Əvvəlki məqalələrdə biz artıq IdM-in nə olduğunu, təşkilatınızın belə bir sistemə ehtiyacı olub-olmadığını, hansı problemləri həll etdiyini və icra büdcəsini rəhbərliyə necə əsaslandırmaq lazım olduğunu başa düşmüşük. Bu gün biz IdM sistemini tətbiq etməzdən əvvəl lazımi yetkinlik səviyyəsinə nail olmaq üçün təşkilatın özünün keçməli olduğu mühüm mərhələlərdən danışacağıq. Axı IdM prosesləri avtomatlaşdırmaq üçün nəzərdə tutulub, lakin xaosu avtomatlaşdırmaq mümkün deyil.
Bir şirkət böyük bir müəssisə ölçüsünə qədər böyüyənə və çoxlu müxtəlif biznes sistemləri toplayana qədər, adətən girişə nəzarət haqqında düşünmür. Buna görə də, onlarda hüquqların əldə edilməsi və səlahiyyətlərə nəzarət prosesləri strukturlaşdırılmayıb və təhlil etmək çətindir. İşçilər giriş sorğularını istədikləri kimi doldururlar; təsdiqləmə prosesi də rəsmiləşdirilmir və bəzən sadəcə mövcud olmur. Bir işçinin hansı girişə malik olduğunu, kim tərəfindən və hansı əsasla təsdiqləndiyini tez başa düşmək mümkün deyil.
Girişin avtomatlaşdırılması prosesinin iki əsas aspektə - kadr məlumatları və inteqrasiyanın aparılacağı informasiya sistemlərindən alınan məlumatlara təsir etdiyini nəzərə alaraq, biz IdM-nin tətbiqinin rəvan getməsini və imtinaya səbəb olmamasını təmin etmək üçün zəruri addımları nəzərdən keçirəcəyik:
- Kadr proseslərinin təhlili və kadr sistemlərində işçilərin məlumat bazası dəstəyinin optimallaşdırılması.
- IdM-ə qoşulması planlaşdırılan hədəf sistemlərdə istifadəçi və hüquqlar haqqında məlumatların təhlili, habelə girişə nəzarət üsullarının yenilənməsi.
- İDM-in həyata keçirilməsinə hazırlıq prosesinə təşkilati fəaliyyət və kadrların cəlb edilməsi.
Kadr məlumatları
Bir təşkilatda kadr məlumatlarının bir mənbəyi ola bilər və ya bir neçə ola bilər. Məsələn, təşkilat kifayət qədər geniş filial şəbəkəsinə malik ola bilər və hər bir filial öz kadr bazasından istifadə edə bilər.
İlk növbədə, kadr uçotu sistemində işçilər haqqında hansı əsas məlumatların saxlandığını, hansı hadisələrin qeydə alındığını başa düşmək, onların tamlığını və strukturunu qiymətləndirmək lazımdır.
Tez-tez olur ki, bütün kadr hadisələri kadr mənbəyində qeyd olunmur (və hətta daha tez-tez vaxtında və tamamilə düzgün qeyd olunmur). Budur bəzi tipik nümunələr:
- Yarpaqlar, onların kateqoriyaları və müddətləri (müntəzəm və ya uzunmüddətli) qeydə alınmır;
- Part-time məşğulluq qeydə alınmır: məsələn, uşağa qulluq etmək üçün uzunmüddətli məzuniyyətdə olarkən, işçi eyni vaxtda part-time işləyə bilər;
- namizədin və ya işçinin faktiki statusu artıq dəyişib (qəbul/köçürmə/işdən çıxarılma) və bu hadisə haqqında əmr gecikdirilməklə verilir;
- işçi işdən çıxarılmaqla yeni normal vəzifəyə keçirilir, kadrlar sistemi isə bunun texniki işdən çıxarılması barədə məlumatı qeyd etmir.
Məlumatların keyfiyyətinin qiymətləndirilməsinə də xüsusi diqqət yetirməyə dəyər, çünki HR sistemləri olan etibarlı mənbədən əldə edilən hər hansı səhvlər və qeyri-dəqiqliklər gələcəkdə baha başa gələ bilər və IdM-in tətbiqi zamanı bir çox problemlər yarada bilər. Məsələn, HR işçiləri tez-tez işçi vəzifələrini kadr sisteminə müxtəlif formatlarda daxil edirlər: böyük və kiçik hərflər, abbreviaturalar, müxtəlif boşluq nömrələri və s. Nəticədə, eyni vəzifə kadr sistemində aşağıdakı dəyişikliklərdə qeyd edilə bilər:
- Böyük menecer
- baş menecer
- baş menecer
- İncəsənət. menecer...
Tez-tez adınızın yazılışındakı fərqlərlə məşğul olmalısınız:
- Şmeleva Natalya Gennadievna,
- Şmeleva Natalya Gennadievna...
Əlavə avtomatlaşdırma üçün belə bir qarışıqlıq yolverilməzdir, xüsusən də bu atributlar şəxsiyyətin əsas əlamətidirsə, yəni sistemlərdə işçi və onun səlahiyyətləri haqqında məlumatlar tam adı ilə dəqiq müqayisə edilir.
Bundan əlavə, şirkətdə adların və tam adların mümkün mövcudluğunu unutmamalıyıq. Bir təşkilatın min işçisi varsa, belə uyğunluqlar az ola bilər, lakin 50 min varsa, bu, IdM sisteminin düzgün işləməsi üçün kritik bir maneə ola bilər.
Yuxarıda göstərilənlərin hamısını ümumiləşdirərək belə bir nəticəyə gəlirik: təşkilatın kadr bazasına məlumatların daxil edilməsi formatı standartlaşdırılmalıdır. Adların, vəzifələrin və şöbələrin daxil edilməsi üçün parametrlər dəqiq müəyyən edilməlidir. Ən yaxşı seçim, HR əməkdaşının məlumatları əl ilə daxil etməməsi, lakin kadrlar bazasında mövcud olan "seçmək" funksiyasından istifadə edərək, onu departamentlərin və vəzifələrin strukturunun əvvəlcədən yaradılmış kataloqundan seçməsidir.
Sinxronizasiyada əlavə səhvlərin qarşısını almaq və hesabatlardakı uyğunsuzluqları əl ilə düzəltmək məcburiyyətində qalmamaq üçün, işçiləri müəyyən etmək üçün ən çox üstünlük verilən yol şəxsiyyət vəsiqəsini daxil etməkdir təşkilatın hər bir işçisi üçün. Belə bir identifikator hər bir yeni işçiyə təyin ediləcək və həm kadr sistemində, həm də təşkilatın məlumat sistemlərində məcburi hesab atributu kimi görünəcəkdir. Rəqəmlərdən və ya hərflərdən ibarət olmasının fərqi yoxdur, əsas odur ki, hər bir işçi üçün unikaldır (məsələn, bir çox insan işçinin şəxsi nömrəsindən istifadə edir). Gələcəkdə bu atributun tətbiqi kadr mənbəyində işçi məlumatlarının onun hesabları və informasiya sistemlərindəki səlahiyyətləri ilə əlaqələndirilməsini xeyli asanlaşdıracaq.
Beləliklə, kadr uçotunun bütün mərhələləri və mexanizmləri təhlil edilməli və qaydaya salınmalıdır. Tamamilə mümkündür ki, bəzi proseslər dəyişdirilməli və ya dəyişdirilməlidir. Bu, yorucu və əziyyətli işdir, lakin zəruridir, əks halda kadr hadisələri haqqında aydın və strukturlaşdırılmış məlumatların olmaması onların avtomatik işlənməsi zamanı səhvlərə səbəb olacaqdır. Ən pis halda, strukturlaşdırılmamış prosesləri ümumiyyətlə avtomatlaşdırmaq mümkün olmayacaq.
Hədəf sistemləri
Növbəti mərhələdə biz IdM strukturuna neçə informasiya sistemini inteqrasiya etmək istədiyimizi, bu sistemlərdə istifadəçilər və onların hüquqları haqqında hansı məlumatların saxlandığını və onları necə idarə edəcəyimizi müəyyənləşdirməliyik.
Bir çox təşkilatda belə bir fikir var ki, biz IdM quraşdıracağıq, hədəf sistemlərə bağlayıcıları konfiqurasiya edəcəyik və sehrli çubuq dalğası ilə hər şey bizim tərəfimizdən əlavə səy göstərmədən işləyəcək. Təəssüf ki, belə olmur. Şirkətlərdə informasiya sistemləri mənzərəsi inkişaf edir və tədricən artır. Hər bir sistemin giriş hüquqlarının verilməsinə fərqli yanaşması ola bilər, yəni müxtəlif giriş idarəetmə interfeysləri konfiqurasiya edilə bilər. Nəzarət bir yerdə API (tətbiq proqramlaşdırma interfeysi), haradasa saxlanılan prosedurlardan istifadə edən verilənlər bazası vasitəsilə, haradasa heç bir qarşılıqlı əlaqə interfeysi olmaya bilər. Təşkilatın sistemlərində hesabların və hüquqların idarə edilməsi üçün bir çox mövcud prosesləri yenidən nəzərdən keçirməli olduğunuza hazır olmalısınız: məlumat formatını dəyişdirin, qarşılıqlı əlaqə interfeyslərini əvvəlcədən təkmilləşdirin və bu iş üçün resurslar ayırın.
Rol modeli
Çox güman ki, siz IdM həlli provayderini seçmək mərhələsində rol modeli konsepsiyası ilə qarşılaşacaqsınız, çünki bu, giriş hüquqlarının idarə edilməsi sahəsində əsas anlayışlardan biridir. Bu modeldə verilənlərə çıxış rol vasitəsilə təmin edilir. Rol müəyyən bir vəzifədə olan bir işçinin öz funksional vəzifələrini yerinə yetirməsi üçün minimum zəruri olan girişlər toplusudur.
Rol əsaslı giriş nəzarəti bir sıra danılmaz üstünlüklərə malikdir:
- eyni hüquqların çoxlu sayda işçiyə verilməsi sadə və effektivdir;
- eyni hüquqlar dəstinə malik işçilərin çıxış imkanlarının dərhal dəyişdirilməsi;
- hüquqların artıqlığının aradan qaldırılması və istifadəçilər üçün uyğun olmayan səlahiyyətlərin məhdudlaşdırılması.
Rol matrisi əvvəlcə təşkilatın sistemlərinin hər birində ayrıca qurulur, sonra isə hər bir sistemin rollarından qlobal Biznes rollarının formalaşdığı bütün İT mənzərəsinə miqyaslanır. Məsələn, "Mühasib" iş rolu müəssisənin mühasibat uçotunda istifadə olunan hər bir informasiya sistemləri üçün bir neçə ayrı rolu əhatə edəcəkdir.
Bu yaxınlarda, hətta proqramların, verilənlər bazalarının və əməliyyat sistemlərinin işlənib hazırlanması mərhələsində də bir rol modeli yaratmaq “ən yaxşı təcrübə” hesab olunur. Eyni zamanda, sistemdə rolların konfiqurasiya edilmədiyi və ya sadəcə mövcud olmadığı vəziyyətlər tez-tez olur. Bu halda, bu sistemin administratoru hesab məlumatlarını lazımi icazələri təmin edən bir neçə müxtəlif fayl, kitabxana və qovluqlara daxil etməlidir. Əvvəlcədən təyin edilmiş rolların istifadəsi mürəkkəb kompozit verilənlərə malik bir sistemdə bütün əməliyyatları yerinə yetirmək üçün imtiyazlar verməyə imkan verir.
İnformasiya sistemindəki rollar, bir qayda olaraq, ştat strukturuna uyğun olaraq vəzifələr və şöbələr üçün bölüşdürülür, lakin müəyyən iş prosesləri üçün də yaradıla bilər. Məsələn, maliyyə təşkilatında hesablaşma şöbəsinin bir neçə əməkdaşı eyni vəzifəni tutur - operator. Lakin şöbə daxilində müxtəlif əməliyyat növlərinə görə (xarici və ya daxili, müxtəlif valyutalarda, təşkilatın müxtəlif seqmentləri ilə) ayrı-ayrı proseslərə bölünmə də mövcuddur. Bir şöbənin biznes sahələrinin hər birinin tələb olunan xüsusiyyətlərə uyğun olaraq informasiya sisteminə çıxışını təmin etmək üçün fərdi funksional rollara hüquqların daxil edilməsi lazımdır. Bu, fəaliyyət sahələrinin hər biri üçün artıq hüquqlar daxil olmayan minimum kifayət qədər səlahiyyətlər toplusunu təmin etməyə imkan verəcək.
Bundan əlavə, yüzlərlə rolu, minlərlə istifadəçisi və milyonlarla icazəsi olan böyük sistemlər üçün rollar iyerarxiyasından və imtiyaz miraslarından istifadə etmək yaxşı təcrübədir. Məsələn, ana rol Administrator uşaq rollarının imtiyazlarını miras alacaq: İstifadəçi və Oxucu, çünki Administrator İstifadəçi və Oxucunun edə biləcəyi hər şeyi edə bilər, üstəlik əlavə inzibati hüquqlara malikdir. İyerarxiyadan istifadə edərək, eyni modul və ya sistemin birdən çox rolunda eyni hüquqları yenidən təyin etməyə ehtiyac yoxdur.
Birinci mərhələdə, hüquq birləşmələrinin mümkün sayının çox böyük olmadığı və nəticədə az sayda rolu idarə etmək asan olduğu sistemlərdə rollar yarada bilərsiniz. Bunlar, şirkətin bütün işçilərinin Active Directory (AD), poçt sistemləri, Xidmət Meneceri və s. kimi ictimai əlçatan sistemlərə tələb etdiyi tipik hüquqlar ola bilər. Sonra, informasiya sistemləri üçün yaradılmış rol matrisləri onları Biznes rollarına birləşdirərək ümumi rol modelinə daxil edilə bilər.
Bu yanaşmadan istifadə etməklə gələcəkdə IdM sistemini tətbiq edərkən yaradılmış birinci mərhələ rolları əsasında bütün giriş hüquqlarının verilməsi prosesini avtomatlaşdırmaq asan olacaq.
NB Siz dərhal inteqrasiyaya mümkün qədər çox sistem daxil etməyə çalışmamalısınız. Daha mürəkkəb arxitekturaya və giriş hüquqlarının idarə edilməsi strukturuna malik sistemləri birinci mərhələdə yarı avtomatik rejimdə IdM-ə qoşmaq daha yaxşıdır. Yəni, kadr hadisələri əsasında yalnız icra üçün administratora göndəriləcək giriş sorğusunun avtomatik yaradılmasını həyata keçirin və o, hüquqları əl ilə konfiqurasiya edəcəkdir.
Birinci mərhələni uğurla başa vurduqdan sonra siz sistemin funksionallığını yeni genişləndirilmiş biznes proseslərinə genişləndirə, əlavə informasiya sistemlərinin qoşulması ilə tam avtomatlaşdırma və miqyaslaşdırma həyata keçirə bilərsiniz.
Başqa sözlə, İdM-in tətbiqinə hazırlaşmaq üçün informasiya sistemlərinin yeni prosesə hazırlığını qiymətləndirmək və istifadəçi hesablarını və istifadəçi hüquqlarını idarə etmək üçün xarici qarşılıqlı əlaqə interfeyslərini əvvəlcədən yekunlaşdırmaq lazımdır, əgər belə interfeyslər mövcud deyilsə. sistemdə mövcuddur. Girişə hərtərəfli nəzarət üçün informasiya sistemlərində rolların mərhələli yaradılması məsələsi də araşdırılmalıdır.
Təşkilati tədbirlər
Təşkilati məsələlərə də güzəşt etməyin. Bəzi hallarda onlar həlledici rol oynaya bilərlər, çünki bütün layihənin nəticəsi çox vaxt şöbələr arasında effektiv qarşılıqlı əlaqədən asılıdır. Bunun üçün biz adətən təşkilatda proses iştirakçılarından ibarət komanda yaratmağı məsləhət görürük ki, bu da bütün cəlb olunmuş şöbələri əhatə edir. Bu, insanlar üçün əlavə yük olduğundan, gələcək prosesin bütün iştirakçılarına qarşılıqlı fəaliyyət strukturunda onların rolunu və əhəmiyyətini əvvəlcədən izah etməyə çalışın. Bu mərhələdə IdM ideyasını həmkarlarınıza “satsanız”, gələcəkdə bir çox çətinliklərdən qaça bilərsiniz.
Çox vaxt informasiya təhlükəsizliyi və ya İT departamentləri şirkətdə IdM-in tətbiqi layihəsinin “sahibləri” olur və biznes departamentlərinin rəyləri nəzərə alınmır. Bu, böyük səhvdir, çünki hər bir resursun necə və hansı biznes proseslərində istifadə olunduğunu, kimə ona giriş imkanı verilməli və kimə verilməməlidir. Buna görə də, hazırlıq mərhələsində qeyd etmək vacibdir ki, informasiya sistemində istifadəçi hüquqlarının (rollarının) dəstlərinin işlənib hazırlandığı funksional modelə cavabdeh olan biznes sahibidir. bu rollar aktual saxlanılır. Nümunə bir dəfə qurulan statik bir matris deyil və onun üzərində sakitləşə bilərsiniz. Bu, təşkilatın strukturunda və işçilərin funksionallığında dəyişikliklərdən sonra daim dəyişməli, yeniləməli və inkişaf etməli olan "canlı orqanizm" dir. Əks halda, ya girişin təmin edilməsində gecikmələrlə bağlı problemlər yaranacaq, ya da həddindən artıq giriş hüquqları ilə bağlı informasiya təhlükəsizliyi riskləri yaranacaq ki, bu da daha pisdir.
Bildiyiniz kimi, "yeddi dayənin gözü olmayan uşağı var", buna görə də şirkət rol modelinin arxitekturasını, prosesin konkret iştirakçılarının qarşılıqlı əlaqəsini və aktuallığını saxlamaq üçün məsuliyyətini təsvir edən bir metodologiya hazırlamalıdır. Əgər şirkətin bir çox biznes fəaliyyəti sahələri və müvafiq olaraq bir çox şöbə və şöbələri varsa, o zaman rol əsaslı girişin idarə edilməsi prosesinin bir hissəsi kimi hər bir sahə üçün (məsələn, kreditləşdirmə, əməliyyat işləri, uzaqdan xidmətlər, uyğunluq və s.) ayrıca kuratorlar təyin etmək lazımdır. Onların vasitəsilə şöbənin strukturunda dəyişikliklər və hər bir rol üçün tələb olunan giriş hüquqları haqqında məlumatı tez bir zamanda almaq mümkün olacaq.
Prosesdə iştirak edən şöbələr arasında münaqişə vəziyyətlərini həll etmək üçün təşkilat rəhbərliyinin dəstəyinə müraciət etmək vacibdir. Hər hansı bir yeni prosesin tətbiqi zamanı münaqişələr qaçılmazdır, təcrübəmizə inanın. Buna görə də, başqasının anlaşılmazlığı və təxribatı səbəbindən vaxt itirməmək üçün mümkün maraq toqquşmalarını həll edəcək bir arbitra ehtiyacımız var.
NB Maarifləndirməyə başlamaq üçün yaxşı yer işçilərinizə təlim keçməkdir. Gələcək prosesin fəaliyyətinin və hər bir iştirakçının buradakı rolunun ətraflı öyrənilməsi yeni həll yoluna keçidin çətinliklərini minimuma endirəcəkdir.
Yoxlama siyahısı
Xülasə etmək üçün IdM-i həyata keçirməyi planlaşdıran təşkilatın atmalı olduğu əsas addımları ümumiləşdiririk:
- kadr məlumatlarını qaydaya salmaq;
- hər bir işçi üçün unikal identifikasiya parametrini daxil edin;
- informasiya sistemlərinin İDM-in həyata keçirilməsinə hazırlığını qiymətləndirmək;
- girişə nəzarət üçün informasiya sistemləri ilə qarşılıqlı əlaqə üçün interfeyslər hazırlayır, əgər onlar yoxdursa, bu iş üçün resurslar ayırır;
- rol modeli hazırlamaq və qurmaq;
- nümunəvi idarəetmə prosesini qurmaq və hər bir biznes sahəsindən kuratorları bu prosesə daxil etmək;
- IdM-ə ilkin qoşulmaq üçün bir neçə sistem seçin;
- effektiv layihə komandası yaratmaq;
- şirkət rəhbərliyindən dəstək almaq;
- kadr hazırlayır.
Hazırlıq prosesi çətin ola bilər, ona görə də mümkünsə məsləhətçiləri cəlb edin.
IdM həllinin tətbiqi çətin və məsuliyyətli addımdır və onun uğurla həyata keçirilməsi üçün həm hər bir tərəfin fərdi olaraq səyləri – biznes departamentlərinin, İT və informasiya təhlükəsizliyi xidmətlərinin əməkdaşlarının, həm də bütövlükdə bütün komandanın qarşılıqlı fəaliyyəti vacibdir. Lakin səylər buna dəyər: şirkətdə IdM tətbiq edildikdən sonra informasiya sistemlərində həddindən artıq səlahiyyətlər və icazəsiz hüquqlarla bağlı insidentlərin sayı azalır; lazımi hüquqların olmaması/uzun müddət gözləməsi səbəbindən işçinin dayanması aradan qalxır; Avtomatlaşdırma hesabına əmək məsrəfləri azalır, İT və informasiya təhlükəsizliyi xidmətlərinin əmək məhsuldarlığı artır.
Mənbə: www.habr.com