren.
”Vi ønskede et nyt system med flere muligheder, herunder for funktionsadskillelse. Andre har måske behov for systemer, der kan tilbyde anden funktionalitet. Stil dig selv spørgsmålet, hvor I er i dag, og hvad der skal til for at opnå jeres forretningsmæssige mål.”
2: Skab en tæt dialog med leverandører
Selvom man har fået styr på, hvad der skal prioriteres i det nye system, skal man være skarp i udbudsmaterialet og i kommunikationen med leverandøren.
”Vi havde en tæt dialog med leverandører, men ikke om de ting, der endte med at spænde ben for os,” fortæller Christian Klausen-Ambrosiusen.
ATP måtte gennemføre to udbudsprocesser for at komme i mål med indkøbet af IGA-løsningen.
”Når aftaleforholdene ligger fast fra start, kan man ikke forhandle om det. Derfor er det vigtigt med en tæt dialog fra starten. I den første udbudsrunde havde vi lagt nogle risici ud, og leverandøren havde nogle standardvilkår, som spændte ben. Det undgik vi i anden runde, fordi vi havde dialogen, så vi kunne fokusere på problemet og ikke det kontraktuelle,” lyder det fra Christian Klausen-Ambrosiusen.
3: Vær modig - skift paradigme
IAM-løsninger kan være med til at sikre mere effektivitet og dermed spare danskerne penge, så de kan bruges på velfærd andre steder.
I sidste ende handler det om at være modig, mener Christian Klausen-Ambrosiusen.
”Det kan være træls med nye systemer, men man skal ikke tvinge eller overtale sin organisation. Skift i stedet fokus til, hvordan I bidrager med at opnå de forretningsmæssige mål,” lyder den sidste opfordring.
I ATP har man rettet fokus mod, hvordan den enkelte opgave tydeligt bidrager og skaber værdi i retningen mod øget automatisering af IT-sikkerheden.
”For os handler det i høj grad om, at danskerne skal kunne stole på os og værne om vores omdømme. IAM-løsninger kan være med til at sikre mere effektivitet og dermed spare danskerne penge, så de kan bruges på velfærd andre steder,” slutter han.