ProHoster > Blog > administração > Implementação do IDM. Preparação para implementação pelo cliente

Implementação do IDM. Preparação para implementação pelo cliente

Em artigos anteriores, já consideramos o que é IdM, como entender se sua organização precisa de tal sistema, quais tarefas ele resolve e como justificar o orçamento de implementação para a administração. Hoje falaremos sobre as etapas importantes pelas quais a própria organização deve passar para atingir o nível de maturidade adequado antes de implementar o sistema IdM. Afinal, o IdM foi projetado para automatizar processos e é impossível automatizar o caos.

Implementação do IDM. Preparação para implementação pelo cliente

Até o momento em que uma empresa cresce para o tamanho de uma grande empresa e acumula muitos sistemas de negócios diferentes, ela geralmente não pensa em controle de acesso. Portanto, os processos de obtenção de direitos e poderes de controle sobre ela não são estruturados e são de difícil análise. Os funcionários preenchem os pedidos de acesso como bem entendem, o processo de aprovação também não é formalizado e, às vezes, simplesmente não existe. É impossível descobrir rapidamente quais acessos um funcionário possui, quem os aprovou e com que base.

Implementação do IDM. Preparação para implementação pelo cliente
Considerando que o processo de automação de acessos afeta dois aspectos principais - dados de pessoal e dados de sistemas de informação, com os quais a integração será realizada, consideraremos as etapas necessárias para garantir que a implementação do IdM ocorra sem problemas e não cause rejeição:

  1. Análise de processos de pessoal e otimização de manutenção de banco de dados de funcionários em sistemas de pessoal.
  2. Análise de dados sobre usuários e direitos, bem como atualização de métodos de controle de acesso em sistemas de destino planejados para serem conectados ao IdM.
  3. Medidas organizacionais e envolvimento do pessoal no processo de preparação para a implementação do IdM.

dados pessoais

Pode haver uma fonte de dados pessoais em uma organização ou várias. Por exemplo, uma organização pode ter uma rede de filiais bastante ampla e cada filial pode usar sua própria base de pessoal.

Antes de tudo, é necessário entender quais dados básicos sobre os funcionários são armazenados no sistema de registro de pessoal, quais eventos são registrados e avaliar sua integridade e estrutura.

Muitas vezes acontece que nem todos os eventos de pessoal são anotados na fonte de pessoal (e ainda mais frequentemente são anotados fora do tempo e não corretamente). Aqui estão alguns exemplos típicos:

  • as férias, suas categorias e prazos (normais ou longos) não são fixos;
  • o emprego de meio período não é registrado: por exemplo, durante uma longa licença parental, um funcionário pode trabalhar simultaneamente em meio período;
  • a situação real do candidato ou funcionário já foi alterada (contratação / transferência / demissão) e o despacho sobre esse evento é emitido com atraso;
  • um funcionário é transferido para um novo cargo de tempo integral por meio de desligamento, enquanto o sistema de pessoal não registra informações de que se trata de um desligamento técnico.

Também vale a pena dar atenção especial à avaliação da qualidade dos dados, pois erros e imprecisões recebidos de uma fonte confiável, que são sistemas de registros pessoais, podem custar caro no futuro e causar muitos problemas na implementação do IdM. Por exemplo, os oficiais de pessoal geralmente inserem cargos de funcionários no sistema de pessoal em diferentes formatos: letras maiúsculas e minúsculas, abreviações, um número diferente de espaços e assim por diante. Como resultado, a mesma posição pode ser fixada no sistema de pessoal nas seguintes variações:

  • Gerente sênior
  • gerente sênior
  • gerente sênior
  • Arte. gerente…

Muitas vezes você tem que lidar com diferenças na grafia do nome completo:

  • Shmeleva Natalia Gennadievna,
  • Shmeleva Natalia Gennadievna…

Para maior automação, tal confusão é inaceitável, especialmente se esses atributos forem um sinal chave de identificação, ou seja, os dados sobre o funcionário e seus poderes nos sistemas são comparados precisamente pelo nome completo.

Implementação do IDM. Preparação para implementação pelo cliente
Além disso, não se deve esquecer a possível presença de homônimos e homônimos completos na empresa. Se a organização tiver mil funcionários, pode haver poucas dessas coincidências e, se houver 50 mil, isso pode se tornar um obstáculo crítico para o correto funcionamento do sistema IdM.

Resumindo tudo o que foi dito acima, concluímos: o formato de entrada de dados na base de pessoal da organização deve ser padronizado. Os parâmetros para inserir nomes completos, cargos e departamentos devem ser claramente definidos. A melhor opção é quando um funcionário não insere dados manualmente, mas os seleciona em um diretório pré-criado da estrutura de departamentos e cargos usando a função “selecionar” disponível no banco de dados de pessoal.

Para evitar mais erros na sincronização e não corrigir manualmente as discrepâncias nos relatórios, a maneira mais preferida de identificar os funcionários é inserir um ID para cada funcionário da organização. Esse identificador será atribuído a cada novo funcionário e aparecerá tanto no sistema de pessoal quanto nos sistemas de informação da organização como um atributo obrigatório da conta. Não importa se é composto por números ou letras, o principal é que seja único para cada funcionário (por exemplo, muitos usam o número pessoal de um funcionário). No futuro, a introdução deste atributo facilitará muito a vinculação dos dados do funcionário na fonte de pessoal com suas contas e autoridades nos sistemas de informação.

Assim, todas as etapas e mecanismos de registros de pessoal precisarão ser analisados ​​e colocados em ordem. É possível que alguns processos tenham que ser alterados ou melhorados. Este é um trabalho tedioso e meticuloso, mas é necessário, caso contrário, a falta de dados claros e estruturados sobre eventos de pessoal levará a erros em seu processamento automático. No pior dos casos, os processos não estruturados não podem ser automatizados.

Sistemas alvo

Na próxima etapa, precisamos descobrir quantos sistemas de informação queremos integrar na estrutura do IdM, quais dados sobre usuários e seus direitos são armazenados nesses sistemas e como gerenciá-los.

Em muitas organizações, existe a opinião de que instalaremos o IdM, configuraremos os conectores nos sistemas de destino e, com um aceno de uma varinha mágica, tudo funcionará, sem esforços adicionais de nossa parte. Então, infelizmente, isso não acontece. Nas empresas, o cenário dos sistemas de informação evolui e cresce gradualmente. Em cada um dos sistemas pode ser organizada uma abordagem diferente para conceder direitos de acesso, ou seja, diferentes interfaces de controle de acesso são configuradas. Em algum lugar, o gerenciamento ocorre por meio da API (interface de programação de aplicativos), em algum lugar por meio do banco de dados usando procedimentos armazenados, em algum lugar pode não haver nenhuma interface de interação. Você deve estar preparado para o fato de que terá que revisar muitos processos existentes para gerenciar contas e direitos nos sistemas da organização: alterar o formato dos dados, finalizar as interfaces de interação com antecedência e alocar recursos para esses trabalhos.

modelo

Provavelmente, você encontrará o conceito de modelo na fase de escolha de um provedor de soluções IdM, pois esse é um dos conceitos-chave no campo do gerenciamento de direitos de acesso. Nesse modelo, o acesso aos dados é concedido por meio de uma função. Uma função é um conjunto de acessos minimamente necessários para que um funcionário em uma determinada posição possa desempenhar suas funções funcionais.

O controle de acesso baseado em função tem várias vantagens inegáveis:

  • atribuição simples e eficiente dos mesmos direitos a um grande número de empregados;
  • mudança rápida de acesso para funcionários com o mesmo conjunto de direitos;
  • exclusão de redundância de direitos e diferenciação de poderes incompatíveis para usuários.

A matriz de funções é primeiro construída separadamente em cada um dos sistemas da organização e, em seguida, dimensionada para todo o cenário de TI, onde as funções de negócios globais são formadas a partir das funções de cada sistema. Por exemplo, a função empresarial "Contador" incluirá várias funções separadas para cada um dos sistemas de informação usados ​​no departamento de contabilidade da empresa.

Recentemente, é considerada “melhor prática” criar um modelo de comportamento mesmo na fase de desenvolvimento de aplicativos, bancos de dados e sistemas operacionais. Ao mesmo tempo, não são incomuns as situações em que as funções não estão configuradas no sistema ou simplesmente não existem. Neste caso, o administrador deste sistema deve inserir os dados da conta em vários arquivos, bibliotecas e diretórios diferentes que fornecem as permissões necessárias. O uso de funções predefinidas permite que você conceda privilégios para conduzir toda uma gama de operações em um sistema com dados compostos complexos.

As funções no sistema de informação, via de regra, são distribuídas por cargos e departamentos de acordo com a estrutura de pessoal, mas também podem ser criadas para determinados processos de negócios. Por exemplo, em uma instituição financeira, vários funcionários do departamento de liquidação ocupam o mesmo cargo - o operador. Mas dentro do departamento também há uma distribuição em processos separados, de acordo com diferentes tipos de operações (externas ou internas, em diferentes moedas, com diferentes segmentos da organização). Para que cada uma das áreas de negócio de um departamento tenha acesso ao sistema de informação de acordo com as especificidades exigidas, é necessário incluir direitos em funções funcionais distintas. Isso fornecerá um conjunto mínimo suficiente de permissões, não incluindo direitos redundantes, para cada uma das áreas de atividade.

Além disso, para grandes sistemas com centenas de funções, milhares de usuários e milhões de permissões, é uma boa prática usar uma hierarquia de funções e herança de privilégios. Por exemplo, a função pai Administrador herdará os privilégios das funções filhas: Usuário e Leitor, já que o Administrador pode fazer tudo o que o Usuário e o Leitor podem fazer, além de ter direitos administrativos adicionais. Usando a hierarquia, não há necessidade de especificar novamente os mesmos direitos em várias funções do mesmo módulo ou sistema.

No primeiro estágio, você pode criar funções nos sistemas em que o número possível de combinações de direitos não é muito grande e, como resultado, é fácil gerenciar um pequeno número de funções. Esses podem ser direitos típicos exigidos por todos os funcionários da empresa para sistemas públicos, como Active Directory (AD), sistemas de correio, Service Manager e similares. Em seguida, as matrizes de função criadas para sistemas de informação podem ser incluídas no modelo de função geral, combinando-as em funções de negócios.

Com esta abordagem, no futuro, ao implementar um sistema IdM, será fácil automatizar todo o processo de concessão de direitos de acesso com base nas funções criadas na primeira etapa.

NB Você não deve tentar incluir imediatamente tantos sistemas quanto possível na integração. Os sistemas com arquitetura mais complexa e estrutura de gerenciamento de direitos de acesso são melhor conectados ao IdM em um modo semiautomático no primeiro estágio. Ou seja, com base em eventos de pessoal, implemente apenas a geração automática de uma solicitação de acesso, que será enviada ao administrador para execução, e ele definirá os direitos manualmente.

Depois de passar com sucesso o primeiro estágio, é possível estender a funcionalidade do sistema para novos processos de negócios avançados, para implementar automação completa e dimensionamento com a conexão de sistemas de informação adicionais.

Implementação do IDM. Preparação para implementação pelo cliente
Ou seja, para se preparar para a implementação do IdM, é necessário avaliar a prontidão dos sistemas de informação para um novo processo e refinar antecipadamente as interfaces externas para gerenciamento de contas e direitos de usuários, caso tais interfaces não estejam disponíveis em o sistema. Também é necessário trabalhar a questão da criação faseada de funções nos sistemas de informação para controlo de acesso integrado.

Eventos organizacionais

Questões organizacionais não devem ser descartadas. Em alguns casos, eles podem ter um papel decisivo, pois o resultado de todo o projeto muitas vezes depende de uma interação efetiva entre os departamentos. Para isso, costumamos aconselhar a criação de um time de participantes do processo na organização, que incluirá todos os departamentos envolvidos. Como esse é um fardo adicional para as pessoas, tente explicar com antecedência a todos os participantes do processo futuro seu papel e significado na estrutura de interação. Se você “vender” a ideia do IdM aos colegas nesta fase, poderá evitar muitas dificuldades no futuro.

Implementação do IDM. Preparação para implementação pelo cliente
Muitas vezes, os “donos” do projeto de implementação de IdM em uma empresa são os departamentos de segurança da informação ou TI, e a opinião dos departamentos de negócios não é levada em consideração. Isso é um grande erro, porque só eles sabem como e em quais processos de negócios cada recurso é usado, quem deve ter acesso a ele e quem não deve. Portanto, na fase de preparação, é importante indicar que é o proprietário da empresa o responsável pelo modelo funcional, com base no qual são desenvolvidos os conjuntos de direitos (papéis) dos usuários no sistema de informação, bem como para garantir que essas funções sejam mantidas atualizadas. O modelo não é uma matriz estática que foi construída uma vez e você pode se acalmar sobre isso. Este é um “organismo vivo” que deve mudar, atualizar e desenvolver constantemente, acompanhando as mudanças na estrutura da organização e na funcionalidade dos funcionários. Caso contrário, ou haverá problemas associados a atrasos na concessão de acesso, ou haverá riscos de segurança da informação associados a direitos de acesso excessivos, o que é ainda pior.

Como você sabe, “sete babás têm um filho sem olho”, então a empresa deve desenvolver uma metodologia que descreva a arquitetura do modelo, a interação e a responsabilidade de participantes específicos do processo para mantê-lo atualizado. Se uma empresa possui muitas áreas de atividade comercial e, portanto, muitas divisões e departamentos, para cada área (por exemplo, empréstimos, operações, serviços remotos, conformidade e outros), como parte do processo de controle de acesso baseado em função, é necessário nomear curadores separados. Por meio deles, será possível receber rapidamente informações sobre mudanças na estrutura da unidade e os direitos de acesso necessários para cada função.

É imperativo contar com o apoio da gestão da organização para resolver situações de conflito entre os departamentos - participantes do processo. E os conflitos na implementação de qualquer novo processo são inevitáveis, acredite em nossa experiência. Portanto, é necessário um árbitro que resolva possíveis conflitos de interesse para não perder tempo devido a mal-entendidos e sabotagens de alguém.

Implementação do IDM. Preparação para implementação pelo cliente
NB O treinamento da equipe é um bom começo para aumentar a conscientização. Um estudo detalhado do funcionamento do processo futuro, o papel de cada participante nele minimizará as dificuldades de mudança para uma nova solução.

Lista de controle

Em resumo, aqui estão as principais etapas que uma organização que planeja implementar o IdM deve seguir:

  • colocar as coisas em ordem nos dados pessoais;
  • insira um parâmetro de identificação exclusivo para cada funcionário;
  • avaliar a prontidão dos sistemas de informação para a implementação do IdM;
  • desenvolver interfaces para interação com sistemas de informação para controle de acesso, caso não estejam disponíveis, e alocar recursos para esses trabalhos;
  • desenvolver e construir um modelo;
  • construir um processo de gestão modelo e incluir curadores de cada área de negócio;
  • selecionar vários sistemas para conexão inicial ao IdM;
  • criar uma equipe de projeto eficaz;
  • obter o apoio da administração da empresa;
  • treinar pessoal.

O processo de preparação pode ser difícil, portanto, se possível, envolva consultores.

A implementação de uma solução de IdM não é uma etapa fácil e responsável, e para sua implementação com sucesso, tanto o esforço de cada parte individualmente - funcionários das unidades de negócios, serviços de TI e segurança da informação, quanto a interação de toda a equipe como um todo são importante. Mas o esforço vale a pena: após a implementação do IdM na empresa, reduz-se o número de incidentes associados a poderes excessivos e direitos não autorizados nos sistemas de informação; o tempo de inatividade dos funcionários devido à falta/longa espera dos direitos necessários desaparece; devido à automação, os custos de mão de obra são reduzidos e a produtividade da mão de obra dos serviços de TI e segurança da informação é aumentada.

Fonte: habr.com

Adicionar um comentário