Pada artikel sebelumnya, kita telah melihat apa itu IdM, bagaimana memahami apakah organisasi Anda memerlukan sistem seperti itu, masalah apa yang dipecahkannya, dan bagaimana membenarkan anggaran implementasi kepada manajemen. Hari ini kita akan membahas tahapan penting yang harus dilalui organisasi itu sendiri untuk mencapai tingkat kematangan yang tepat sebelum menerapkan sistem IdM. Bagaimanapun, IdM dirancang untuk mengotomatisasi proses, tetapi tidak mungkin untuk mengotomatisasi kekacauan.
Sampai sebuah perusahaan tumbuh menjadi perusahaan besar dan telah mengumpulkan banyak sistem bisnis yang berbeda, biasanya perusahaan tidak memikirkan tentang kontrol akses. Oleh karena itu, proses perolehan hak dan kekuasaan penguasaan di dalamnya tidak terstruktur dan sulit dianalisis. Karyawan mengisi aplikasi untuk akses sesuai keinginan mereka, proses persetujuan juga tidak diformalkan, dan terkadang tidak ada. Tidak mungkin untuk mengetahui dengan cepat akses apa yang dimiliki seorang karyawan, siapa yang menyetujuinya, dan atas dasar apa.
Mengingat proses otomatisasi akses mempengaruhi dua aspek utama - data personel dan data dari sistem informasi yang akan diintegrasikan, kami akan mempertimbangkan langkah-langkah yang diperlukan untuk memastikan penerapan IdM berjalan lancar dan tidak menimbulkan penolakan:
- Analisis proses personalia dan optimalisasi dukungan database karyawan dalam sistem personalia.
- Analisis data pengguna dan hak, serta pemutakhiran metode kontrol akses pada sistem target yang rencananya akan terhubung ke IdM.
- Kegiatan organisasi dan keterlibatan personel dalam proses persiapan penerapan IdM.
Data personel
Mungkin ada satu sumber data personalia dalam suatu organisasi, atau mungkin ada beberapa. Misalnya, suatu organisasi mungkin memiliki jaringan cabang yang cukup luas, dan setiap cabang dapat menggunakan basis personelnya sendiri.
Pertama-tama, perlu dipahami data dasar apa tentang karyawan yang disimpan dalam sistem pencatatan personalia, peristiwa apa yang dicatat, dan mengevaluasi kelengkapan dan strukturnya.
Sering terjadi bahwa tidak semua peristiwa kepegawaian dicatat dalam sumber kepegawaian (bahkan lebih sering dicatat sebelum waktunya dan tidak sepenuhnya benar). Berikut beberapa contoh tipikal:
- Cuti, kategori dan syaratnya (reguler atau jangka panjang) tidak dicatat;
- Pekerjaan paruh waktu tidak dicatat: misalnya, pada saat cuti jangka panjang untuk mengasuh anak, seorang karyawan dapat sekaligus bekerja paruh waktu;
- status calon atau pegawai yang sebenarnya telah berubah (penerimaan/pemindahan/pemecatan), dan perintah tentang hal itu dikeluarkan dengan penundaan;
- seorang karyawan dipindahkan ke posisi reguler baru melalui pemecatan, sedangkan sistem personalia tidak mencatat informasi bahwa ini adalah pemecatan teknis.
Penilaian kualitas data juga perlu mendapat perhatian khusus, karena kesalahan dan ketidakakuratan apa pun yang diperoleh dari sumber tepercaya, yaitu sistem SDM, dapat merugikan di masa mendatang dan menimbulkan banyak masalah saat menerapkan IdM. Misalnya, karyawan HR sering kali memasukkan posisi karyawan ke dalam sistem personalia dalam berbagai format: huruf kapital dan huruf kecil, singkatan, jumlah spasi yang berbeda, dan sejenisnya. Akibatnya, posisi yang sama dapat dicatat dalam sistem personalia dengan variasi berikut:
- Manajer senior
- manajer senior
- manajer senior
- Seni. Pengelola…
Seringkali Anda harus menghadapi perbedaan ejaan nama Anda:
- Shmeleva Natalya Gennadievna,
- Shmeleva Natalya Gennadievna...
Untuk otomatisasi lebih lanjut, campur aduk seperti itu tidak dapat diterima, terutama jika atribut-atribut ini merupakan tanda kunci identifikasi, yaitu data tentang karyawan dan wewenangnya dalam sistem dibandingkan secara tepat berdasarkan nama lengkap.
Selain itu, kita tidak boleh melupakan kemungkinan adanya senama dan nama lengkap di perusahaan. Jika sebuah organisasi memiliki seribu karyawan, mungkin hanya ada sedikit kecocokan seperti itu, tetapi jika ada 50 ribu, maka ini dapat menjadi hambatan penting bagi berfungsinya sistem IdM dengan benar.
Meringkas semua hal di atas, kami menyimpulkan: format untuk memasukkan data ke dalam database personalia organisasi harus distandarisasi. Parameter untuk memasukkan nama, posisi dan departemen harus ditentukan dengan jelas. Pilihan terbaik adalah ketika karyawan HR tidak memasukkan data secara manual, tetapi memilihnya dari direktori struktur departemen dan posisi yang telah dibuat sebelumnya menggunakan fungsi “pilih” yang tersedia di database personalia.
Untuk menghindari kesalahan sinkronisasi lebih lanjut dan tidak perlu memperbaiki perbedaan laporan secara manual, cara yang paling disukai untuk mengidentifikasi karyawan adalah dengan memasukkan ID untuk setiap karyawan organisasi. Pengidentifikasi tersebut akan diberikan kepada setiap karyawan baru dan akan muncul dalam sistem personalia dan sistem informasi organisasi sebagai atribut akun wajib. Tidak peduli terdiri dari angka atau huruf, yang penting unik untuk setiap karyawan (misalnya banyak orang yang menggunakan nomor personalia karyawan). Kedepannya, pengenalan atribut ini akan sangat memudahkan dalam menghubungkan data pegawai di sumber kepegawaian dengan akun dan otoritasnya di sistem informasi.
Oleh karena itu, seluruh tahapan dan mekanisme pencatatan kepegawaian perlu dianalisis dan ditertibkan. Ada kemungkinan bahwa beberapa proses harus diubah atau dimodifikasi. Ini adalah pekerjaan yang membosankan dan melelahkan, tetapi perlu, jika tidak, kurangnya data yang jelas dan terstruktur tentang peristiwa personel akan menyebabkan kesalahan dalam pemrosesan otomatisnya. Dalam kasus terburuk, proses yang tidak terstruktur tidak mungkin diotomatisasi sama sekali.
Sistem sasaran
Pada tahap berikutnya, kita perlu mencari tahu berapa banyak sistem informasi yang ingin kita integrasikan ke dalam struktur IdM, data apa tentang pengguna dan hak-hak mereka yang disimpan dalam sistem ini, dan bagaimana mengelolanya.
Di banyak organisasi, ada pendapat bahwa kami akan menginstal IdM, mengonfigurasi konektor ke sistem target, dan dengan lambaian tongkat ajaib semuanya akan berfungsi, tanpa upaya tambahan dari pihak kami. Sayangnya, hal itu tidak terjadi. Di perusahaan, lanskap sistem informasi berkembang dan meningkat secara bertahap. Setiap sistem dapat memiliki pendekatan berbeda dalam memberikan hak akses, yaitu antarmuka kontrol akses yang berbeda dapat dikonfigurasi. Di suatu tempat kontrol terjadi melalui API (antarmuka pemrograman aplikasi), di suatu tempat melalui database menggunakan prosedur tersimpan, di suatu tempat mungkin tidak ada antarmuka interaksi sama sekali. Anda harus siap menghadapi kenyataan bahwa Anda harus mempertimbangkan kembali banyak proses yang ada untuk mengelola akun dan hak dalam sistem organisasi: mengubah format data, meningkatkan antarmuka interaksi terlebih dahulu, dan mengalokasikan sumber daya untuk pekerjaan ini.
Panutan
Anda mungkin akan menemukan konsep panutan pada tahap memilih penyedia solusi IdM, karena ini adalah salah satu konsep kunci di bidang manajemen hak akses. Dalam model ini, akses ke data disediakan melalui sebuah peran. Peran adalah sekumpulan akses yang minimal diperlukan bagi seorang karyawan pada posisi tertentu untuk menjalankan tanggung jawab fungsionalnya.
Kontrol akses berbasis peran memiliki sejumlah keunggulan yang tidak dapat disangkal:
- sederhana dan efektif untuk memberikan hak yang sama kepada sejumlah besar karyawan;
- segera mengubah akses karyawan dengan hak yang sama;
- menghilangkan redundansi hak dan membatasi kekuasaan yang tidak sesuai bagi pengguna.
Matriks peran pertama-tama dibangun secara terpisah di setiap sistem organisasi, dan kemudian diperluas ke seluruh lanskap TI, di mana peran Bisnis global dibentuk dari peran masing-masing sistem. Misalnya, peran Bisnis “Akuntan” akan mencakup beberapa peran terpisah untuk setiap sistem informasi yang digunakan dalam departemen akuntansi suatu perusahaan.
Baru-baru ini, telah dianggap sebagai “praktik terbaik” untuk menciptakan panutan bahkan pada tahap pengembangan aplikasi, database, dan sistem operasi. Pada saat yang sama, sering kali ada situasi ketika peran tidak dikonfigurasi dalam sistem atau tidak ada. Dalam hal ini, administrator sistem ini harus memasukkan informasi akun ke dalam beberapa file, perpustakaan, dan direktori berbeda yang memberikan izin yang diperlukan. Penggunaan peran yang telah ditentukan sebelumnya memungkinkan Anda memberikan hak istimewa untuk melakukan seluruh rangkaian operasi dalam sistem dengan data komposit yang kompleks.
Peran dalam sistem informasi, sebagai suatu peraturan, didistribusikan ke dalam posisi dan departemen sesuai dengan struktur kepegawaian, tetapi juga dapat dibuat untuk proses bisnis tertentu. Misalnya, dalam organisasi keuangan, beberapa karyawan departemen penyelesaian menempati posisi yang sama - operator. Namun di dalam departemen juga terdapat distribusi ke dalam proses-proses yang terpisah, menurut jenis operasi yang berbeda (eksternal atau internal, dalam mata uang yang berbeda, dengan segmen organisasi yang berbeda). Untuk memberikan setiap area bisnis dalam satu departemen akses ke sistem informasi sesuai dengan kebutuhan spesifik, perlu untuk memasukkan hak dalam peran fungsional individu. Hal ini akan memungkinkan untuk memberikan serangkaian kewenangan minimum yang memadai, tidak termasuk hak-hak yang berlebihan, untuk setiap bidang kegiatan.
Selain itu, untuk sistem besar dengan ratusan peran, ribuan pengguna, dan jutaan izin, praktik yang baik adalah menggunakan hierarki peran dan pewarisan hak istimewa. Misalnya, peran induk Administrator akan mewarisi hak istimewa peran anak: Pengguna dan Pembaca, karena Administrator dapat melakukan apa pun yang dapat dilakukan Pengguna dan Pembaca, ditambah lagi akan memiliki hak administratif tambahan. Dengan menggunakan hierarki, tidak perlu menentukan ulang hak yang sama dalam beberapa peran dalam modul atau sistem yang sama.
Pada tahap pertama, Anda dapat membuat peran dalam sistem yang kemungkinan jumlah kombinasi haknya tidak terlalu besar dan, sebagai hasilnya, mudah untuk mengelola sejumlah kecil peran. Ini mungkin merupakan hak khas yang diperlukan oleh semua karyawan perusahaan atas sistem yang dapat diakses publik seperti Direktori Aktif (AD), sistem email, Manajer Layanan, dan sejenisnya. Kemudian, matriks peran yang dibuat untuk sistem informasi dapat dimasukkan ke dalam model peran umum, menggabungkannya ke dalam peran Bisnis.
Dengan menggunakan pendekatan ini, kedepannya ketika mengimplementasikan sistem IdM, akan mudah untuk mengotomatiskan seluruh proses pemberian hak akses berdasarkan peran tahap pertama yang dibuat.
NB Anda tidak boleh mencoba untuk segera memasukkan sebanyak mungkin sistem ke dalam integrasi. Lebih baik menghubungkan sistem dengan arsitektur yang lebih kompleks dan struktur manajemen hak akses ke IdM dalam mode semi-otomatis pada tahap pertama. Artinya, menerapkan, berdasarkan peristiwa personel, hanya pembuatan permintaan akses secara otomatis, yang akan dikirim ke administrator untuk dieksekusi, dan dia akan mengonfigurasi hak secara manual.
Setelah berhasil menyelesaikan tahap pertama, Anda dapat memperluas fungsionalitas sistem ke proses bisnis baru yang diperluas, menerapkan otomatisasi penuh dan penskalaan dengan koneksi sistem informasi tambahan.
Dengan kata lain, untuk mempersiapkan implementasi IdM, perlu dilakukan penilaian kesiapan sistem informasi untuk proses baru dan menyelesaikan terlebih dahulu antarmuka interaksi eksternal untuk mengelola akun pengguna dan hak pengguna, jika antarmuka tersebut tidak ada. tersedia dalam sistem. Persoalan penciptaan peran secara bertahap dalam sistem informasi untuk pengendalian akses yang komprehensif juga harus dieksplorasi.
Acara organisasi
Jangan mengabaikan masalah organisasi juga. Dalam beberapa kasus, mereka dapat memainkan peran yang menentukan, karena hasil keseluruhan proyek sering kali bergantung pada interaksi efektif antar departemen. Untuk melakukan ini, kami biasanya menyarankan untuk membuat tim yang terdiri dari peserta proses dalam organisasi, yang akan mencakup semua departemen yang terlibat. Karena ini merupakan beban tambahan bagi masyarakat, coba jelaskan terlebih dahulu kepada semua peserta dalam proses selanjutnya peran dan pentingnya mereka dalam struktur interaksi. Jika Anda “menjual” ide IdM kepada kolega Anda pada tahap ini, Anda dapat menghindari banyak kesulitan di masa depan.
Seringkali departemen keamanan informasi atau TI adalah “pemilik” proyek implementasi IdM di sebuah perusahaan, dan pendapat departemen bisnis tidak diperhitungkan. Ini adalah kesalahan besar, karena hanya mereka yang mengetahui bagaimana dan dalam proses bisnis apa setiap sumber daya digunakan, siapa yang boleh diberi akses terhadap sumber daya tersebut dan siapa yang tidak boleh. Oleh karena itu, pada tahap persiapan, penting untuk menunjukkan bahwa pemilik bisnislah yang bertanggung jawab atas model fungsional yang menjadi dasar pengembangan rangkaian hak (peran) pengguna dalam sistem informasi, serta untuk memastikan bahwa peran-peran ini selalu diperbarui. Teladan bukanlah matriks statis yang dibangun satu kali dan Anda bisa tenang karenanya. Ini adalah “organisme hidup” yang harus terus berubah, diperbarui dan berkembang, mengikuti perubahan struktur organisasi dan fungsi karyawan. Jika tidak, akan timbul masalah terkait dengan keterlambatan dalam menyediakan akses, atau akan timbul risiko keamanan informasi terkait dengan hak akses yang berlebihan, yang bahkan lebih buruk lagi.
Seperti yang Anda ketahui, “tujuh pengasuh memiliki anak tanpa mata”, sehingga perusahaan harus mengembangkan metodologi yang menggambarkan arsitektur panutan, interaksi, dan tanggung jawab peserta tertentu dalam proses untuk menjaganya tetap terkini. Jika sebuah perusahaan memiliki banyak area aktivitas bisnis dan, karenanya, banyak divisi dan departemen, maka untuk setiap area (misalnya, peminjaman, pekerjaan operasional, layanan jarak jauh, kepatuhan, dan lainnya) sebagai bagian dari proses manajemen akses berbasis peran, perusahaan tersebut perlu menunjuk kurator tersendiri. Melalui mereka, Anda dapat dengan cepat menerima informasi tentang perubahan struktur departemen dan hak akses yang diperlukan untuk setiap peran.
Sangat penting untuk mendapatkan dukungan dari manajemen organisasi untuk menyelesaikan situasi konflik antar departemen yang berpartisipasi dalam proses tersebut. Dan konflik ketika memperkenalkan proses baru tidak dapat dihindari, percayalah pada pengalaman kami. Oleh karena itu, diperlukan seorang arbiter yang dapat menyelesaikan kemungkinan konflik kepentingan, agar tidak membuang-buang waktu karena kesalahpahaman dan sabotase orang lain.
NB Tempat yang baik untuk mulai meningkatkan kesadaran adalah dengan melatih staf Anda. Sebuah studi rinci tentang fungsi proses masa depan dan peran masing-masing peserta di dalamnya akan meminimalkan kesulitan dalam transisi ke solusi baru.
Daftar periksa
Untuk meringkasnya, kami merangkum langkah-langkah utama yang harus diambil oleh organisasi yang berencana menerapkan IdM:
- menertibkan data personel;
- masukkan parameter identifikasi unik untuk setiap karyawan;
- menilai kesiapan sistem informasi penerapan IdM;
- mengembangkan antarmuka untuk interaksi dengan sistem informasi untuk kontrol akses, jika tidak ada, dan mengalokasikan sumber daya untuk pekerjaan ini;
- mengembangkan dan membangun teladan;
- membangun proses pengelolaan role model dan mengikutsertakan kurator dari masing-masing bidang usaha di dalamnya;
- pilih beberapa sistem untuk koneksi awal ke IdM;
- menciptakan tim proyek yang efektif;
- mendapatkan dukungan dari manajemen perusahaan;
- staf kereta.
Proses persiapannya mungkin sulit, jadi jika memungkinkan, libatkan konsultan.
Menerapkan solusi IdM adalah langkah yang sulit dan bertanggung jawab, dan untuk keberhasilan penerapannya, baik upaya masing-masing pihak secara individu – karyawan departemen bisnis, layanan TI dan keamanan informasi, dan interaksi seluruh tim secara keseluruhan adalah penting. Namun upaya tersebut tidak sia-sia: setelah penerapan IdM di sebuah perusahaan, jumlah insiden terkait kekuasaan berlebihan dan hak tidak sah dalam sistem informasi berkurang; hilangnya waktu henti karyawan karena kurangnya/lama menunggu hak-hak yang diperlukan; Karena otomatisasi, biaya tenaga kerja berkurang dan produktivitas tenaga kerja di layanan TI dan keamanan informasi meningkat.
Sumber: www.habr.com