Korábbi cikkeinkben már megvizsgáltuk, mi az az IdM, hogyan érthető meg, hogy a szervezetének szüksége van-e ilyen rendszerre, milyen problémákat old meg, és hogyan indokolja meg a megvalósítás költségvetését a menedzsment számára. Ma azokról a fontos lépésekről fogunk beszélni, amelyeken magának a szervezetnek kell keresztülmennie ahhoz, hogy elérje a megfelelő érettségi szintet az IdM rendszer bevezetése előtt. Végül is az IdM-et a folyamatok automatizálására tervezték, de lehetetlen automatizálni a káoszt.
Amíg egy vállalat fel nem nő egy nagyvállalat méretére, és sok különböző üzleti rendszert nem halmozott fel, általában nem gondol a hozzáférés-szabályozásra. Ezért a jogok megszerzésének és az ellenőrzési jogosítványoknak a folyamatai nem strukturáltak és nehezen elemezhetők. Az alkalmazottak tetszés szerint töltik ki a hozzáférési kérelmeket, a jóváhagyási folyamat szintén nem formalizált, és néha egyszerűen nem is létezik. Lehetetlen gyorsan kitalálni, hogy egy alkalmazott milyen hozzáféréssel rendelkezik, ki és milyen alapon hagyta jóvá.
Tekintettel arra, hogy a hozzáférés automatizálásának folyamata két fő szempontot érint - a személyi adatokat és az információs rendszerek adatait, amelyekkel az integrációt meg kívánjuk valósítani, megfontoljuk a szükséges lépéseket annak érdekében, hogy az IdM bevezetése zökkenőmentesen menjen, és ne okozzon elutasítást:
- Személyzeti folyamatok elemzése és alkalmazotti adatbázis-támogatás optimalizálása a személyzeti rendszerekben.
- Felhasználói és jogosultsági adatok elemzése, valamint hozzáférés-szabályozási módszerek frissítése az IdM-hez csatlakoztatni tervezett célrendszerekben.
- Szervezeti tevékenység és személyzet bevonása az IdM megvalósítására való felkészülés folyamatába.
Személyi adatok
Egy szervezetben lehet egy személyi adatok forrása, vagy több is. Például egy szervezet meglehetősen széles fiókhálózattal rendelkezhet, és mindegyik fiók használhatja saját személyzeti bázisát.
Mindenekelőtt meg kell érteni, hogy az alkalmazottakról milyen alapadatokat tárolnak a személyi nyilvántartási rendszerben, milyen eseményeket rögzítenek, értékelni kell azok teljességét, szerkezetét.
Gyakran előfordul, hogy nem minden személyi esemény kerül feljegyzésre a személyzeti forrásban (és még gyakrabban kerülnek feljegyzésre idő előtt és nem teljesen helyesen). Íme néhány tipikus példa:
- A leveleket, azok kategóriáit és idejét (rendszeres vagy hosszú távú) nem rögzítik;
- A részmunkaidős foglalkoztatást nem rögzítik: például a gyermek gondozása miatti hosszú távú szabadságon a munkavállaló egyidejűleg részmunkaidőben is dolgozhat;
- a jelölt vagy munkavállaló tényleges státusza már megváltozott (átvétel/áthelyezés/elbocsátás), és az erről szóló végzést késéssel adják ki;
- a munkavállalót elbocsátással új rendes munkakörbe helyezik át, miközben a személyzeti rendszer nem rögzíti azt az információt, hogy technikai felmondásról van szó.
Az adatok minőségének értékelésére is érdemes kiemelt figyelmet fordítani, hiszen a megbízható forrásból, azaz a HR-rendszerekből származó esetleges hibák, pontatlanságok a jövőben költségesek lehetnek, és számos problémát okozhatnak az IdM bevezetése során. Például a HR-esek gyakran különböző formátumban írják be az alkalmazotti pozíciókat a személyzeti rendszerbe: nagy- és kisbetűkkel, rövidítésekkel, különböző számú szóközzel és hasonlókkal. Ennek eredményeként ugyanaz a pozíció a következő változatokban rögzíthető a személyzeti rendszerben:
- Vezető menedzser
- felsővezető
- felsővezető
- Művészet. menedzser…
Gyakran meg kell küzdened a neved helyesírási különbségeivel:
- Shmeleva Natalya Gennadievna,
- Shmeleva Natalia Gennadievna...
A további automatizálás érdekében az ilyen zagyvaság elfogadhatatlan, különösen akkor, ha ezek az attribútumok az azonosítás kulcsfontosságú jelei, vagyis az alkalmazottra és a rendszerben lévő hatáskörére vonatkozó adatokat pontosan a teljes név alapján hasonlítják össze.
Emellett nem szabad megfeledkezni a névrokonok és teljes névrokonok esetleges jelenlétéről sem a társaságban. Ha egy szervezetnek ezer alkalmazottja van, akkor lehet, hogy kevés ilyen egyezés van, de ha 50 ezren, akkor ez kritikus akadálya lehet az IdM rendszer megfelelő működésének.
Összegezve a fentieket, arra a következtetésre jutunk: a szervezet személyi adatbázisába történő adatbevitel formátumát szabványosítani kell. A nevek, beosztások és osztályok megadásához szükséges paramétereket egyértelműen meg kell határozni. A legjobb megoldás, ha a HR-es nem manuálisan viszi be az adatokat, hanem a személyi adatbázisban elérhető „kiválasztás” funkcióval kiválasztja azokat egy előre elkészített osztályok és beosztások szerkezeti jegyzékéből.
A további szinkronizálási hibák elkerülése és a jelentések eltéréseinek manuális javítása érdekében az alkalmazottak azonosításának legelőnyösebb módja az azonosító megadása a szervezet minden dolgozója számára. Egy ilyen azonosító minden új alkalmazotthoz hozzárendelődik, és kötelező fiókattribútumként megjelenik mind a személyzeti rendszerben, mind a szervezet információs rendszerében. Teljesen mindegy, hogy számokból vagy betűkből áll, a lényeg, hogy minden alkalmazottnál egyedi legyen (például sokan használják az alkalmazott személyi számát). A jövőben ennek az attribútumnak a bevezetése nagymértékben megkönnyíti a személyzeti forrásban lévő munkavállalói adatok összekapcsolását az információs rendszerekben lévő számláival és hatóságaival.
Tehát a személyzeti nyilvántartás minden lépését és mechanizmusát elemezni és rendbe kell tenni. Nagyon valószínű, hogy bizonyos folyamatokat módosítani vagy módosítani kell. Ez fárasztó és fáradságos munka, de szükséges, különben a személyi eseményekre vonatkozó egyértelmű és strukturált adatok hiánya hibákhoz vezet az automatikus feldolgozás során. A legrosszabb esetben a strukturálatlan folyamatokat egyáltalán nem lehet automatizálni.
Célrendszerek
A következő lépésben azt kell kitalálni, hogy hány információs rendszert kívánunk integrálni az IdM struktúrába, milyen adatokat tárolnak ezekben a rendszerekben a felhasználókról és jogaikról, és hogyan kezeljük azokat.
Sok szervezetben az a vélemény, hogy telepítjük az IdM-et, beállítjuk a csatlakozókat a célrendszerekhez, és egy varázspálca legyintésével minden működni fog, további erőfeszítés nélkül. Ez sajnos nem történik meg. A vállalatoknál az információs rendszerek környezete fokozatosan fejlődik és növekszik. Minden rendszer eltérő módon közelítheti meg a hozzáférési jogokat, azaz különböző beléptető interfészek konfigurálhatók. A vezérlés valahol API-n (alkalmazásprogramozási felületen) keresztül történik, valahol adatbázison keresztül tárolt eljárások segítségével, valahol előfordulhat, hogy egyáltalán nincsenek interakciós felületek. Fel kell készülnie arra, hogy számos meglévő folyamatot át kell gondolnia a fiókok és jogok kezelésére a szervezet rendszereiben: meg kell változtatnia az adatformátumot, előre kell fejlesztenie az interakciós felületeket, és erőforrásokat kell elkülönítenie ehhez a munkához.
Példakép
Valószínűleg az IdM-megoldás szolgáltató kiválasztásának szakaszában találkozik majd a példakép fogalmával, hiszen ez az egyik kulcsfogalom a hozzáférési jogkezelés területén. Ebben a modellben az adatokhoz való hozzáférést egy szerepkör biztosítja. A szerepkör olyan hozzáférések halmaza, amelyek minimálisan szükségesek egy bizonyos pozícióban lévő alkalmazott számára funkcionális feladatai ellátásához.
A szerepkör alapú hozzáférés-vezérlésnek számos tagadhatatlan előnye van:
- egyszerű és hatékony ugyanazokat a jogokat nagyszámú munkavállalóhoz ruházni;
- az azonos jogokkal rendelkező alkalmazottak hozzáférésének azonnali megváltoztatása;
- a jogok redundanciájának megszüntetése és a felhasználók összeférhetetlen jogköreinek elhatárolása.
A szerepmátrixot először külön-külön építik be a szervezet minden rendszerébe, majd a teljes IT-környezetre méretezik, ahol az egyes rendszerek szerepköreiből globális üzleti szerepkörök alakulnak ki. Például a „Könyvelő” üzleti szerepkör több különálló szerepet fog tartalmazni a vállalat számviteli osztályán használt információs rendszerek mindegyikéhez.
Az utóbbi időben „bevált gyakorlatnak” tekintették, hogy már az alkalmazások, adatbázisok és operációs rendszerek fejlesztésének szakaszában is példaképet kell létrehozni. Ugyanakkor gyakran vannak olyan helyzetek, amikor a szerepkörök nincsenek konfigurálva a rendszerben, vagy egyszerűen nem léteznek. Ebben az esetben a rendszer adminisztrátorának több különböző fájlba, könyvtárba és könyvtárba kell beírnia a fiókinformációkat, amelyek biztosítják a szükséges engedélyeket. Az előre definiált szerepkörök használata lehetővé teszi, hogy jogosultságokat adjon a műveletek egész sorának végrehajtásához egy összetett összetett adatokkal rendelkező rendszerben.
Az információs rendszerben a szerepek általában a beosztásoknak és osztályoknak a személyzeti struktúra szerint vannak elosztva, de létrehozhatók bizonyos üzleti folyamatokhoz is. Például egy pénzügyi szervezetben az elszámolási osztály több alkalmazottja ugyanazt a pozíciót - operátort - tölti be. De az osztályon belül is létezik külön folyamatokba való felosztás, különböző típusú műveletek szerint (külső vagy belső, különböző pénznemekben, a szervezet különböző szegmenseivel). Annak érdekében, hogy egy-egy részleg üzleti területei a szükséges sajátosságoknak megfelelően hozzáférjenek az információs rendszerhez, szükséges az egyes funkcionális szerepkörökbe beépíteni a jogokat. Ez lehetővé teszi, hogy minden tevékenységi területen minimálisan elegendő hatáskört biztosítsanak, amely nem tartalmazza a redundáns jogokat.
Ezenkívül a több száz szerepkörrel, több ezer felhasználóval és több millió jogosultsággal rendelkező nagy rendszerek esetében jó gyakorlat a szerepek hierarchiája és a jogosultságok öröklése. Például az Adminisztrátor szülő szerepkör örökli a gyermek szerepkörök jogosultságait: Felhasználó és Olvasó, mivel az adminisztrátor mindent megtehet, amit a Felhasználó és az Olvasó, valamint további adminisztrátori jogokkal is rendelkezik. A hierarchia használatával nem szükséges újra megadni ugyanazokat a jogokat ugyanazon modul vagy rendszer több szerepkörében.
Az első szakaszban szerepeket hozhat létre azokban a rendszerekben, ahol a jogosultságok kombinációinak lehetséges száma nem túl nagy, és ennek eredményeként kis számú szerepkör könnyen kezelhető. Ezek tipikus jogok lehetnek, amelyeket a vállalat minden alkalmazottja megkövetel a nyilvánosan elérhető rendszerekhez, például az Active Directoryhoz (AD), a levelezőrendszerekhez, a Service Managerhez és hasonlókhoz. Ezután az információs rendszerek számára létrehozott szerepmátrixok beépíthetők az általános példamodellbe, üzleti szerepkörökké kombinálva.
Ezt a megközelítést alkalmazva a jövőben egy IdM rendszer bevezetésekor a létrehozott első lépcsős szerepkörök alapján könnyen automatizálható lesz a hozzáférési jogok megadásának teljes folyamata.
NB Ne próbálja meg azonnal a lehető legtöbb rendszert bevonni az integrációba. A bonyolultabb architektúrájú és hozzáférési jogosultság-kezelési struktúrájú rendszereket célszerűbb félautomata módban első lépésben az IdM-hez csatlakoztatni. Vagyis a személyi események alapján csak egy hozzáférési kérés automatikus generálását valósítsa meg, amely végrehajtásra elküldésre kerül az adminisztrátornak, és ő manuálisan konfigurálja a jogosultságokat.
Az első szakasz sikeres teljesítése után a rendszer funkcionalitását kiterjesztheti új, kibővített üzleti folyamatokra, teljes automatizálást és skálázást valósíthat meg további információs rendszerek csatlakoztatásával.
Vagyis az IdM bevezetésére való felkészülés érdekében fel kell mérni az információs rendszerek felkészültségét az új folyamatra, és előzetesen véglegesíteni kell a felhasználói fiókok és felhasználói jogok kezelésére szolgáló külső interakciós felületeket, amennyiben ezek nem elérhető a rendszerben. Az átfogó hozzáférés-ellenőrzés érdekében az információs rendszerekben a szerepek lépésről lépésre történő létrehozásának kérdését is meg kell vizsgálni.
Szervezési rendezvények
Ne hagyja figyelmen kívül a szervezési kérdéseket sem. Bizonyos esetekben ezek döntő szerepet játszhatnak, mivel az egész projekt eredménye gyakran az osztályok közötti hatékony interakción múlik. Ehhez általában azt tanácsoljuk, hogy hozzanak létre egy csapatot a folyamatban résztvevőkből a szervezetben, amelybe az összes érintett részleg beletartozik. Mivel ez további terhet jelent az emberek számára, próbálja meg előre elmagyarázni a jövőbeli folyamat minden résztvevőjének, hogy milyen szerepük és fontosságuk az interakciós struktúrában. Ha ebben a szakaszban „eladja” az IdM ötletét kollégáinak, sok nehézséget elkerülhet a jövőben.
Az IdM bevezetési projektjének „tulajdonosai” egy vállalatnál gyakran az információbiztonsági vagy informatikai osztályok, és az üzleti osztályok véleményét nem veszik figyelembe. Ez nagy hiba, mert csak ők tudják, hogy az egyes erőforrásokat hogyan és milyen üzleti folyamatokban használják fel, kinek kell hozzáférést biztosítani és kinek nem. Ezért az előkészítés szakaszában fontos jelezni, hogy a vállalkozás tulajdonosa a felelős azért a funkcionális modellért, amely alapján az információs rendszerben felhasználói jogok (szerepek) készletek kidolgozásra kerülnek, valamint azért, hogy ezeket a szerepköröket naprakészen tartják. A példakép nem egy statikus mátrix, ami egyszer felépül, és megnyugodhatsz rajta. Ez egy „élő szervezet”, amelynek folyamatosan változnia, frissítenie és fejlődnie kell, követve a szervezeti felépítésben és az alkalmazottak működésében bekövetkezett változásokat. Ellenkező esetben vagy problémák merülnek fel a hozzáférés késleltetésével kapcsolatban, vagy a túlzott hozzáférési jogokkal kapcsolatos információbiztonsági kockázatok, ami még rosszabb.
Tudniillik „hét dadának van egy gyereke szem nélkül”, ezért a vállalatnak olyan módszertant kell kidolgoznia, amely leírja a példakép felépítését, a folyamatban részt vevők interakcióját és felelősségét annak naprakészen tartásáért. Ha egy vállalat számos üzleti tevékenységi területtel és ennek megfelelően sok részleggel és részleggel rendelkezik, akkor a szerepalapú hozzáférés-kezelési folyamat részeként minden egyes területre (például hitelezés, operatív munkavégzés, távoli szolgáltatások, megfelelőség és egyebek) külön kurátorok kijelölése szükséges. Rajtuk keresztül gyorsan lehet majd tájékozódni a tanszéki struktúra változásairól és az egyes szerepkörökhöz szükséges hozzáférési jogokról.
A folyamatban részt vevő osztályok közötti konfliktushelyzetek megoldásához feltétlenül igénybe kell venni a szervezet vezetőségének támogatását. És a konfliktusok minden új folyamat bevezetésekor elkerülhetetlenek, higgyünk tapasztalatainknak. Ezért szükségünk van egy választott bíróra, aki megoldja az esetleges összeférhetetlenségeket, hogy ne veszítsen időt valaki más félreértései és szabotázsai miatt.
NB A figyelemfelkeltés jó kiindulópontja a személyzet képzése. A jövőbeni folyamat működésének és az abban részt vevő egyes résztvevők szerepének részletes tanulmányozása minimálisra csökkenti az új megoldásra való átállás nehézségeit.
Ellenőrző lista
Összefoglalva összefoglaljuk azokat a fő lépéseket, amelyeket az IdM bevezetését tervező szervezetnek meg kell tennie:
- rendet teremteni a személyi adatokban;
- minden alkalmazotthoz egyedi azonosító paramétert adjon meg;
- felméri az információs rendszerek felkészültségét az IdM megvalósítására;
- interfészeket kell kidolgozni a hozzáférés-ellenőrzés információs rendszereivel való interakcióhoz, ha ezek hiányoznak, és ehhez a munkához erőforrásokat rendelni;
- példakép kialakítása és építése;
- példakép-menedzsment folyamatot építeni, és minden üzleti terület kurátorait bevonni abba;
- válasszon több rendszert az IdM-hez való kezdeti csatlakozáshoz;
- hatékony projektcsapat létrehozása;
- támogatást kapjon a cégvezetéstől;
- vonat személyzet.
Az előkészítés nehézkes lehet, ezért lehetőség szerint vegyen igénybe tanácsadókat.
Az IdM-megoldás bevezetése nehéz és felelősségteljes lépés, sikeres megvalósításához mind az egyes felek – az üzleti részlegek dolgozói, az informatikai és információbiztonsági szolgálatok munkatársai – egyéni erőfeszítései, mind a csapat egészének együttműködése fontos. De az erőfeszítések megérik: az IdM bevezetése után egy vállalatnál csökken az információs rendszerekben a túlzott hatáskörökkel és jogosulatlan jogokkal kapcsolatos incidensek száma; Megszűnik a munkavállalói állások hiánya/hosszú várakozás a szükséges jogokra; Az automatizálásnak köszönhetően csökkennek a munkaerőköltségek, és nő az IT és információbiztonsági szolgáltatások munkatermelékenysége.
Forrás: will.com