V předchozích článcích jsme se již zabývali tím, co je IdM, jak pochopit, zda vaše organizace takový systém potřebuje, jaké úkoly řeší a jak zdůvodnit implementační rozpočet vedení. Dnes si povíme o důležitých fázích, kterými musí samotná organizace projít, aby dosáhla patřičné úrovně zralosti před implementací systému IdM. Koneckonců, IdM je navrženo tak, aby automatizovalo procesy a je nemožné automatizovat chaos.
Do okamžiku, kdy firma vyroste do velikosti velkého podniku a nashromáždí spoustu různých obchodních systémů, obvykle o řízení přístupu neuvažuje. Procesy získávání práv a kontrolních pravomocí v něm proto nejsou strukturované a je obtížné je analyzovat. Zaměstnanci vyplňují žádosti o přístup dle libosti, schvalovací proces také není formalizovaný a někdy prostě neexistuje. Není možné rychle zjistit, jaké má zaměstnanec přístupy, kdo je schválil a na jakém základě.
Vzhledem k tomu, že proces automatizace přístupu ovlivňuje dva hlavní aspekty – personální data a data informačních systémů, se kterými má být integrace provedena, zvážíme kroky nutné k tomu, aby implementace IdM probíhala hladce a nezpůsobila odmítnutí:
- Analýza personálních procesů a optimalizace údržby databáze zaměstnanců v personálních systémech.
- Analýza dat o uživatelích a právech a také aktualizace metod řízení přístupu v cílových systémech, které se plánují připojit k IdM.
- Organizační opatření a zapojení personálu do procesu přípravy implementace IdM.
Osobní údaje
V organizaci může být jeden zdroj personálních dat nebo jich může být několik. Organizace může mít například poměrně širokou síť poboček a každá pobočka může využívat svou vlastní personální základnu.
V první řadě je potřeba pochopit, jaké základní údaje o zaměstnancích jsou v systému personální evidence uloženy, jaké události jsou evidovány a vyhodnotit jejich úplnost a strukturu.
Často se stává, že ne všechny personální události jsou v personálním zdroji zaznamenány (a ještě častěji jsou zaznamenány nečasově a ne zcela správně). Zde je několik typických příkladů:
- dovolené, jejich kategorie a termíny (pravidelné nebo dlouhé) nejsou pevně dané;
- zaměstnání na částečný úvazek se nezaznamenává: například na dlouhé rodičovské dovolené může zaměstnanec současně pracovat na částečný úvazek;
- skutečný stav kandidáta nebo zaměstnance se již změnil (nábor / převod / propuštění) a objednávka na tuto událost je vydána se zpožděním;
- zaměstnanec je výpovědí převeden na novou pozici na plný úvazek, přičemž personální systém nezaznamenává informaci, že se jedná o technickou výpověď.
Rovněž stojí za to věnovat zvláštní pozornost hodnocení kvality dat, protože jakékoli chyby a nepřesnosti získané z důvěryhodného zdroje, kterým jsou systémy personálních záznamů, mohou být v budoucnu drahé a způsobit mnoho problémů při implementaci IdM. Personalisté například často zadávají pozice zaměstnanců v personálním systému v různých formátech: velká a malá písmena, zkratky, různý počet mezer a podobně. Díky tomu lze v personálním systému zafixovat stejnou pozici v následujících variantách:
- Senior manažer
- senior manažer
- senior manažer
- Umění. manažer…
Často se musíte vypořádat s rozdíly v pravopisu celého jména:
- Shmeleva Natalia Gennadievna,
- Shmeleva Natalia Gennadievna…
Pro další automatizaci je taková změť nepřijatelná, zejména pokud jsou tyto atributy klíčovým znakem identifikace, tedy údaje o zaměstnanci a jeho pravomocích v systémech jsou porovnávány přesně celým jménem.
Kromě toho by se nemělo zapomínat na možnou přítomnost jmenovců a úplných jmenovců ve společnosti. Pokud má organizace tisíc zaměstnanců, může být takových náhod málo, a pokud jich je 50 tisíc, pak se to může stát kritickou překážkou správného fungování systému IdM.
Shrneme-li vše výše uvedené, docházíme k závěru: formát pro zadávání dat do personální základny organizace by měl být standardizován. Parametry pro zadávání celých jmen, pozic a oddělení musí být jasně definovány. Nejlepší variantou je, když personalista nezadává data ručně, ale vybírá je z předem vytvořeného adresáře struktury oddělení a pozic pomocí funkce „vybrat“ dostupné v personální databázi.
Chcete-li se vyhnout dalším chybám v synchronizaci a neopravovat nesrovnalosti v přehledech ručně, nejpreferovanějším způsobem identifikace zaměstnanců je zadání ID pro každého zaměstnance v organizaci. Takovýto identifikátor bude přidělen každému novému zaměstnanci a objeví se jak v personálním systému, tak v informačních systémech organizace jako povinný atribut účtu. Nezáleží na tom, zda se skládá z čísel nebo písmen, hlavní je, že je pro každého zaměstnance unikátní (mnozí například používají personální číslo zaměstnance). Zavedení tohoto atributu v budoucnu výrazně usnadní propojení údajů o zaměstnancích v personálním zdroji s jeho účty a pravomocemi v informačních systémech.
Bude tedy potřeba analyzovat a dát do pořádku všechny kroky a mechanismy personální evidence. Je možné, že některé procesy budou muset být změněny nebo vylepšeny. Jedná se o zdlouhavou a namáhavou práci, která je však nezbytná, jinak nedostatek přehledných a strukturovaných dat o personálních událostech povede k chybám při jejich automatickém zpracování. V nejhorším případě nelze nestrukturované procesy automatizovat vůbec.
Cílové systémy
V další fázi musíme zjistit, kolik informačních systémů chceme integrovat do struktury IdM, jaká data o uživatelích a jejich právech jsou v těchto systémech uložena a jak je spravovat.
V mnoha organizacích panuje názor, že nainstalujeme IdM, nakonfigurujeme konektory k cílovým systémům a mávnutím kouzelného proutku bude vše fungovat bez dalšího úsilí z naší strany. Tak to se bohužel nestává. Ve firmách se prostředí informačních systémů postupně vyvíjí a roste. V každém ze systémů lze organizovat jiný přístup k udělování přístupových práv, to znamená, že jsou nakonfigurována různá rozhraní řízení přístupu. Někde správa probíhá přes API (aplikační programovací rozhraní), někde přes databázi pomocí uložených procedur, někde nemusí být interakční rozhraní vůbec. Měli byste být připraveni na to, že budete muset revidovat mnoho stávajících procesů pro správu účtů a práv v systémech organizace: změnit formát dat, předem dokončit interakční rozhraní a alokovat zdroje pro tyto práce.
vzor
S pojmem vzor se pravděpodobně setkáte ve fázi výběru poskytovatele IdM řešení, protože se jedná o jeden z klíčových konceptů v oblasti správy přístupových práv. V tomto modelu je přístup k datům poskytován prostřednictvím role. Role je soubor přístupů, které jsou minimálně nutné k tomu, aby zaměstnanec na určité pozici mohl plnit své funkční povinnosti.
Řízení přístupu na základě rolí má řadu nepopiratelných výhod:
- jednoduché a efektivní přidělování stejných práv velkému počtu zaměstnanců;
- rychlá změna přístupu pro zaměstnance se stejnou sadou práv;
- vyloučení nadbytečnosti práv a rozlišení neslučitelných pravomocí pro uživatele.
Matice rolí se nejprve vytvoří samostatně v každém ze systémů organizace a poté se škáluje na celé prostředí IT, kde se z rolí každého systému tvoří globální obchodní role. Například obchodní role "Účetní" bude zahrnovat několik samostatných rolí pro každý z informačních systémů používaných v účetním oddělení podniku.
V poslední době je považováno za „best practice“ vytvářet vzor i ve fázi vývoje aplikací, databází a operačních systémů. Zároveň nejsou neobvyklé situace, kdy role nejsou v systému nakonfigurovány nebo prostě neexistují. V tomto případě musí administrátor tohoto systému zadat údaje o účtu do několika různých souborů, knihoven a adresářů, které poskytují potřebná oprávnění. Použití předdefinovaných rolí vám umožňuje udělit oprávnění k provádění celé řady operací v systému se složitými složenými daty.
Role v informačním systému jsou zpravidla rozděleny pro pozice a oddělení podle personální struktury, ale mohou být vytvořeny i pro určité podnikové procesy. Například ve finanční instituci zastává několik zaměstnanců zúčtovacího oddělení stejnou pozici - operátor. Ale v rámci oddělení existuje také rozdělení do samostatných procesů, podle různých typů operací (externích nebo interních, v různých měnách, s různými segmenty organizace). Aby každá z obchodních oblastí jednoho oddělení měla přístup k informačnímu systému dle požadovaných specifik, je nutné zahrnout práva v samostatných funkčních rolích. To poskytne minimální dostatečnou sadu oprávnění, která nezahrnují redundantní práva, pro každou z oblastí činnosti.
U velkých systémů se stovkami rolí, tisíci uživatelů a miliony oprávnění je také dobrým zvykem používat hierarchii rolí a dědění privilegií. Například nadřazená role Administrátor zdědí oprávnění podřízených rolí: Uživatel a Čtenář, protože Administrátor může dělat vše, co mohou dělat Uživatel a Čtenář, a navíc bude mít další administrátorská práva. Pomocí hierarchie není potřeba znovu specifikovat stejná práva v několika rolích stejného modulu nebo systému.
V první fázi můžete vytvářet role v těch systémech, kde možný počet kombinací práv není příliš velký a v důsledku toho je snadné spravovat malý počet rolí. Mohou to být typická práva vyžadovaná všemi zaměstnanci společnosti k veřejným systémům, jako je Active Directory (AD), poštovní systémy, Správce služeb a podobně. Poté lze vytvořené matice rolí pro informační systémy zahrnout do celkového modelu rolí a zkombinovat je do obchodních rolí.
Pomocí tohoto přístupu bude v budoucnu při implementaci systému IdM snadné automatizovat celý proces udělování přístupových práv na základě vytvořených rolí první fáze.
NB Neměli byste se snažit okamžitě zahrnout do integrace co nejvíce systémů. Systémy se složitější architekturou a strukturou správy přístupových práv se v první fázi nejlépe připojují k IdM v poloautomatickém režimu. Tzn., že na základě personálních událostí implementujte pouze automatické generování žádosti o přístup, která se odešle k vyřízení administrátorovi a ten nastaví práva ručně.
Po úspěšném absolvování první etapy je možné rozšířit funkcionalitu systému o nové pokročilé podnikové procesy, implementovat plnou automatizaci a škálování s napojením dalších informačních systémů.
Jinými slovy, pro přípravu na implementaci IdM je nutné posoudit připravenost informačních systémů na nový proces a předem doladit externí rozhraní pro správu uživatelských účtů a práv, pokud taková rozhraní nejsou v systém. Dále je nutné rozpracovat problematiku postupného vytváření rolí v informačních systémech pro integrovanou kontrolu přístupu.
Organizační činnost
Organizační záležitosti by se neměly podceňovat. V některých případech mohou hrát rozhodující roli, protože výsledek celého projektu často závisí na efektivní interakci mezi odděleními. K tomu obvykle doporučujeme vytvořit tým procesních účastníků v organizaci, který bude zahrnovat všechna zainteresovaná oddělení. Protože je to pro lidi další zátěž, snažte se předem vysvětlit všem účastníkům budoucího procesu jejich roli a význam ve struktuře interakce. Pokud v této fázi „prodáte“ myšlenku IdM kolegům, můžete se v budoucnu vyhnout mnoha potížím.
„Majiteli“ projektu implementace IdM ve firmě jsou často oddělení informační bezpečnosti nebo IT a názor obchodních oddělení se nebere v úvahu. To je velká chyba, protože jen oni vědí, jak a v jakých obchodních procesech se jednotlivé zdroje používají, kdo by k nim měl mít přístup a kdo ne. Proto je ve fázi přípravy důležité uvést, že za funkční model, na jehož základě jsou vyvíjeny sady práv (rolí) uživatelů v informačním systému, je odpovědný vlastník firmy, jakož i za zajištění toho, aby byly tyto role aktualizovány. Vzor není statická matice, která byla jednou postavena a na to se můžete uklidnit. Jedná se o „živý organismus“, který se musí neustále měnit, aktualizovat a rozvíjet v návaznosti na změny ve struktuře organizace a funkčnosti zaměstnanců. V opačném případě buď nastanou problémy spojené se zpožděním při udělování přístupu, nebo budou existovat rizika informační bezpečnosti spojená s nadměrnými přístupovými právy, což je ještě horší.
Jak víte, „sedm chův má dítě bez oka“, takže společnost by měla vyvinout metodiku, která popisuje architekturu vzoru, interakci a odpovědnost konkrétních účastníků procesu za jeho udržování v aktuálním stavu. Pokud má společnost mnoho oblastí obchodní činnosti a podle toho mnoho divizí a oddělení, pak pro každou oblast (například půjčování, provoz, vzdálené služby, dodržování předpisů a další) jako součást procesu řízení přístupu založeného na rolích, je nutné jmenovat samostatné kurátory. Jejich prostřednictvím bude možné rychle získat informace o změnách ve struktuře jednotky a přístupových právech požadovaných pro jednotlivé role.
Je nezbytně nutné získat podporu vedení organizace pro řešení konfliktních situací mezi odděleními – účastníky procesu. A konflikty při zavádění jakéhokoli nového procesu jsou nevyhnutelné, věřte našim zkušenostem. Je tedy potřeba arbitra, který vyřeší případné střety zájmů, aby se neztrácel čas kvůli něčím nedorozuměním a sabotážím.
NB Školení zaměstnanců je dobrým začátkem pro zvýšení povědomí. Podrobná studie fungování budoucího procesu, role každého účastníka v něm minimalizuje potíže s přechodem na nové řešení.
Kontrolní seznam
Stručně řečeno, zde jsou hlavní kroky, které by organizace plánující implementaci IdM měla podniknout:
- dát věci do pořádku v personálních datech;
- zadejte jedinečný identifikační parametr pro každého zaměstnance;
- posoudit připravenost informačních systémů na implementaci IdM;
- vyvíjet rozhraní pro interakci s informačními systémy pro řízení přístupu, pokud nejsou k dispozici, a přidělovat zdroje pro tyto práce;
- rozvíjet a budovat vzor;
- vybudovat model řízení procesu a zahrnout kurátory z každé obchodní oblasti;
- vyberte několik systémů pro počáteční připojení k IdM;
- vytvořit efektivní projektový tým;
- získat podporu vedení společnosti;
- vlakový personál.
Proces přípravy může být obtížný, takže pokud je to možné, zapojte konzultanty.
Implementace IdM řešení není jednoduchým a odpovědným krokem a pro jeho úspěšnou implementaci stojí jak úsilí každé strany jednotlivě – zaměstnanců obchodních jednotek, IT a služeb informační bezpečnosti, tak souhra celého týmu jako celku. Důležité. Ale námaha stojí za to: po implementaci IdM ve firmě se snižuje počet incidentů spojených s nadměrnými pravomocemi a neoprávněnými právy v informačních systémech; mizí prostoje zaměstnanců z důvodu nedostatku/dlouhého čekání na potřebná práva; díky automatizaci se snižují mzdové náklady a zvyšuje se produktivita práce IT a služeb informační bezpečnosti.
Zdroj: www.habr.com