ProHoster > blog > administratie > Implementatie van IdM. Voorbereiden voor implementatie door de klant

Implementatie van IdM. Voorbereiden voor implementatie door de klant

In eerdere artikelen hebben we al gekeken naar wat IdM is, hoe je kunt begrijpen of jouw organisatie zo’n systeem nodig heeft, welke problemen het oplost en hoe je het implementatiebudget aan het management kunt verantwoorden. Vandaag zullen we het hebben over de belangrijke fasen die de organisatie zelf moet doorlopen om het juiste volwassenheidsniveau te bereiken voordat een IdM-systeem wordt geïmplementeerd. IdM is immers ontworpen om processen te automatiseren, maar chaos is onmogelijk.

Implementatie van IdM. Voorbereiden voor implementatie door de klant

Totdat een bedrijf uitgroeit tot de omvang van een grote onderneming en veel verschillende bedrijfssystemen heeft verzameld, denkt het meestal niet aan toegangscontrole. Daarom zijn de processen voor het verkrijgen van rechten en controlebevoegdheden daarin niet gestructureerd en moeilijk te analyseren. Medewerkers vullen aanvragen voor toegang in zoals zij dat willen; het goedkeuringsproces is ook niet geformaliseerd en bestaat soms eenvoudigweg niet. Het is onmogelijk om snel te achterhalen welke toegang een medewerker heeft, wie deze heeft goedgekeurd en op welke basis.

Implementatie van IdM. Voorbereiden voor implementatie door de klant
Aangezien het proces van het automatiseren van toegang twee hoofdaspecten beïnvloedt: personeelsgegevens en gegevens uit informatiesystemen waarmee integratie moet worden uitgevoerd, zullen we de stappen overwegen die nodig zijn om ervoor te zorgen dat de implementatie van IdM soepel verloopt en geen afwijzing veroorzaakt:

  1. Analyse van personeelsprocessen en optimalisatie van ondersteuning van medewerkersdatabases in personeelssystemen.
  2. Analyse van gebruikers- en rechtengegevens, evenals het bijwerken van toegangscontrolemethoden in doelsystemen die gepland zijn om te worden verbonden met IdM.
  3. Organisatorische activiteiten en personeelsbetrokkenheid bij het proces van voorbereiding op de implementatie van IdM.

Personeelsgegevens

Er kan één bron van personeelsgegevens in een organisatie zijn, maar er kunnen er ook meerdere zijn. Een organisatie kan bijvoorbeeld een vrij breed vestigingsnetwerk hebben, en elke vestiging kan gebruik maken van zijn eigen personeelsbestand.

Allereerst is het noodzakelijk om te begrijpen welke basisgegevens over werknemers zijn opgeslagen in het personeelsregistratiesysteem, welke gebeurtenissen worden vastgelegd en hun volledigheid en structuur te evalueren.

Het komt vaak voor dat niet alle personeelsgebeurtenissen in de personeelsbron worden genoteerd (en nog vaker worden ze te laat en niet geheel correct genoteerd). Hier zijn enkele typische voorbeelden:

  • Bladeren, hun categorieën en looptijden (regulier of langdurig) worden niet geregistreerd;
  • Deeltijdwerk wordt niet geregistreerd: terwijl een werknemer langdurig verlof heeft om voor een kind te zorgen, kan hij bijvoorbeeld tegelijkertijd in deeltijd werken;
  • de feitelijke status van de kandidaat of medewerker is al gewijzigd (ontvangst/overplaatsing/ontslag) en de opdracht hierover wordt met vertraging afgegeven;
  • een medewerker wordt door ontslag overgeplaatst naar een nieuwe reguliere functie, terwijl het personeelssysteem niet vastlegt dat het om een ​​technisch ontslag gaat.

Het is ook de moeite waard om speciale aandacht te besteden aan het beoordelen van de kwaliteit van gegevens, aangezien eventuele fouten en onnauwkeurigheden verkregen uit een vertrouwde bron, namelijk HR-systemen, in de toekomst kostbaar kunnen zijn en veel problemen kunnen veroorzaken bij de implementatie van IdM. HR-medewerkers voeren bijvoorbeeld vaak werknemersposities in het personeelssysteem in verschillende formaten in: hoofdletters en kleine letters, afkortingen, verschillende aantallen spaties en dergelijke. Hierdoor kan dezelfde functie in het personeelssysteem worden vastgelegd in de volgende varianten:

  • Senioren manager
  • senioren manager
  • senioren manager
  • Kunst. manager…

Vaak heb je te maken met verschillen in de spelling van je naam:

  • Sjmeleva Natalya Gennadievna,
  • Sjmeleva Natalia Gennadievna...

Voor verdere automatisering is een dergelijke warboel onaanvaardbaar, vooral als deze attributen een belangrijk teken van identificatie zijn, dat wil zeggen dat gegevens over de werknemer en zijn bevoegdheden in de systemen precies op volledige naam worden vergeleken.

Implementatie van IdM. Voorbereiden voor implementatie door de klant
Daarnaast mogen we de mogelijke aanwezigheid van naamgenoten en volledige naamgenoten in het bedrijf niet vergeten. Als een organisatie duizend werknemers heeft, zijn er misschien weinig van dergelijke matches, maar als het er 50 zijn, kan dit een cruciaal obstakel worden voor de juiste werking van het IdM-systeem.

Als we al het bovenstaande samenvatten, concluderen we: het formaat voor het invoeren van gegevens in de personeelsdatabase van de organisatie moet gestandaardiseerd zijn. De parameters voor het invoeren van namen, functies en afdelingen moeten duidelijk gedefinieerd zijn. De beste optie is wanneer een HR-medewerker de gegevens niet handmatig invoert, maar deze selecteert uit een vooraf aangemaakte map met de structuur van afdelingen en functies met behulp van de ‘select’-functie die beschikbaar is in de personeelsdatabase.

Om verdere fouten in de synchronisatie te voorkomen en afwijkingen in rapporten niet handmatig te hoeven corrigeren, de meest geprefereerde manier om werknemers te identificeren is door een ID in te voeren voor iedere medewerker van de organisatie. Een dergelijke identificatie wordt aan elke nieuwe medewerker toegewezen en zal zowel in het personeelssysteem als in de informatiesystemen van de organisatie verschijnen als een verplicht accountattribuut. Het maakt niet uit of het uit cijfers of letters bestaat, het belangrijkste is dat het voor iedere medewerker uniek is (veel mensen gebruiken bijvoorbeeld het personeelsnummer van de medewerker). In de toekomst zal de introductie van dit attribuut de koppeling van werknemersgegevens in de personeelsbron met zijn accounts en autoriteiten in informatiesystemen aanzienlijk vergemakkelijken.

Alle stappen en mechanismen van personeelsdossiers zullen dus moeten worden geanalyseerd en op orde gebracht. Het is goed mogelijk dat sommige processen veranderd of aangepast moeten worden. Dit is vervelend en nauwgezet werk, maar het is noodzakelijk, anders zal het gebrek aan duidelijke en gestructureerde gegevens over personeelsgebeurtenissen leiden tot fouten in de automatische verwerking ervan. In het ergste geval zullen ongestructureerde processen helemaal niet meer te automatiseren zijn.

Doelsystemen

In de volgende fase moeten we uitzoeken hoeveel informatiesystemen we in de IdM-structuur willen integreren, welke gegevens over gebruikers en hun rechten in deze systemen worden opgeslagen en hoe we deze kunnen beheren.

In veel organisaties heerst de mening dat we IdM zullen installeren, connectoren voor de doelsystemen zullen configureren, en met een toverstaf zal alles werken, zonder extra inspanning van onze kant. Dat gebeurt helaas niet. In bedrijven ontwikkelt en neemt het landschap van informatiesystemen geleidelijk toe. Elk systeem kan een andere benadering hebben bij het verlenen van toegangsrechten, dat wil zeggen dat er verschillende toegangscontrole-interfaces kunnen worden geconfigureerd. Ergens vindt de controle plaats via een API (application programming interface), ergens via een database die gebruikmaakt van opgeslagen procedures, ergens zijn er misschien helemaal geen interactie-interfaces. U moet erop voorbereid zijn dat u veel bestaande processen voor het beheer van accounts en rechten in de systemen van de organisatie zult moeten heroverwegen: verander het gegevensformaat, verbeter vooraf de interactie-interfaces en wijs middelen toe voor dit werk.

Rolmodel

U zult het concept van een rolmodel waarschijnlijk tegenkomen in de fase van het kiezen van een aanbieder van IdM-oplossingen, aangezien dit een van de sleutelconcepten is op het gebied van toegangsrechtenbeheer. In dit model wordt toegang tot gegevens verleend via een rol. Een rol is een reeks toegangen die minimaal noodzakelijk zijn voor een medewerker in een bepaalde positie om zijn functionele verantwoordelijkheden uit te voeren.

Rolgebaseerde toegangscontrole heeft een aantal onmiskenbare voordelen:

  • het is eenvoudig en effectief om dezelfde rechten aan een groot aantal werknemers toe te wijzen;
  • het tijdig wijzigen van de toegang van medewerkers met dezelfde set rechten;
  • het elimineren van redundantie van rechten en het afbakenen van onverenigbare bevoegdheden voor gebruikers.

De rollenmatrix wordt eerst afzonderlijk in elk van de systemen van de organisatie gebouwd en vervolgens geschaald naar het gehele IT-landschap, waar mondiale bedrijfsrollen worden gevormd op basis van de rollen van elk systeem. De bedrijfsrol 'Accountant' omvat bijvoorbeeld verschillende afzonderlijke rollen voor elk van de informatiesystemen die worden gebruikt op de boekhoudafdeling van de onderneming.

De laatste tijd wordt het als ‘best practice’ beschouwd om een ​​rolmodel te creëren, zelfs in de fase van de ontwikkeling van applicaties, databases en besturingssystemen. Tegelijkertijd zijn er vaak situaties waarin rollen niet in het systeem zijn geconfigureerd of simpelweg niet bestaan. In dit geval moet de beheerder van dit systeem accountgegevens invoeren in verschillende bestanden, bibliotheken en mappen die de benodigde machtigingen bieden. Door het gebruik van vooraf gedefinieerde rollen kunt u bevoegdheden verlenen om een ​​hele reeks bewerkingen uit te voeren in een systeem met complexe samengestelde gegevens.

Rollen in een informatiesysteem zijn in de regel verdeeld over functies en afdelingen volgens de personeelsstructuur, maar kunnen ook voor bepaalde bedrijfsprocessen worden gecreëerd. In een financiële organisatie bekleden bijvoorbeeld verschillende medewerkers van de afwikkelingsafdeling dezelfde functie: operator. Maar binnen de afdeling is er ook sprake van een verdeling in afzonderlijke processen, volgens verschillende soorten operaties (extern of intern, in verschillende valuta, met verschillende segmenten van de organisatie). Om elk van de bedrijfsonderdelen van één afdeling toegang te geven tot het informatiesysteem volgens de vereiste specificaties, is het noodzakelijk om rechten op te nemen in individuele functionele rollen. Dit zal het mogelijk maken om voor elk van de activiteitengebieden te voorzien in een minimaal toereikend aantal bevoegdheden, die geen overtollige rechten omvatten.

Bovendien is het voor grote systemen met honderden rollen, duizenden gebruikers en miljoenen machtigingen een goede gewoonte om een ​​hiërarchie van rollen en overerving van bevoegdheden te gebruiken. De bovenliggende rol Beheerder neemt bijvoorbeeld de rechten over van de onderliggende rollen: Gebruiker en Lezer, aangezien de Beheerder alles kan doen wat de Gebruiker en Lezer kunnen doen, plus extra beheerdersrechten. Door gebruik te maken van hiërarchie is het niet nodig om dezelfde rechten opnieuw op te geven in meerdere rollen van dezelfde module of hetzelfde systeem.

In de eerste fase kunt u rollen creëren in die systemen waar het mogelijke aantal combinaties van rechten niet erg groot is en het daardoor gemakkelijk is om een ​​klein aantal rollen te beheren. Dit kunnen typische rechten zijn die alle werknemers van het bedrijf nodig hebben voor openbaar toegankelijke systemen zoals Active Directory (AD), mailsystemen, Service Manager en dergelijke. Vervolgens kunnen de gemaakte rollenmatrices voor informatiesystemen worden opgenomen in het algemene rolmodel en worden ze gecombineerd tot bedrijfsrollen.

Met deze aanpak zal het in de toekomst bij de implementatie van een IdM-systeem eenvoudig zijn om het hele proces van het verlenen van toegangsrechten te automatiseren op basis van de gecreëerde rollen in de eerste fase.

NB Probeer niet meteen zoveel mogelijk systemen in de integratie te betrekken. Het is beter om systemen met een complexere architectuur en beheerstructuur voor toegangsrechten in de eerste fase op een semi-automatische manier met IdM te verbinden. Dat wil zeggen, implementeer, op basis van personeelsgebeurtenissen, alleen het automatisch genereren van een toegangsverzoek, dat ter uitvoering naar de beheerder wordt gestuurd, en hij zal de rechten handmatig configureren.

Nadat u de eerste fase met succes heeft afgerond, kunt u de functionaliteit van het systeem uitbreiden naar nieuwe, uitgebreide bedrijfsprocessen, volledige automatisering en schaalvergroting implementeren met de koppeling van aanvullende informatiesystemen.

Implementatie van IdM. Voorbereiden voor implementatie door de klant
Met andere woorden: ter voorbereiding op de implementatie van IdM is het noodzakelijk om de gereedheid van de informatiesystemen voor het nieuwe proces te beoordelen en om vooraf de laatste hand te leggen aan de externe interactie-interfaces voor het beheer van gebruikersaccounts en gebruikersrechten, als dergelijke interfaces nog niet beschikbaar zijn. beschikbaar in het systeem. Ook de kwestie van het stapsgewijs creëren van rollen in informatiesystemen voor alomvattende toegangscontrole moet worden onderzocht.

Organisatorische evenementen

Houd ook geen rekening met organisatorische problemen. In sommige gevallen kunnen zij een doorslaggevende rol spelen, omdat de uitkomst van het hele project vaak afhangt van effectieve interactie tussen afdelingen. Om dit te doen adviseren wij doorgaans om binnen de organisatie een team van procesdeelnemers te creëren, waarin alle betrokken afdelingen zitting hebben. Omdat dit een extra last voor mensen is, probeer van tevoren aan alle deelnemers aan het toekomstige proces hun rol en betekenis in de interactiestructuur uit te leggen. Als u het idee van IdM in dit stadium aan uw collega’s ‘verkoopt’, kunt u veel problemen in de toekomst voorkomen.

Implementatie van IdM. Voorbereiden voor implementatie door de klant
Vaak zijn de informatiebeveiligings- of IT-afdelingen de ‘eigenaren’ van het IdM-implementatieproject in een bedrijf, en wordt er geen rekening gehouden met de meningen van bedrijfsafdelingen. Dit is een grote fout, omdat alleen zij weten hoe en in welke bedrijfsprocessen elke hulpbron wordt gebruikt, wie er toegang toe moet krijgen en wie niet. Daarom is het belangrijk om in de voorbereidingsfase aan te geven dat het de bedrijfseigenaar is die verantwoordelijk is voor het functionele model op basis waarvan sets van gebruikersrechten (rollen) in het informatiesysteem worden ontwikkeld, en om ervoor te zorgen dat deze rollen worden actueel gehouden. Een rolmodel is geen statische matrix die je eenmalig opbouwt en waar je rustig op kunt vertrouwen. Dit is een ‘levend organisme’ dat voortdurend moet veranderen, bijwerken en ontwikkelen, als gevolg van veranderingen in de structuur van de organisatie en de functionaliteit van werknemers. Anders zullen er problemen ontstaan ​​in verband met vertragingen bij het verlenen van toegang, of zullen er risico's voor de informatiebeveiliging ontstaan ​​in verband met buitensporige toegangsrechten, wat nog erger is.

Zoals u weet, “zeven kindermeisjes hebben een kind zonder oog”, moet het bedrijf een methodologie ontwikkelen die de architectuur van het rolmodel beschrijft, de interactie en de verantwoordelijkheid van specifieke deelnemers aan het proces om het up-to-date te houden. Als een bedrijf veel bedrijfsactiviteiten heeft en dienovereenkomstig veel divisies en afdelingen, dan is het voor elk gebied (bijvoorbeeld kredietverlening, operationeel werk, diensten op afstand, compliance en andere) als onderdeel van het op rollen gebaseerde toegangsbeheerproces Het is noodzakelijk om afzonderlijke curatoren aan te stellen. Via hen zal het mogelijk zijn om snel informatie te ontvangen over wijzigingen in de structuur van de afdeling en de toegangsrechten die voor elke rol vereist zijn.

Het is absoluut noodzakelijk om de steun van het management van de organisatie in te roepen om conflictsituaties tussen afdelingen die aan het proces deelnemen op te lossen. En conflicten bij het introduceren van een nieuw proces zijn onvermijdelijk, zo is onze ervaring. Daarom hebben we een arbiter nodig die mogelijke belangenconflicten oplost, om geen tijd te verspillen door de misverstanden en sabotage van iemand anders.

Implementatie van IdM. Voorbereiden voor implementatie door de klant
NB Een goed begin om het bewustzijn te vergroten is door uw personeel op te leiden. Een gedetailleerde studie van het functioneren van het toekomstige proces en de rol van elke deelnemer daarin zal de moeilijkheden bij de overgang naar een nieuwe oplossing tot een minimum beperken.

Controlelijst

Samenvattend vatten we de belangrijkste stappen samen die een organisatie die IdM wil implementeren, moet nemen:

  • orde scheppen in personeelsgegevens;
  • voer voor elke medewerker een unieke identificatieparameter in;
  • de gereedheid van informatiesystemen voor de implementatie van IdM beoordelen;
  • interfaces ontwikkelen voor interactie met informatiesystemen voor toegangscontrole, als deze ontbreken, en middelen toewijzen voor dit werk;
  • een rolmodel ontwikkelen en bouwen;
  • een rolmodelmanagementproces opbouwen en daarin curatoren uit elk bedrijfsgebied betrekken;
  • selecteer meerdere systemen voor de eerste verbinding met IdM;
  • een effectief projectteam creëren;
  • steun krijgen van het bedrijfsmanagement;
  • Trein personeel.

Het voorbereidingsproces kan moeilijk zijn, dus schakel indien mogelijk adviseurs in.

Het implementeren van een IdM-oplossing is een moeilijke en verantwoordelijke stap, en voor een succesvolle implementatie zijn zowel de inspanningen van elke partij afzonderlijk – medewerkers van bedrijfsafdelingen, IT- en informatiebeveiligingsdiensten, als de interactie van het hele team als geheel belangrijk. Maar de inspanningen zijn de moeite waard: na de implementatie van IdM in een bedrijf neemt het aantal incidenten met betrekking tot buitensporige bevoegdheden en ongeoorloofde rechten in informatiesystemen af; uitvaltijd van medewerkers door gebrek aan/lang wachten op benodigde rechten verdwijnt; Door automatisering worden de arbeidskosten verlaagd en de arbeidsproductiviteit van IT- en informatiebeveiligingsdiensten verhoogd.

Bron: www.habr.com

Voeg een reactie