Implementierung von IdM. Vorbereitung der Implementierung durch den Kunden

In früheren Artikeln haben wir uns bereits damit befasst, was IdM ist, wie Sie verstehen, ob Ihre Organisation ein solches System benötigt, welche Probleme es löst und wie Sie das Implementierungsbudget gegenüber dem Management rechtfertigen. Heute werden wir über die wichtigen Phasen sprechen, die die Organisation selbst durchlaufen muss, um den richtigen Reifegrad vor der Implementierung eines IdM-Systems zu erreichen. Schließlich ist IdM darauf ausgelegt, Prozesse zu automatisieren, aber Chaos lässt sich nicht automatisieren.

Bis ein Unternehmen die Größe eines Großkonzerns erreicht und viele verschiedene Geschäftssysteme angesammelt hat, denkt es normalerweise nicht an die Zugangskontrolle. Daher sind die Prozesse zur Erlangung von Rechten und Kontrollbefugnissen darin nicht strukturiert und schwer zu analysieren. Mitarbeiter füllen Zutrittsanträge nach eigenem Ermessen aus, auch der Genehmigungsprozess ist nicht formalisiert und manchmal gibt es ihn auch einfach nicht. Es ist unmöglich, schnell herauszufinden, welchen Zugriff ein Mitarbeiter hat, wer ihn genehmigt hat und auf welcher Grundlage.

In Anbetracht der Tatsache, dass der Prozess der Zugriffsautomatisierung zwei Hauptaspekte betrifft – Personaldaten und Daten aus Informationssystemen, mit denen die Integration durchgeführt werden soll – werden wir die notwendigen Schritte prüfen, um sicherzustellen, dass die Implementierung von IdM reibungslos verläuft und keine Ablehnung hervorruft:

1. Analyse von Personalprozessen und Optimierung der Mitarbeiterdatenbankunterstützung in Personalsystemen.
2. Analyse von Benutzer- und Rechtedaten sowie Aktualisierung von Zugriffskontrollmethoden in Zielsystemen, die an IdM angeschlossen werden sollen.
3. Organisatorische Aktivitäten und personelle Einbindung in den Prozess der Vorbereitung der IdM-Implementierung.

Personaldaten

In einer Organisation kann es eine oder mehrere Quellen für Personaldaten geben. Beispielsweise kann eine Organisation über ein ziemlich großes Zweigstellennetz verfügen und jede Zweigstelle verfügt möglicherweise über eine eigene Personalbasis.

Zunächst ist es notwendig zu verstehen, welche Grunddaten über Mitarbeiter in der Personalakte gespeichert sind, welche Ereignisse erfasst werden und deren Vollständigkeit und Struktur zu bewerten.

Es kommt häufig vor, dass nicht alle Personalereignisse in der Personalquelle vermerkt sind (und noch häufiger werden sie verspätet und nicht ganz korrekt vermerkt). Hier einige typische Beispiele:

• Urlaub, seine Kategorien und Laufzeiten (regelmäßig oder langfristig) werden nicht erfasst;
• Teilzeitbeschäftigung wird nicht erfasst: Beispielsweise kann ein Arbeitnehmer während einer Langzeitbeschäftigung zur Betreuung eines Kindes gleichzeitig Teilzeit arbeiten;
• der tatsächliche Status des Kandidaten oder Mitarbeiters hat sich bereits geändert (Aufnahme/Versetzung/Entlassung) und die Anordnung zu diesem Ereignis wird mit Verzögerung erteilt;
• ein Mitarbeiter wird durch Entlassung auf eine neue reguläre Stelle versetzt, während im Personalsystem keine Information erfasst wird, dass es sich um eine technische Entlassung handelt.

Es lohnt sich auch, der Bewertung der Datenqualität besondere Aufmerksamkeit zu widmen, da Fehler und Ungenauigkeiten, die von einer vertrauenswürdigen Quelle, nämlich HR-Systemen, stammen, in Zukunft kostspielig sein und viele Probleme bei der Implementierung von IdM verursachen können. Beispielsweise geben HR-Mitarbeiter Mitarbeiterpositionen häufig in unterschiedlichen Formaten in das Personalsystem ein: Groß- und Kleinbuchstaben, Abkürzungen, unterschiedliche Anzahl von Leerzeichen und dergleichen. Dadurch kann die gleiche Planstelle in folgenden Varianten im Personalsystem erfasst werden:

• Senior Manager
• Senior Manager
• Senior Manager
• Kunst. Manager…

Oft haben Sie mit Unterschieden in der Schreibweise Ihres Namens zu kämpfen:

• Shmeleva Natalya Gennadievna,
• Shmeleva Natalia Gennadievna...

Für eine weitere Automatisierung ist ein solches Durcheinander nicht akzeptabel, insbesondere wenn es sich bei diesen Attributen um ein zentrales Identifikationsmerkmal handelt, also Daten über den Mitarbeiter und seine Befugnisse in den Systemen namentlich genau abgeglichen werden.

Darüber hinaus sollten wir die mögliche Anwesenheit von Namensgebern und vollständigen Namensgebern im Unternehmen nicht vergessen. Wenn eine Organisation tausend Mitarbeiter hat, gibt es möglicherweise nur wenige solcher Übereinstimmungen, aber wenn es 50 sind, kann dies zu einem entscheidenden Hindernis für den ordnungsgemäßen Betrieb des IdM-Systems werden.

Zusammenfassend kommen wir zu dem Schluss: Das Format für die Eingabe von Daten in die Personaldatenbank der Organisation muss standardisiert werden. Die Parameter zur Eingabe von Namen, Positionen und Abteilungen müssen klar definiert sein. Die beste Option ist, wenn ein HR-Mitarbeiter die Daten nicht manuell eingibt, sondern diese über die in der Personaldatenbank verfügbare Funktion „Auswählen“ aus einem vorab erstellten Verzeichnis der Abteilungs- und Stellenstruktur auswählt.

Um weitere Fehler bei der Synchronisierung zu vermeiden und Abweichungen in Berichten nicht manuell korrigieren zu müssen, Die am häufigsten verwendete Methode zur Identifizierung von Mitarbeitern ist die Eingabe einer ID für jeden Mitarbeiter der Organisation. Eine solche Kennung wird jedem neuen Mitarbeiter zugewiesen und erscheint sowohl im Personalsystem als auch in den Informationssystemen der Organisation als obligatorisches Kontoattribut. Dabei spielt es keine Rolle, ob es aus Zahlen oder Buchstaben besteht, Hauptsache es ist für jeden Mitarbeiter eindeutig (viele nutzen beispielsweise die Personalnummer des Mitarbeiters). Zukünftig wird die Einführung dieses Attributs die Verknüpfung der Mitarbeiterdaten in der Personalquelle mit seinen Konten und Befugnissen in Informationssystemen erheblich erleichtern.

Daher müssen alle Schritte und Mechanismen der Personalakten analysiert und in Ordnung gebracht werden. Es ist durchaus möglich, dass einige Prozesse geändert oder modifiziert werden müssen. Dies ist eine langwierige und mühsame Arbeit, die aber notwendig ist, da sonst der Mangel an klaren und strukturierten Daten zu Personalereignissen zu Fehlern in deren automatischer Verarbeitung führt. Im schlimmsten Fall lassen sich unstrukturierte Prozesse gar nicht mehr automatisieren.

Zielsysteme

Im nächsten Schritt müssen wir herausfinden, wie viele Informationssysteme wir in die IdM-Struktur integrieren möchten, welche Daten über Benutzer und ihre Rechte in diesen Systemen gespeichert sind und wie wir sie verwalten.

In vielen Organisationen herrscht die Meinung vor, dass wir IdM installieren, Konnektoren zu den Zielsystemen konfigurieren und mit einem Zauberstab alles ohne zusätzlichen Aufwand unsererseits klappt. Das passiert leider nicht. In Unternehmen entwickelt sich die Informationssystemlandschaft schrittweise weiter. Jedes System kann einen anderen Ansatz zur Gewährung von Zugriffsrechten verfolgen, d. h. es können unterschiedliche Zugriffskontrollschnittstellen konfiguriert werden. Irgendwo erfolgt die Steuerung über eine API (Application Programming Interface), irgendwo über eine Datenbank mithilfe gespeicherter Prozeduren, irgendwo gibt es möglicherweise überhaupt keine Interaktionsschnittstellen. Sie sollten darauf vorbereitet sein, dass Sie viele bestehende Prozesse zur Verwaltung von Konten und Rechten in den Systemen der Organisation überdenken müssen: Ändern Sie das Datenformat, verbessern Sie die Interaktionsschnittstellen im Voraus und stellen Sie Ressourcen für diese Arbeit bereit.

Vorbild

Bei der Auswahl eines IdM-Lösungsanbieters werden Sie wahrscheinlich auf das Konzept eines Vorbilds stoßen, da dies eines der Schlüsselkonzepte im Bereich der Zugriffsrechteverwaltung ist. In diesem Modell wird der Zugriff auf Daten über eine Rolle bereitgestellt. Eine Rolle ist eine Reihe von Zugriffen, die für einen Mitarbeiter in einer bestimmten Position mindestens erforderlich sind, um seine funktionalen Verantwortlichkeiten wahrzunehmen.

Die rollenbasierte Zugriffskontrolle bietet eine Reihe unbestreitbarer Vorteile:

• es ist einfach und effektiv, einer großen Anzahl von Mitarbeitern die gleichen Rechte zuzuweisen;
• den Zugriff von Mitarbeitern mit den gleichen Rechten umgehend ändern;
• Beseitigung redundanter Rechte und Abgrenzung unvereinbarer Befugnisse für Benutzer.

Die Rollenmatrix wird zunächst in jedem System der Organisation separat erstellt und dann auf die gesamte IT-Landschaft skaliert, wo aus den Rollen jedes Systems globale Geschäftsrollen gebildet werden. Beispielsweise umfasst die Geschäftsrolle „Buchhalter“ mehrere separate Rollen für jedes der Informationssysteme, die in der Buchhaltungsabteilung des Unternehmens verwendet werden.

In jüngster Zeit gilt es als „Best Practice“, bereits bei der Entwicklung von Anwendungen, Datenbanken und Betriebssystemen ein Vorbild zu sein. Gleichzeitig kommt es häufig vor, dass Rollen im System nicht konfiguriert sind oder einfach nicht vorhanden sind. In diesem Fall muss der Administrator dieses Systems Kontoinformationen in mehrere verschiedene Dateien, Bibliotheken und Verzeichnisse eingeben, die die erforderlichen Berechtigungen bereitstellen. Durch die Verwendung vordefinierter Rollen können Sie Berechtigungen erteilen, um eine ganze Reihe von Vorgängen in einem System mit komplexen zusammengesetzten Daten auszuführen.

Rollen in einem Informationssystem sind in der Regel entsprechend der Besetzungsstruktur auf Stellen und Abteilungen verteilt, können aber auch für bestimmte Geschäftsprozesse angelegt werden. In einer Finanzorganisation besetzen beispielsweise mehrere Mitarbeiter der Abrechnungsabteilung dieselbe Position – den Operator. Aber auch innerhalb der Abteilung erfolgt eine Aufteilung in separate Prozesse, je nach Art der Abläufe (extern oder intern, in unterschiedlichen Währungen, mit unterschiedlichen Segmenten der Organisation). Um jedem Geschäftsbereich einer Abteilung bedarfsgerecht Zugriff auf das Informationssystem zu gewähren, ist die Aufnahme von Rechten in einzelne Funktionsrollen erforderlich. Dadurch wird es möglich, für jeden Tätigkeitsbereich ein ausreichendes Mindestmaß an Befugnissen vorzusehen, das keine redundanten Rechte einschließt.

Darüber hinaus empfiehlt es sich bei großen Systemen mit Hunderten von Rollen, Tausenden von Benutzern und Millionen von Berechtigungen, eine Hierarchie von Rollen und die Vererbung von Berechtigungen zu verwenden. Beispielsweise erbt die übergeordnete Rolle „Administrator“ die Berechtigungen der untergeordneten Rollen „Benutzer“ und „Leser“, da der Administrator alles tun kann, was der Benutzer und „Leser“ tun kann, und zusätzlich über zusätzliche Administratorrechte verfügt. Durch die Verwendung der Hierarchie ist es nicht erforderlich, dieselben Rechte in mehreren Rollen desselben Moduls oder Systems erneut festzulegen.

Im ersten Schritt können Sie Rollen in solchen Systemen erstellen, in denen die mögliche Anzahl an Rechtekombinationen nicht sehr groß ist und es daher einfach ist, eine kleine Anzahl von Rollen zu verwalten. Dies können typische Rechte sein, die alle Mitarbeiter des Unternehmens an öffentlich zugänglichen Systemen wie Active Directory (AD), Mailsystemen, Service Manager und dergleichen benötigen. Anschließend können die erstellten Rollenmatrizen für Informationssysteme in das allgemeine Rollenmodell aufgenommen und zu Geschäftsrollen zusammengefasst werden.

Mit diesem Ansatz lässt sich künftig bei der Implementierung eines IdM-Systems der gesamte Prozess der Vergabe von Zugriffsrechten auf Basis der erstellten First-Stage-Rollen einfach automatisieren.

NB Sie sollten nicht versuchen, möglichst viele Systeme sofort in die Integration einzubeziehen. Es ist besser, Systeme mit einer komplexeren Architektur und Zugriffsrechteverwaltungsstruktur im ersten Schritt halbautomatisch an IdM anzubinden. Das heißt, implementieren Sie auf Basis von Personalereignissen lediglich die automatische Generierung einer Zugriffsanforderung, die zur Ausführung an den Administrator gesendet wird, und dieser konfiguriert die Rechte manuell.

Nach erfolgreichem Abschluss der ersten Stufe können Sie die Funktionalität des Systems auf neue erweiterte Geschäftsprozesse erweitern, eine vollständige Automatisierung und Skalierung mit der Anbindung zusätzlicher Informationssysteme umsetzen.

Mit anderen Worten: Um sich auf die Implementierung von IdM vorzubereiten, ist es notwendig, die Bereitschaft der Informationssysteme für den neuen Prozess zu bewerten und die externen Interaktionsschnittstellen für die Verwaltung von Benutzerkonten und Benutzerrechten im Voraus fertigzustellen, sofern dies nicht der Fall ist im System verfügbar. Auch die Frage der schrittweisen Schaffung von Rollen in Informationssystemen für eine umfassende Zugriffskontrolle sollte untersucht werden.

Organisatorische Tätigkeiten

Auch organisatorische Fragen dürfen nicht außer Acht gelassen werden. In manchen Fällen können sie eine entscheidende Rolle spielen, da der Erfolg des gesamten Projekts oft von einer effektiven Zusammenarbeit zwischen den Abteilungen abhängt. Hierzu empfehlen wir in der Regel die Bildung eines Teams von Prozessbeteiligten in der Organisation, das alle beteiligten Abteilungen umfasst. Da dies eine zusätzliche Belastung für die Menschen darstellt, versuchen Sie, allen Teilnehmern des zukünftigen Prozesses vorab ihre Rolle und Bedeutung im Interaktionsgefüge zu erklären. Wenn Sie in dieser Phase die Idee von IdM an Ihre Kollegen „verkaufen“, können Sie viele Schwierigkeiten in der Zukunft vermeiden.

Oft sind die Informationssicherheits- oder IT-Abteilungen die „Eigentümer“ des IdM-Implementierungsprojekts in einem Unternehmen und die Meinungen der Fachabteilungen werden nicht berücksichtigt. Das ist ein großer Fehler, denn nur sie wissen, wie und in welchen Geschäftsprozessen die einzelnen Ressourcen genutzt werden, wem Zugriff darauf gewährt werden soll und wem nicht. Daher ist es wichtig, in der Vorbereitungsphase darauf hinzuweisen, dass es der Unternehmer ist, der für das Funktionsmodell verantwortlich ist, auf dessen Grundlage Sätze von Benutzerrechten (Rollen) im Informationssystem entwickelt werden, und dass er dafür sorgt, dass dies sichergestellt wird Diese Rollen werden auf dem neuesten Stand gehalten. Ein Vorbild ist keine statische Matrix, die einmal aufgebaut wird und auf die man sich verlassen kann. Dabei handelt es sich um einen „lebenden Organismus“, der sich ständig verändern, aktualisieren und weiterentwickeln muss, um Veränderungen in der Struktur der Organisation und der Funktionalität der Mitarbeiter zu berücksichtigen. Andernfalls kommt es entweder zu Problemen im Zusammenhang mit Verzögerungen bei der Bereitstellung des Zugangs oder es entstehen Risiken für die Informationssicherheit im Zusammenhang mit übermäßigen Zugangsrechten, was noch schlimmer ist.

Wie Sie wissen: „Sieben Kindermädchen haben ein Kind ohne Auge“, daher muss das Unternehmen eine Methodik entwickeln, die die Architektur des Vorbilds, die Interaktion und die Verantwortung bestimmter Prozessbeteiligter für die Aktualisierung beschreibt. Verfügt ein Unternehmen über viele Geschäftsfelder und dementsprechend viele Abteilungen und Abteilungen, dann ist dies für jeden Bereich (z. B. Kreditvergabe, operative Arbeit, Remote Services, Compliance und andere) im Rahmen des rollenbasierten Zugriffsverwaltungsprozesses der Fall Es ist notwendig, separate Kuratoren zu ernennen. Über sie wird es möglich sein, schnell Informationen über Änderungen in der Struktur der Abteilung und die für jede Rolle erforderlichen Zugriffsrechte zu erhalten.

Zur Lösung von Konfliktsituationen zwischen den am Prozess beteiligten Abteilungen ist es zwingend erforderlich, die Unterstützung der Unternehmensleitung in Anspruch zu nehmen. Und Konflikte bei der Einführung eines neuen Prozesses sind unvermeidlich, glauben Sie unserer Erfahrung. Deshalb brauchen wir einen Schiedsrichter, der mögliche Interessenkonflikte löst, um keine Zeit durch Missverständnisse und Sabotage anderer zu verschwenden.

NB Ein guter Ausgangspunkt für die Sensibilisierung ist die Schulung Ihrer Mitarbeiter. Eine detaillierte Untersuchung der Funktionsweise des zukünftigen Prozesses und der Rolle jedes einzelnen Teilnehmers daran wird die Schwierigkeiten beim Übergang zu einer neuen Lösung minimieren.

Checkliste

Zusammenfassend fassen wir die wichtigsten Schritte zusammen, die eine Organisation, die die Implementierung von IdM plant, unternehmen sollte:

• Ordnung in die Personaldaten bringen;
• Geben Sie für jeden Mitarbeiter einen eindeutigen Identifikationsparameter ein;
• die Bereitschaft von Informationssystemen für die Implementierung von IdM beurteilen;
• Schnittstellen für die Interaktion mit Informationssystemen zur Zugangskontrolle entwickeln, sofern diese fehlen, und Ressourcen für diese Arbeit bereitstellen;
• ein Vorbild entwickeln und aufbauen;
• einen Vorbild-Managementprozess aufbauen und Kuratoren aus jedem Geschäftsbereich darin einbeziehen;
• Wählen Sie mehrere Systeme für die Erstverbindung mit IdM aus;
• ein effektives Projektteam zusammenstellen;
• Unterstützung von der Unternehmensleitung erhalten;
• Zugpersonal.

Der Vorbereitungsprozess kann schwierig sein. Ziehen Sie daher nach Möglichkeit Berater hinzu.

Die Implementierung einer IdM-Lösung ist ein schwieriger und verantwortungsvoller Schritt, und für ihre erfolgreiche Implementierung sind sowohl die Bemühungen jeder einzelnen Partei – Mitarbeiter der Geschäftsabteilungen, IT- und Informationssicherheitsdienste – als auch das Zusammenspiel des gesamten Teams wichtig. Aber der Aufwand lohnt sich: Nach der Implementierung von IdM in einem Unternehmen sinkt die Zahl der Vorfälle im Zusammenhang mit übermäßigen Befugnissen und unbefugten Rechten in Informationssystemen; Ausfallzeiten der Mitarbeiter aufgrund fehlender/langes Warten auf notwendige Rechte entfallen; Durch die Automatisierung werden die Arbeitskosten gesenkt und die Arbeitsproduktivität von IT- und Informationssicherheitsdiensten erhöht.

Source: habr.com