ProHoster > Blog > administración > Implementación de IdM. Preparación para la implementación por parte del cliente.

Implementación de IdM. Preparación para la implementación por parte del cliente.

En artículos anteriores, ya hemos analizado qué es IdM, cómo saber si su organización necesita un sistema de este tipo, qué problemas resuelve y cómo justificar el presupuesto de implementación ante la dirección. Hoy hablaremos de las etapas importantes que debe atravesar la propia organización para alcanzar el nivel adecuado de madurez antes de implementar un sistema IdM. Después de todo, IdM está diseñado para automatizar procesos, pero es imposible automatizar el caos.

Implementación de IdM. Preparación para la implementación por parte del cliente.

Hasta que una empresa crece hasta alcanzar el tamaño de una gran empresa y ha acumulado muchos sistemas comerciales diferentes, normalmente no piensa en el control de acceso. Por tanto, los procesos de obtención de derechos y control de facultades en el mismo no están estructurados y son difíciles de analizar. Los empleados completan solicitudes de acceso como lo desean, el proceso de aprobación tampoco está formalizado y, en ocasiones, simplemente no existe. Es imposible saber rápidamente qué acceso tiene un empleado, quién lo aprobó y sobre qué base.

Implementación de IdM. Preparación para la implementación por parte del cliente.
Teniendo en cuenta que el proceso de automatización del acceso afecta a dos aspectos principales: los datos del personal y los datos de los sistemas de información con los que se va a realizar la integración, consideraremos los pasos necesarios para garantizar que la implementación de IdM se desarrolle sin problemas y no provoque rechazo:

  1. Análisis de procesos de personal y optimización del soporte de bases de datos de empleados en sistemas de personal.
  2. Análisis de datos de usuarios y derechos, así como actualización de métodos de control de acceso en los sistemas de destino que se prevé conectar a IdM.
  3. Actividades organizativas y participación del personal en el proceso de preparación para la implementación de IdM.

Datos del personal

Puede haber una fuente de datos de personal en una organización o puede haber varias. Por ejemplo, una organización puede tener una red de sucursales bastante amplia y cada sucursal puede utilizar su propia base de personal.

En primer lugar, es necesario comprender qué datos básicos sobre los empleados se almacenan en el sistema de registro de personal, qué eventos se registran y evaluar su integridad y estructura.

A menudo sucede que no todos los eventos de personal se anotan en la fuente de personal (y más a menudo se anotan de manera inoportuna y no del todo correcta). A continuación se muestran algunos ejemplos típicos:

  • Las licencias, sus categorías y plazos (ordinarios o de largo plazo) no se registran;
  • El empleo a tiempo parcial no se registra: por ejemplo, durante una licencia de larga duración para cuidar a un hijo, un empleado puede trabajar simultáneamente a tiempo parcial;
  • el estado real del candidato o empleado ya ha cambiado (recepción/traslado/despido), y la orden sobre este evento se emite con retraso;
  • un empleado es trasladado a un nuevo puesto regular mediante despido, mientras que el sistema de personal no registra información de que se trata de un despido técnico.

También vale la pena prestar especial atención a la evaluación de la calidad de los datos, ya que cualquier error e inexactitud obtenidos de una fuente confiable, como son los sistemas de recursos humanos, puede resultar costoso en el futuro y causar muchos problemas al implementar IdM. Por ejemplo, los empleados de RR.HH. suelen introducir puestos de trabajo en el sistema de personal en diferentes formatos: letras mayúsculas y minúsculas, abreviaturas, diferentes números de espacios, etc. Como resultado, el mismo puesto se puede registrar en el sistema de personal en las siguientes variaciones:

  • Gerente senior
  • Gerente senior
  • Gerente senior
  • Arte. gerente…

A menudo tienes que lidiar con diferencias en la ortografía de tu nombre:

  • Shmeleva Natalya Gennadievna,
  • Shmeleva Natalia Gennadievna...

Para una mayor automatización, tal confusión es inaceptable, especialmente si estos atributos son un signo clave de identificación, es decir, los datos sobre el empleado y sus poderes en los sistemas se comparan precisamente por su nombre completo.

Implementación de IdM. Preparación para la implementación por parte del cliente.
Además, no debemos olvidarnos de la posible presencia de homónimos y homónimos completos en la empresa. Si una organización tiene mil empleados, puede que haya pocas coincidencias, pero si hay 50 mil, esto puede convertirse en un obstáculo crítico para el correcto funcionamiento del sistema IdM.

Resumiendo todo lo anterior, concluimos: se debe estandarizar el formato de ingreso de datos a la base de datos de personal de la organización. Los parámetros para ingresar nombres, puestos y departamentos deben estar claramente definidos. La mejor opción es cuando un empleado de RR.HH. no ingresa datos manualmente, sino que los selecciona de un directorio creado previamente de la estructura de departamentos y puestos utilizando la función "seleccionar" disponible en la base de datos de personal.

Para evitar más errores en la sincronización y no tener que corregir manualmente las discrepancias en los informes, La forma más preferida de identificar a los empleados es ingresar una identificación. para cada empleado de la organización. Dicho identificador se asignará a cada nuevo empleado y aparecerá tanto en el sistema de personal como en los sistemas de información de la organización como un atributo de cuenta obligatorio. No importa si consta de números o letras, lo principal es que sea único para cada empleado (por ejemplo, mucha gente usa el número de personal del empleado). En el futuro, la introducción de este atributo facilitará enormemente la vinculación de los datos de los empleados en la fuente de personal con sus cuentas y autoridades en los sistemas de información.

Por tanto, será necesario analizar y ordenar todos los pasos y mecanismos de los registros de personal. Es muy posible que algunos procesos deban cambiarse o modificarse. Se trata de un trabajo tedioso y laborioso, pero necesario; de lo contrario, la falta de datos claros y estructurados sobre las actividades del personal provocará errores en su procesamiento automático. En el peor de los casos, los procesos no estructurados serán imposibles de automatizar.

Sistemas de destino

En la siguiente etapa, debemos determinar cuántos sistemas de información queremos integrar en la estructura de IdM, qué datos sobre los usuarios y sus derechos se almacenan en estos sistemas y cómo gestionarlos.

En muchas organizaciones existe la opinión de que instalaremos IdM, configuraremos conectores para los sistemas de destino y, con un movimiento de varita mágica, todo funcionará, sin ningún esfuerzo adicional de nuestra parte. Eso, lamentablemente, no sucede. En las empresas, el panorama de los sistemas de información se está desarrollando y aumentando gradualmente. Cada sistema puede tener un enfoque diferente para otorgar derechos de acceso, es decir, se pueden configurar diferentes interfaces de control de acceso. En algún lugar el control se produce a través de una API (interfaz de programación de aplicaciones), en algún lugar a través de una base de datos que utiliza procedimientos almacenados, en algún lugar puede que no haya ninguna interfaz de interacción. Debe estar preparado para el hecho de que tendrá que reconsiderar muchos procesos existentes para administrar cuentas y derechos en los sistemas de la organización: cambiar el formato de los datos, mejorar las interfaces de interacción con anticipación y asignar recursos para este trabajo.

Modelo a seguir

Probablemente se encontrará con el concepto de modelo a seguir en la etapa de elección de un proveedor de soluciones IdM, ya que este es uno de los conceptos clave en el campo de la gestión de derechos de acceso. En este modelo, el acceso a los datos se proporciona a través de un rol. Un rol es un conjunto de accesos que son mínimamente necesarios para que un empleado en un determinado puesto pueda desempeñar sus responsabilidades funcionales.

El control de acceso basado en roles tiene una serie de ventajas innegables:

  • es sencillo y eficaz asignar los mismos derechos a un gran número de empleados;
  • cambiar rápidamente el acceso de los empleados con el mismo conjunto de derechos;
  • eliminando la redundancia de derechos y delimitando facultades incompatibles para los usuarios.

La matriz de roles se construye primero por separado en cada uno de los sistemas de la organización y luego se escala a todo el panorama de TI, donde los roles comerciales globales se forman a partir de los roles de cada sistema. Por ejemplo, el rol comercial "Contador" incluirá varios roles separados para cada uno de los sistemas de información utilizados en el departamento de contabilidad de la empresa.

Recientemente, se ha considerado una "mejor práctica" crear un modelo a seguir incluso en la etapa de desarrollo de aplicaciones, bases de datos y sistemas operativos. Al mismo tiempo, a menudo hay situaciones en las que los roles no están configurados en el sistema o simplemente no existen. En este caso, el administrador de este sistema debe ingresar la información de la cuenta en varios archivos, bibliotecas y directorios diferentes que brinden los permisos necesarios. El uso de roles predefinidos le permite otorgar privilegios para realizar una amplia gama de operaciones en un sistema con datos compuestos complejos.

Los roles en un sistema de información generalmente se distribuyen para puestos y departamentos según la estructura de personal, pero también se pueden crear para ciertos procesos comerciales. Por ejemplo, en una organización financiera, varios empleados del departamento de liquidación ocupan el mismo puesto: operador. Pero dentro del departamento también hay una distribución en procesos separados, según diferentes tipos de operaciones (externas o internas, en diferentes monedas, con diferentes segmentos de la organización). Para proporcionar a cada una de las áreas comerciales de un departamento acceso al sistema de información de acuerdo con los detalles requeridos, es necesario incluir derechos en los roles funcionales individuales. Esto permitirá prever un conjunto mínimo suficiente de competencias, que no incluya derechos redundantes, para cada uno de los ámbitos de actividad.

Además, para sistemas grandes con cientos de roles, miles de usuarios y millones de permisos, es una buena práctica utilizar una jerarquía de roles y herencia de privilegios. Por ejemplo, el rol principal Administrador heredará los privilegios de los roles secundarios: Usuario y Lector, ya que el Administrador puede hacer todo lo que el Usuario y el Lector pueden hacer, además tendrá derechos administrativos adicionales. Al utilizar la jerarquía, no es necesario volver a especificar los mismos derechos en múltiples funciones del mismo módulo o sistema.

En la primera etapa, puede crear roles en aquellos sistemas donde el número posible de combinaciones de derechos no es muy grande y, como resultado, es fácil gestionar un pequeño número de roles. Estos pueden ser derechos típicos requeridos por todos los empleados de la empresa sobre sistemas de acceso público como Active Directory (AD), sistemas de correo, Service Manager y similares. Luego, las matrices de roles creadas para los sistemas de información se pueden incluir en el modelo de roles general, combinándolos en roles de Negocio.

Con este enfoque, en el futuro, al implementar un sistema IdM, será fácil automatizar todo el proceso de concesión de derechos de acceso en función de los roles creados en la primera etapa.

NB No debe intentar incluir inmediatamente tantos sistemas como sea posible en la integración. Es mejor conectar sistemas con una arquitectura y una estructura de gestión de derechos de acceso más complejas a IdM en modo semiautomático en la primera etapa. Es decir, implementar, en base a eventos de personal, solo la generación automática de una solicitud de acceso, la cual será enviada al administrador para su ejecución, quien configurará los derechos manualmente.

Después de completar con éxito la primera etapa, podrá ampliar la funcionalidad del sistema a nuevos procesos comerciales ampliados, implementar una automatización completa y escalar con la conexión de sistemas de información adicionales.

Implementación de IdM. Preparación para la implementación por parte del cliente.
En otras palabras, para prepararse para la implementación de IdM, es necesario evaluar la preparación de los sistemas de información para el nuevo proceso y finalizar con anticipación las interfaces de interacción externa para administrar cuentas de usuario y derechos de usuario, si dichas interfaces no están disponibles. disponible en el sistema. También debería explorarse la cuestión de la creación paso a paso de roles en los sistemas de información para un control integral del acceso.

Actividades organizativas

Tampoco descarte los problemas organizativos. En algunos casos, pueden desempeñar un papel decisivo, porque el resultado de todo el proyecto depende a menudo de una interacción eficaz entre los departamentos. Para ello, habitualmente aconsejamos crear un equipo de participantes en el proceso de la organización, en el que estarán incluidos todos los departamentos implicados. Dado que esto supone una carga adicional para las personas, intente explicar de antemano a todos los participantes en el proceso futuro su papel y significado en la estructura de interacción. Si "vendes" la idea de IdM a tus colegas en esta etapa, podrás evitar muchas dificultades en el futuro.

Implementación de IdM. Preparación para la implementación por parte del cliente.
A menudo, los departamentos de seguridad de la información o TI son los “propietarios” del proyecto de implementación de IdM en una empresa y las opiniones de los departamentos comerciales no se tienen en cuenta. Esto es un gran error, porque sólo ellos saben cómo y en qué procesos de negocio se utiliza cada recurso, a quién se le debe dar acceso a él y a quién no. Por lo tanto, en la etapa de preparación, es importante indicar que es el propietario de la empresa quien es responsable del modelo funcional a partir del cual se desarrollan los conjuntos de derechos (roles) de los usuarios en el sistema de información, así como de garantizar que estos roles se mantienen actualizados. Un modelo a seguir no es una matriz estática que se construye una vez y puedes calmarte sobre ella. Se trata de un “organismo vivo” que debe cambiar, actualizarse y desarrollarse constantemente, siguiendo los cambios en la estructura de la organización y la funcionalidad de los empleados. De lo contrario, surgirán problemas asociados con retrasos en la provisión de acceso, o surgirán riesgos de seguridad de la información asociados con derechos de acceso excesivos, lo que es aún peor.

Como saben, “siete niñeras tienen un niño sin ojo”, por lo que la empresa debe desarrollar una metodología que describa la arquitectura del modelo a seguir, la interacción y la responsabilidad de los participantes específicos en el proceso para mantenerlo actualizado. Si una empresa tiene muchas áreas de actividad comercial y, en consecuencia, muchas divisiones y departamentos, entonces para cada área (por ejemplo, préstamos, trabajo operativo, servicios remotos, cumplimiento y otros) como parte del proceso de gestión de acceso basado en roles, Es necesario nombrar curadores separados. A través de ellos será posible recibir rápidamente información sobre cambios en la estructura del departamento y los derechos de acceso requeridos para cada rol.

Es imperativo contar con el apoyo de la dirección de la organización para resolver situaciones de conflicto entre los departamentos que participan en el proceso. Y los conflictos al introducir cualquier nuevo proceso son inevitables, según nuestra experiencia. Por tanto, necesitamos un árbitro que resuelva posibles conflictos de intereses, para no perder el tiempo por malentendidos y sabotajes ajenos.

Implementación de IdM. Preparación para la implementación por parte del cliente.
NB Un buen lugar para empezar a crear conciencia es capacitar a su personal. Un estudio detallado del funcionamiento del proceso futuro y el papel de cada participante en él minimizará las dificultades de la transición a una nueva solución.

Lista de Verificación

En resumen, resumimos los principales pasos que debe seguir una organización que planea implementar IdM:

  • poner orden en los datos del personal;
  • ingresar un parámetro de identificación único para cada empleado;
  • evaluar la preparación de los sistemas de información para la implementación de IdM;
  • desarrollar interfaces para la interacción con sistemas de información para el control de acceso, en caso de que falten, y asignar recursos para este trabajo;
  • desarrollar y construir un modelo a seguir;
  • construir un proceso de gestión de modelos a seguir e incluir en él curadores de cada área de negocio;
  • seleccionar varios sistemas para la conexión inicial a IdM;
  • crear un equipo de proyecto eficaz;
  • obtener el apoyo de la dirección de la empresa;
  • capacitar al personal.

El proceso de preparación puede ser difícil, así que, si es posible, involucre a consultores.

Implementar una solución IdM es un paso difícil y responsable, y para su implementación exitosa, son importantes tanto los esfuerzos de cada parte individualmente (empleados de los departamentos comerciales, TI y servicios de seguridad de la información) como la interacción de todo el equipo en su conjunto. Pero el esfuerzo vale la pena: después de implementar IdM en una empresa, disminuye el número de incidentes relacionados con poderes excesivos y derechos no autorizados en los sistemas de información; desaparece el tiempo de inactividad de los empleados debido a la falta/larga espera de los derechos necesarios; Gracias a la automatización, se reducen los costos laborales y aumenta la productividad laboral de los servicios de seguridad de la información y TI.

Fuente: habr.com

Añadir un comentario