W poprzednich artykułach sprawdziliśmy już, czym jest IdM, jak zrozumieć, czy Twoja organizacja potrzebuje takiego systemu, jakie problemy rozwiązuje i jak uzasadnić przed zarządem budżet wdrożeniowy. Dzisiaj porozmawiamy o ważnych etapach, przez które musi przejść sama organizacja, aby osiągnąć odpowiedni poziom dojrzałości przed wdrożeniem systemu IdM. W końcu IdM ma za zadanie automatyzować procesy, ale chaosu nie da się zautomatyzować.
Dopóki firma nie urosnie do rozmiarów dużego przedsiębiorstwa i nie zgromadzi wielu różnych systemów biznesowych, zazwyczaj nie myśli o kontroli dostępu. Dlatego procesy uzyskiwania w nim uprawnień i uprawnień kontrolnych nie są ustrukturyzowane i trudne do analizy. Pracownicy wypełniają wnioski o dostęp według własnego uznania, proces zatwierdzania też nie jest sformalizowany, a czasem po prostu go nie ma. Nie sposób szybko zorientować się, jaki dostęp ma pracownik, kto go zatwierdził i na jakiej podstawie.
Mając na uwadze, że proces automatyzacji dostępu wpływa na dwa główne aspekty – dane osobowe oraz dane z systemów informatycznych, z którymi ma zostać przeprowadzona integracja, rozważymy kroki niezbędne, aby wdrożenie IdM przebiegło sprawnie i nie spowodowało odrzucenia:
- Analiza procesów kadrowych i optymalizacja obsługi baz danych pracowników w systemach kadrowych.
- Analiza danych o użytkownikach i uprawnieniach oraz aktualizacja metod kontroli dostępu w systemach docelowych, które mają zostać podłączone do IdM.
- Działania organizacyjne i zaangażowanie personelu w proces przygotowań do wdrożenia IdM.
Dane osobowe
W organizacji może istnieć jedno źródło danych personalnych lub może być ich kilka. Na przykład organizacja może mieć dość szeroką sieć oddziałów, a każdy oddział może korzystać z własnej bazy kadrowej.
Przede wszystkim należy zrozumieć, jakie podstawowe dane o pracownikach przechowywane są w systemie akt osobowych, jakie zdarzenia są rejestrowane, a także ocenić ich kompletność i strukturę.
Często zdarza się, że nie wszystkie zdarzenia kadrowe są odnotowywane w źródle kadrowym (a jeszcze częściej są odnotowywane przedwcześnie i nie do końca poprawnie). Oto kilka typowych przykładów:
- Nie ewidencjonuje się urlopów, ich kategorii i terminów (regularnych czy długoterminowych);
- Nie rejestruje się zatrudnienia w niepełnym wymiarze czasu pracy: np. pracownik przebywający na długoterminowym urlopie wychowawczym może jednocześnie pracować w niepełnym wymiarze czasu pracy;
- zmienił się już faktyczny status kandydata lub pracownika (przyjęcie/przeniesienie/zwolnienie), a zarządzenie o tym zdarzeniu wydawane jest z opóźnieniem;
- pracownik zostaje przeniesiony na nowe stałe stanowisko w drodze zwolnienia, a w systemie kadrowym nie rejestruje się informacji, że jest to zwolnienie techniczne.
Warto także zwrócić szczególną uwagę na ocenę jakości danych, gdyż wszelkie błędy i nieścisłości pozyskane z zaufanego źródła, jakim są systemy HR, mogą być w przyszłości kosztowne i powodować wiele problemów przy wdrażaniu IdM. Na przykład pracownicy HR często wprowadzają stanowiska pracowników do systemu kadr w różnych formatach: wielkimi i małymi literami, skrótami, różną liczbą spacji i tym podobnych. W rezultacie to samo stanowisko można zapisać w systemie kadrowym w następujących odmianach:
- Kierownik wyższego szczebla
- kierownik wyższego szczebla
- kierownik wyższego szczebla
- Sztuka. menedżer…
Często musisz radzić sobie z różnicami w pisowni swojego imienia i nazwiska:
- Shmeleva Natalya Gennadievna,
- Shmeleva Natalia Gennadievna...
W przypadku dalszej automatyzacji taka mieszanina jest nie do przyjęcia, szczególnie jeśli te atrybuty są kluczowym znakiem identyfikacyjnym, czyli dane o pracowniku i jego uprawnieniach w systemach porównywane są dokładnie z imienia i nazwiska.
Ponadto nie powinniśmy zapominać o ewentualnej obecności imienników i pełnych imienników w firmie. Jeśli organizacja zatrudnia tysiąc pracowników, takich dopasowań może być niewiele, ale jeśli jest ich 50 tysięcy, może to stać się krytyczną przeszkodą w prawidłowym działaniu systemu IdM.
Podsumowując wszystko powyższe, dochodzimy do wniosku: format wprowadzania danych do bazy danych personelu organizacji musi być ujednolicony. Parametry wprowadzania nazwisk, stanowisk i działów muszą być jasno określone. Najlepszą opcją jest sytuacja, gdy pracownik HR nie wprowadza danych ręcznie, ale wybiera je z wcześniej utworzonego katalogu struktury działów i stanowisk za pomocą funkcji „wybierz” dostępnej w bazie personelu.
Aby uniknąć dalszych błędów w synchronizacji i nie musieć ręcznie poprawiać rozbieżności w raportach, najbardziej preferowanym sposobem identyfikacji pracowników jest podanie identyfikatora dla każdego pracownika organizacji. Identyfikator taki zostanie przypisany każdemu nowemu pracownikowi i będzie pojawiał się zarówno w systemie kadrowym, jak i w systemach informatycznych organizacji jako obowiązkowy atrybut konta. Nie ma znaczenia, czy składa się z cyfr, czy liter, najważniejsze jest to, że jest unikalny dla każdego pracownika (na przykład wiele osób używa numeru personalnego pracownika). W przyszłości wprowadzenie tego atrybutu znacznie ułatwi powiązanie danych pracownika w źródle kadrowym z jego kontami i uprawnieniami w systemach informatycznych.
Zatem wszystkie etapy i mechanizmy dokumentacji kadrowej będą musiały zostać przeanalizowane i uporządkowane. Jest całkiem możliwe, że niektóre procesy będą musiały zostać zmienione lub zmodyfikowane. Jest to praca żmudna i żmudna, ale konieczna, w przeciwnym razie brak jasnych i ustrukturyzowanych danych o zdarzeniach kadrowych doprowadzi do błędów w ich automatycznym przetwarzaniu. W najgorszym przypadku nieustrukturyzowane procesy będą w ogóle niemożliwe do zautomatyzowania.
Systemy docelowe
W kolejnym etapie musimy określić, ile systemów informatycznych chcemy zintegrować w strukturze IdM, jakie dane o użytkownikach i ich uprawnieniach są w tych systemach przechowywane oraz jak nimi zarządzać.
W wielu organizacjach panuje opinia, że zainstalujemy IdM, skonfigurujemy konektory do systemów docelowych i przy machnięciu czarodziejskiej różdżki wszystko będzie działać, bez dodatkowego wysiłku z naszej strony. Tak się niestety nie dzieje. W firmach krajobraz systemów informatycznych rozwija się i stopniowo rośnie. Każdy system może mieć inne podejście do nadawania praw dostępu, czyli można skonfigurować różne interfejsy kontroli dostępu. Gdzieś kontrola odbywa się poprzez API (interfejs programowania aplikacji), gdzieś poprzez bazę danych korzystającą z procedur przechowywanych, gdzieś może nie być w ogóle interfejsów interakcji. Powinieneś być przygotowany na to, że będziesz musiał ponownie rozważyć wiele istniejących procesów zarządzania kontami i uprawnieniami w systemach organizacji: zmienić format danych, wcześniej ulepszyć interfejsy interakcji i przydzielić zasoby do tej pracy.
Wzór do naśladowania
Z koncepcją wzorca do naśladowania zapewne spotkasz się już na etapie wyboru dostawcy rozwiązania IdM, gdyż jest to jedno z kluczowych pojęć w obszarze zarządzania prawami dostępu. W tym modelu dostęp do danych zapewniany jest poprzez rolę. Rola to zestaw uprawnień, które są minimalnie niezbędne pracownikowi na określonym stanowisku do wykonywania swoich obowiązków funkcjonalnych.
Kontrola dostępu oparta na rolach ma wiele niezaprzeczalnych zalet:
- przypisanie tych samych praw dużej liczbie pracowników jest proste i skuteczne;
- niezwłoczna zmiana dostępu pracowników posiadających te same uprawnienia;
- eliminując nadmiarowość praw i wyznaczając niezgodne uprawnienia użytkowników.
Macierz ról jest najpierw budowana oddzielnie w każdym z systemów organizacji, a następnie skalowana do całego krajobrazu IT, gdzie z ról każdego systemu tworzone są globalne role biznesowe. Na przykład rola biznesowa „Księgowy” będzie obejmowała kilka oddzielnych ról dla każdego z systemów informatycznych używanych w dziale księgowości przedsiębiorstwa.
W ostatnim czasie za „dobrą praktykę” uznano tworzenie wzorców do naśladowania już na etapie tworzenia aplikacji, baz danych i systemów operacyjnych. Jednocześnie często zdarzają się sytuacje, gdy role w systemie nie są skonfigurowane lub po prostu ich nie ma. W takim przypadku administrator tego systemu musi wprowadzić informacje o koncie do kilku różnych plików, bibliotek i katalogów, które zapewniają niezbędne uprawnienia. Zastosowanie predefiniowanych ról pozwala na nadawanie uprawnień do wykonywania całego szeregu operacji w systemie ze złożonymi danymi złożonymi.
Role w systemie informacyjnym z reguły są rozdzielane dla stanowisk i działów zgodnie ze strukturą personelu, ale można je również tworzyć dla określonych procesów biznesowych. Na przykład w organizacji finansowej kilku pracowników działu rozliczeń zajmuje to samo stanowisko - operator. Ale w ramach działu istnieje również podział na osobne procesy, według różnych typów operacji (zewnętrzne lub wewnętrzne, w różnych walutach, z różnymi segmentami organizacji). Aby zapewnić każdemu z obszarów biznesowych jednego działu dostęp do systemu informatycznego zgodnie z wymaganą specyfikacją, konieczne jest uwzględnienie uprawnień w poszczególnych rolach funkcjonalnych. Umożliwi to zapewnienie minimalnego wystarczającego zestawu uprawnień, nieobejmujących uprawnień zbędnych, dla każdego z obszarów działalności.
Dodatkowo w przypadku dużych systemów z setkami ról, tysiącami użytkowników i milionami uprawnień dobrą praktyką jest stosowanie hierarchii ról i dziedziczenia uprawnień. Na przykład rola nadrzędna Administrator odziedziczy uprawnienia ról podrzędnych: Użytkownik i Czytelnik, ponieważ Administrator może robić wszystko to, co Użytkownik i Czytelnik, a ponadto będzie miał dodatkowe uprawnienia administracyjne. Stosując hierarchię, nie ma potrzeby ponownego określania tych samych uprawnień w wielu rolach tego samego modułu lub systemu.
W pierwszym etapie możesz tworzyć role w tych systemach, w których możliwa liczba kombinacji uprawnień nie jest zbyt duża i w efekcie łatwo jest zarządzać małą liczbą ról. Mogą to być typowe uprawnienia wymagane przez wszystkich pracowników firmy do publicznie dostępnych systemów takich jak Active Directory (AD), systemy pocztowe, Service Manager i tym podobne. Następnie utworzone matryce ról dla systemów informatycznych można włączyć do ogólnego wzorca ról, łącząc je w role biznesowe.
Stosując takie podejście, w przyszłości, wdrażając system IdM, łatwo będzie zautomatyzować cały proces nadawania praw dostępu w oparciu o utworzone role pierwszego etapu.
NB Nie należy od razu próbować włączać do integracji jak największej liczby systemów. Systemy o bardziej złożonej architekturze i strukturze zarządzania prawami dostępu lepiej jest podłączyć do IdM w trybie półautomatycznym już na pierwszym etapie. Oznacza to, że w oparciu o zdarzenia personalne zaimplementuj tylko automatyczne generowanie żądania dostępu, które zostanie wysłane do administratora w celu wykonania, a on ręcznie skonfiguruje uprawnienia.
Po pomyślnym ukończeniu pierwszego etapu można rozszerzyć funkcjonalność systemu o nowe, rozbudowane procesy biznesowe, wdrożyć pełną automatyzację i skalowanie wraz z podłączeniem dodatkowych systemów informatycznych.
Innymi słowy, aby przygotować się do wdrożenia IdM, należy ocenić gotowość systemów informatycznych do nowego procesu i z wyprzedzeniem sfinalizować zewnętrzne interfejsy interakcji służące do zarządzania kontami użytkowników i uprawnieniami użytkowników, jeżeli takie interfejsy nie są dostępne w systemie. Należy również zbadać kwestię stopniowego tworzenia ról w systemach informatycznych w celu kompleksowej kontroli dostępu.
Wydarzenia organizacyjne
Nie lekceważ też kwestii organizacyjnych. W niektórych przypadkach mogą odegrać decydującą rolę, ponieważ wynik całego projektu często zależy od skutecznej interakcji pomiędzy działami. W tym celu zazwyczaj doradzamy utworzenie w organizacji zespołu uczestników procesu, w skład którego wejdą wszystkie zaangażowane działy. Ponieważ jest to dodatkowe obciążenie dla ludzi, staraj się z wyprzedzeniem wyjaśnić wszystkim uczestnikom przyszłego procesu ich rolę i znaczenie w strukturze interakcji. Jeśli na tym etapie „sprzedasz” ideę IdM swoim współpracownikom, możesz uniknąć wielu trudności w przyszłości.
Często działy bezpieczeństwa informacji lub IT są „właścicielami” projektu wdrożenia IdM w firmie, a opinie działów biznesowych nie są brane pod uwagę. To duży błąd, bo tylko oni wiedzą, jak i w jakich procesach biznesowych wykorzystuje się dany zasób, kto powinien mieć do niego dostęp, a kto nie. Dlatego już na etapie przygotowania warto wskazać, że to właściciel firmy odpowiada za model funkcjonalny, na podstawie którego tworzone są zbiory uprawnień (ról) użytkowników w systemie informatycznym, a także za zapewnienie, że role te są na bieżąco aktualizowane. Wzór do naśladowania nie jest statyczną matrycą, którą buduje się raz i można się na niej uspokoić. To „żywy organizm”, który musi się stale zmieniać, aktualizować i rozwijać, podążając za zmianami w strukturze organizacji i funkcjonalności pracowników. W przeciwnym razie albo pojawią się problemy związane z opóźnieniami w zapewnieniu dostępu, albo pojawią się zagrożenia bezpieczeństwa informacji związane z nadmiernymi prawami dostępu, co jest jeszcze gorsze.
Jak wiadomo „siedem niań ma dziecko bez oka”, dlatego firma musi opracować metodologię opisującą architekturę wzorca, interakcję i odpowiedzialność konkretnych uczestników procesu za jego aktualność. Jeżeli firma ma wiele obszarów działalności i co za tym idzie wiele oddziałów i działów, to dla każdego obszaru (np. kredyty, praca operacyjna, usługi zdalne, compliance i inne) w ramach procesu zarządzania dostępem opartego na rolach zostanie konieczne jest powołanie odrębnych kuratorów. Za ich pośrednictwem możliwe będzie szybkie uzyskanie informacji o zmianach w strukturze działu oraz o uprawnieniach dostępu wymaganych dla każdej roli.
Aby rozwiązać sytuacje konfliktowe pomiędzy działami uczestniczącymi w procesie, konieczne jest pozyskanie wsparcia kierownictwa organizacji. A konflikty przy wprowadzaniu nowego procesu są nieuniknione, uwierz naszemu doświadczeniu. Dlatego potrzebny jest nam arbiter, który rozwiąże ewentualne konflikty interesów, aby nie tracić czasu na czyjeś nieporozumienia i sabotaż.
NB Dobrym miejscem na rozpoczęcie podnoszenia świadomości jest przeszkolenie personelu. Szczegółowe badanie funkcjonowania przyszłego procesu i roli każdego jego uczestnika zminimalizuje trudności związane z przejściem na nowe rozwiązanie.
Sprawdź listę
Podsumowując, podsumowujemy główne kroki, jakie powinna podjąć organizacja planująca wdrożenie IdM:
- uporządkować dane osobowe;
- wprowadź unikalny parametr identyfikacyjny dla każdego pracownika;
- ocenić gotowość systemów informatycznych do wdrożenia IdM;
- opracować interfejsy do interakcji z systemami informacyjnymi kontroli dostępu, jeśli ich brakuje, i przydzielić zasoby na tę pracę;
- opracować i zbudować wzór do naśladowania;
- zbudować proces zarządzania wzorami do naśladowania i włączyć w niego kuratorów z każdego obszaru biznesowego;
- wybrać kilka systemów do wstępnego połączenia z IdM;
- stworzyć efektywny zespół projektowy;
- uzyskać wsparcie ze strony kierownictwa firmy;
- personel pociągu.
Proces przygotowań może być trudny, dlatego jeśli to możliwe, zaangażuj konsultantów.
Wdrożenie rozwiązania IdM to trudny i odpowiedzialny krok, a dla jego pomyślnego wdrożenia ważny jest zarówno wysiłek każdej strony z osobna – pracowników działów biznesowych, służb IT i bezpieczeństwa informacji, jak i interakcja całego zespołu jako całości. Ale wysiłki się opłaciły: po wdrożeniu IdM w firmie spada liczba incydentów związanych z nadmiernymi uprawnieniami i nieuprawnionymi uprawnieniami w systemach informatycznych; znikają przestoje pracowników spowodowane brakiem/długim oczekiwaniem na niezbędne uprawnienia; Dzięki automatyzacji koszty pracy ulegają obniżeniu, a wydajność pracy w usługach IT i bezpieczeństwa informacji wzrasta.
Źródło: www.habr.com