ProHoster > blog > amministrazione > Implementazione dell'IdM. Preparazione per l'implementazione da parte del cliente

Implementazione dell'IdM. Preparazione per l'implementazione da parte del cliente

Negli articoli precedenti abbiamo già visto cos'è IdM, come capire se la tua organizzazione ha bisogno di un tale sistema, quali problemi risolve e come giustificare il budget di implementazione al management. Oggi parleremo delle importanti fasi che l'organizzazione stessa deve attraversare per raggiungere il giusto livello di maturità prima di implementare un sistema IdM. Dopotutto, IdM è progettato per automatizzare i processi, ma è impossibile automatizzare il caos.

Implementazione dell'IdM. Preparazione per l'implementazione da parte del cliente

Fino a quando un'azienda non raggiunge le dimensioni di una grande impresa e non ha accumulato molti sistemi aziendali diversi, di solito non pensa al controllo degli accessi. Pertanto, i processi per l'ottenimento dei diritti e dei poteri di controllo in esso non sono strutturati e sono difficili da analizzare. I dipendenti compilano le domande di accesso come desiderano; anche il processo di approvazione non è formalizzato e talvolta semplicemente non esiste. È impossibile capire rapidamente di quale accesso ha un dipendente, chi lo ha approvato e su quale base.

Implementazione dell'IdM. Preparazione per l'implementazione da parte del cliente
Considerando che il processo di automazione dell'accesso interessa due aspetti principali: dati del personale e dati provenienti dai sistemi informativi con cui si intende effettuare l'integrazione, prenderemo in considerazione i passaggi necessari per garantire che l'implementazione di IdM proceda senza intoppi e non provochi rifiuti:

  1. Analisi dei processi del personale e ottimizzazione del supporto del database dei dipendenti nei sistemi del personale.
  2. Analisi dei dati degli utenti e dei diritti, nonché aggiornamento delle modalità di controllo degli accessi nei sistemi target che si prevede saranno collegati a IdM.
  3. Attività organizzative e coinvolgimento del personale nel processo di preparazione all'implementazione di IdM.

Dati del personale

Potrebbe esserci una fonte di dati sul personale in un'organizzazione o potrebbero essercene diverse. Ad esempio, un'organizzazione può avere una rete di filiali piuttosto ampia e ciascuna filiale può utilizzare la propria base di personale.

Prima di tutto, è necessario capire quali dati di base sui dipendenti sono archiviati nel sistema di documentazione del personale, quali eventi vengono registrati e valutarne la completezza e la struttura.

Accade spesso che non tutti gli eventi relativi al personale siano annotati nella fonte del personale (e ancor più spesso sono annotati intempestivamente e non del tutto correttamente). Ecco alcuni esempi tipici:

  • I congedi, le loro categorie e la durata (regolari o di lunga durata) non vengono registrati;
  • Non viene registrato il lavoro a tempo parziale: ad esempio, mentre è in aspettativa di lunga durata per accudire un figlio, un dipendente può contemporaneamente lavorare a tempo parziale;
  • lo status effettivo del candidato o del dipendente è già cambiato (accoglienza/trasferimento/licenziamento) e l'ordinanza relativa a questo evento viene emessa con ritardo;
  • un dipendente viene trasferito in una nuova posizione regolare tramite licenziamento, mentre il sistema del personale non registra informazioni che si tratti di un licenziamento tecnico.

Vale anche la pena prestare particolare attenzione alla valutazione della qualità dei dati, poiché eventuali errori e imprecisioni ottenuti da una fonte attendibile, ovvero i sistemi HR, possono essere costosi in futuro e causare molti problemi durante l'implementazione di IdM. Ad esempio, i dipendenti delle risorse umane spesso inseriscono le posizioni dei dipendenti nel sistema del personale in diversi formati: lettere maiuscole e minuscole, abbreviazioni, diversi numeri di spazi e simili. Di conseguenza, la stessa posizione può essere registrata nel sistema del personale nelle seguenti varianti:

  • Capo direttore
  • capo direttore
  • capo direttore
  • Arte. manager…

Spesso devi affrontare differenze nell'ortografia del tuo nome:

  • Shmeleva Natalia Gennadievna,
  • Shmeleva Natalia Gennadievna...

Per un'ulteriore automazione, un simile miscuglio è inaccettabile, soprattutto se questi attributi sono un segno chiave di identificazione, ovvero i dati sul dipendente e i suoi poteri nei sistemi vengono confrontati esattamente in base al nome completo.

Implementazione dell'IdM. Preparazione per l'implementazione da parte del cliente
Inoltre, non bisogna dimenticare la possibile presenza di omonimi e omonimi completi in azienda. Se un'organizzazione ha mille dipendenti, potrebbero esserci poche corrispondenze, ma se ce ne sono 50mila, questo può diventare un ostacolo critico al corretto funzionamento del sistema IdM.

Riassumendo tutto quanto sopra, concludiamo: il formato per l'inserimento dei dati nel database del personale dell'organizzazione deve essere standardizzato. I parametri per l'inserimento di nomi, incarichi e dipartimenti devono essere chiaramente definiti. L'opzione migliore è quando un dipendente delle risorse umane non inserisce i dati manualmente, ma li seleziona da una directory precreata della struttura dei dipartimenti e delle posizioni utilizzando la funzione “seleziona” disponibile nel database del personale.

Per evitare ulteriori errori nella sincronizzazione e non dover correggere manualmente le discrepanze nei report, il modo più preferito per identificare i dipendenti è inserire un ID per ogni dipendente dell'organizzazione. Tale identificatore verrà assegnato a ciascun nuovo dipendente e apparirà sia nel sistema del personale che nei sistemi informativi dell'organizzazione come attributo obbligatorio dell'account. Non importa se è composto da numeri o lettere, l'importante è che sia unico per ciascun dipendente (ad esempio, molte persone utilizzano il numero del personale del dipendente). In futuro, l'introduzione di questo attributo faciliterà notevolmente il collegamento dei dati dei dipendenti nella fonte del personale con i suoi conti e le autorità nei sistemi informativi.

Quindi, tutti i passaggi e i meccanismi dei registri del personale dovranno essere analizzati e messi in ordine. È del tutto possibile che alcuni processi dovranno essere cambiati o modificati. Si tratta di un lavoro noioso e scrupoloso, ma necessario, altrimenti la mancanza di dati chiari e strutturati sugli eventi del personale porterà ad errori nella loro elaborazione automatica. Nel peggiore dei casi, i processi non strutturati saranno del tutto impossibili da automatizzare.

Sistemi di destinazione

Nella fase successiva dovremo capire quanti sistemi informativi vogliamo integrare nella struttura IdM, quali dati sugli utenti e sui loro diritti sono archiviati in questi sistemi e come gestirli.

In molte organizzazioni si ritiene che installeremo IdM, configureremo i connettori sui sistemi di destinazione e con un colpo di bacchetta magica tutto funzionerà, senza ulteriori sforzi da parte nostra. Ciò, ahimè, non accade. Nelle aziende, il panorama dei sistemi informativi si sta sviluppando e aumentando gradualmente. Ciascun sistema può avere un approccio diverso alla concessione dei diritti di accesso, ovvero è possibile configurare diverse interfacce di controllo dell'accesso. Da qualche parte il controllo avviene tramite un'API (interfaccia di programmazione dell'applicazione), da qualche parte attraverso un database utilizzando procedure memorizzate, da qualche parte potrebbero non esserci interfacce di interazione. Dovresti essere preparato al fatto che dovrai riconsiderare molti processi esistenti per la gestione di account e diritti nei sistemi dell'organizzazione: modificare il formato dei dati, migliorare in anticipo le interfacce di interazione e allocare risorse per questo lavoro.

Modello di ruolo

Probabilmente ti imbatterai nel concetto di modello di ruolo nella fase di scelta di un fornitore di soluzioni IdM, poiché questo è uno dei concetti chiave nel campo della gestione dei diritti di accesso. In questo modello, l'accesso ai dati viene fornito tramite un ruolo. Un ruolo è un insieme di accessi minimamente necessari affinché un dipendente in una determinata posizione possa svolgere le proprie responsabilità funzionali.

Il controllo degli accessi basato sui ruoli presenta numerosi vantaggi innegabili:

  • è semplice ed efficace attribuire gli stessi diritti ad un gran numero di dipendenti;
  • modificare tempestivamente l'accesso dei dipendenti con lo stesso insieme di diritti;
  • eliminando la ridondanza dei diritti e delimitando poteri incompatibili per gli utenti.

La matrice dei ruoli viene prima costruita separatamente in ciascuno dei sistemi dell’organizzazione e poi adattata all’intero panorama IT, dove i ruoli aziendali globali vengono formati dai ruoli di ciascun sistema. Ad esempio, il ruolo aziendale "Contabile" includerà diversi ruoli separati per ciascuno dei sistemi informativi utilizzati nel reparto contabilità dell'impresa.

Recentemente è stata considerata una “migliore pratica” creare un modello di ruolo anche nella fase di sviluppo di applicazioni, database e sistemi operativi. Allo stesso tempo, ci sono spesso situazioni in cui i ruoli non sono configurati nel sistema o semplicemente non esistono. In questo caso, l'amministratore di questo sistema deve inserire le informazioni sull'account in diversi file, librerie e directory che forniscono le autorizzazioni necessarie. L'uso di ruoli predefiniti consente di concedere privilegi per eseguire tutta una serie di operazioni in un sistema con dati compositi complessi.

I ruoli in un sistema informativo, di norma, sono distribuiti per posizioni e reparti in base alla struttura del personale, ma possono anche essere creati per determinati processi aziendali. Ad esempio, in un'organizzazione finanziaria, diversi dipendenti del dipartimento di liquidazione occupano la stessa posizione: operatore. Ma all'interno del dipartimento c'è anche una distribuzione in processi separati, secondo diversi tipi di operazioni (esterne o interne, in valute diverse, con diversi segmenti dell'organizzazione). Per fornire a ciascuna delle aree aziendali di un dipartimento l'accesso al sistema informativo secondo le specifiche richieste, è necessario includere i diritti nei singoli ruoli funzionali. Ciò consentirà di prevedere un insieme minimo di poteri sufficienti, che non includa diritti ridondanti, per ciascuna delle aree di attività.

Inoltre, per sistemi di grandi dimensioni con centinaia di ruoli, migliaia di utenti e milioni di permessi, è buona norma utilizzare una gerarchia di ruoli e di ereditarietà dei privilegi. Ad esempio, il ruolo principale Amministratore erediterà i privilegi dei ruoli secondari: Utente e Lettore, poiché l'Amministratore può fare tutto ciò che possono fare l'Utente e il Lettore, inoltre avrà diritti amministrativi aggiuntivi. Utilizzando la gerarchia, non è necessario specificare nuovamente gli stessi diritti in più ruoli dello stesso modulo o sistema.

Nella prima fase è possibile creare ruoli in quei sistemi in cui il numero possibile di combinazioni di diritti non è molto elevato e, di conseguenza, è facile gestire un numero limitato di ruoli. Questi possono essere i diritti tipici richiesti da tutti i dipendenti dell'azienda per sistemi accessibili al pubblico come Active Directory (AD), sistemi di posta, Service Manager e simili. Successivamente, le matrici dei ruoli create per i sistemi informativi possono essere incluse nel modello di ruolo generale, combinandole in ruoli aziendali.

Utilizzando questo approccio, in futuro, quando si implementerà un sistema IdM, sarà facile automatizzare l'intero processo di concessione dei diritti di accesso in base ai ruoli di prima fase creati.

NB Non dovresti provare a includere immediatamente il maggior numero di sistemi possibile nell'integrazione. È preferibile connettere a IdM i sistemi con un'architettura più complessa e una struttura di gestione dei diritti di accesso in modalità semiautomatica nella prima fase. Implementare cioè, in base agli eventi del personale, solo la generazione automatica di una richiesta di accesso, che verrà inviata all'amministratore per l'esecuzione, e lui configurerà manualmente i diritti.

Dopo aver completato con successo la prima fase, è possibile estendere la funzionalità del sistema a nuovi processi aziendali ampliati, implementare la completa automazione e scalabilità con la connessione di ulteriori sistemi informativi.

Implementazione dell'IdM. Preparazione per l'implementazione da parte del cliente
In altre parole, per predisporre l’implementazione dell’IdM è necessario valutare l’idoneità dei sistemi informativi al nuovo processo e finalizzare preventivamente le interfacce di interazione esterna per la gestione degli account e dei diritti degli utenti, qualora tali interfacce non siano disponibile nel sistema. Dovrebbe essere esplorata anche la questione della creazione graduale di ruoli nei sistemi informativi per il controllo completo degli accessi.

Eventi organizzativi

Non sottovalutare nemmeno le questioni organizzative. In alcuni casi possono svolgere un ruolo decisivo, perché il risultato dell’intero progetto dipende spesso dall’efficace interazione tra i reparti. Per fare questo, solitamente consigliamo di creare un team di partecipanti al processo nell'organizzazione, che comprenderà tutti i dipartimenti coinvolti. Poiché questo rappresenta un onere aggiuntivo per le persone, cercare di spiegare in anticipo a tutti i partecipanti al processo futuro il loro ruolo e significato nella struttura dell'interazione. Se “vendi” l’idea di IdM ai tuoi colleghi in questa fase, potrai evitare molte difficoltà in futuro.

Implementazione dell'IdM. Preparazione per l'implementazione da parte del cliente
Spesso i dipartimenti di sicurezza informatica o IT sono i “proprietari” del progetto di implementazione di IdM in un'azienda e le opinioni dei dipartimenti aziendali non vengono prese in considerazione. Questo è un grosso errore, perché solo loro sanno come e in quali processi aziendali viene utilizzata ciascuna risorsa, chi dovrebbe averne accesso e chi no. Pertanto, in fase di preparazione, è importante indicare che è l'imprenditore ad essere responsabile del modello funzionale sulla base del quale vengono sviluppati l'insieme dei diritti degli utenti (ruoli) nel sistema informativo, nonché di garantire che questi ruoli vengono mantenuti aggiornati. Un modello di ruolo non è una matrice statica che viene costruita una volta e su cui puoi calmarti. Si tratta di un “organismo vivente” che deve costantemente cambiare, aggiornarsi e svilupparsi, seguendo i cambiamenti nella struttura dell'organizzazione e nella funzionalità dei dipendenti. In caso contrario, sorgeranno problemi legati a ritardi nella fornitura dell'accesso, oppure sorgeranno rischi per la sicurezza delle informazioni associati a diritti di accesso eccessivi, il che è ancora peggio.

Come sapete, "sette tate hanno un bambino senza occhio", quindi l'azienda deve sviluppare una metodologia che descriva l'architettura del modello di ruolo, l'interazione e la responsabilità di partecipanti specifici al processo per mantenerlo aggiornato. Se un'azienda ha molte aree di attività aziendale e, di conseguenza, molte divisioni e dipartimenti, quindi per ciascuna area (ad esempio prestiti, lavoro operativo, servizi remoti, conformità e altri) come parte del processo di gestione degli accessi basato sui ruoli, è necessario nominare curatori distinti. Attraverso di essi sarà possibile ricevere rapidamente informazioni sui cambiamenti nella struttura del dipartimento e sui diritti di accesso richiesti per ciascun ruolo.

È imperativo avvalersi del supporto della direzione dell’organizzazione per risolvere le situazioni di conflitto tra i dipartimenti che partecipano al processo. E i conflitti quando si introduce un nuovo processo sono inevitabili, credete alla nostra esperienza. Pertanto, abbiamo bisogno di un arbitro che risolva possibili conflitti di interessi, in modo da non perdere tempo a causa di incomprensioni e sabotaggi altrui.

Implementazione dell'IdM. Preparazione per l'implementazione da parte del cliente
NB Un buon punto di partenza per aumentare la consapevolezza è formare il personale. Uno studio dettagliato del funzionamento del processo futuro e del ruolo di ciascun partecipante in esso ridurrà al minimo le difficoltà di transizione verso una nuova soluzione.

Lista di controllo

Per riassumere, riassumiamo i passaggi principali che un’organizzazione che intende implementare IdM dovrebbe intraprendere:

  • mettere ordine nei dati del personale;
  • inserire un parametro identificativo univoco per ciascun dipendente;
  • valutare la preparazione dei sistemi informativi per l'implementazione dell'IdM;
  • sviluppare interfacce per l'interazione con i sistemi informativi per il controllo degli accessi, se mancano, e stanziare risorse per questo lavoro;
  • sviluppare e costruire un modello di ruolo;
  • costruire un processo di gestione modello di ruolo e includere al suo interno curatori di ciascuna area aziendale;
  • selezionare più sistemi per il primo collegamento a IdM;
  • creare un team di progetto efficace;
  • ottenere il sostegno del management aziendale;
  • personale ferroviario.

Il processo di preparazione può essere difficile, quindi, se possibile, coinvolgi dei consulenti.

L’implementazione di una soluzione IdM è un passo difficile e responsabile e, per una sua implementazione di successo, sono importanti sia gli sforzi di ciascuna parte individualmente – dipendenti dei dipartimenti aziendali, dei servizi IT e di sicurezza delle informazioni, sia l’interazione dell’intero team nel suo insieme. Ma gli sforzi valgono la pena: dopo aver implementato l’IdM in un’azienda, il numero di incidenti legati a poteri eccessivi e diritti non autorizzati nei sistemi informativi diminuisce; scompare il tempo di inattività del dipendente per mancanza/lunga attesa dei diritti necessari; Grazie all’automazione, i costi del lavoro vengono ridotti e la produttività del lavoro dei servizi IT e di sicurezza delle informazioni aumenta.

Fonte: habr.com

Aggiungi un commento