ProHoster > BLOG > administrare > Implementarea IdM. Pregătirea pentru implementare din partea clientului

Implementarea IdM. Pregătirea pentru implementare din partea clientului

În articolele anterioare, am analizat deja ce este IdM, cum să înțelegeți dacă organizația dvs. are nevoie de un astfel de sistem, ce probleme rezolvă și cum să justificați bugetul de implementare în fața conducerii. Astăzi vom vorbi despre etapele importante prin care trebuie să treacă organizația însăși pentru a atinge nivelul adecvat de maturitate înainte de implementarea unui sistem IdM. La urma urmei, IdM este conceput pentru a automatiza procesele, dar este imposibil să automatizezi haosul.

Implementarea IdM. Pregătirea pentru implementare din partea clientului

Până când o companie crește la dimensiunea unei întreprinderi mari și a acumulat o mulțime de sisteme de afaceri diferite, de obicei nu se gândește la controlul accesului. Prin urmare, procesele de obținere a drepturilor și a puterilor de control în acesta nu sunt structurate și sunt greu de analizat. Angajații completează cererile de acces după cum doresc; nici procesul de aprobare nu este formalizat și, uneori, pur și simplu nu există. Este imposibil să-ți dai seama rapid ce acces are un angajat, cine l-a aprobat și pe ce bază.

Implementarea IdM. Pregătirea pentru implementare din partea clientului
Având în vedere că procesul de automatizare a accesului afectează două aspecte principale - datele de personal și datele din sistemele informaționale cu care urmează să se realizeze integrarea, vom lua în considerare pașii necesari pentru a ne asigura că implementarea IdM decurge fără probleme și nu provoacă respingere:

  1. Analiza proceselor de personal și optimizarea suportului bazei de date a angajaților în sistemele de personal.
  2. Analiza datelor despre utilizatori și drepturile, precum și actualizarea metodelor de control al accesului în sistemele țintă care sunt planificate să fie conectate la IdM.
  3. Activități organizaționale și implicarea personalului în procesul de pregătire pentru implementarea IdM.

Date de personal

Într-o organizație poate exista o singură sursă de date despre personal sau mai multe. De exemplu, o organizație poate avea o rețea de sucursale destul de largă, iar fiecare sucursală își poate folosi propria bază de personal.

În primul rând, este necesar să înțelegem ce date de bază despre angajați sunt stocate în sistemul de evidență a personalului, ce evenimente sunt înregistrate și să evaluăm caracterul complet și structura acestora.

Se întâmplă adesea ca nu toate evenimentele de personal să fie notate în sursa de personal (și chiar mai des sunt notate în timp util și nu în întregime corect). Iată câteva exemple tipice:

  • Frunzele, categoriile și termenii acestora (regulate sau pe termen lung) nu sunt înregistrate;
  • Angajarea cu fracțiune de normă nu este înregistrată: de exemplu, în timp ce se află în concediu de lungă durată pentru îngrijirea unui copil, un angajat poate lucra simultan cu fracțiune de normă;
  • statutul actual al candidatului sau angajatului s-a schimbat deja (primire/transfer/concediere), iar ordinul despre acest eveniment este emis cu întârziere;
  • un angajat este transferat pe o nouă funcție obișnuită prin concediere, în timp ce sistemul de personal nu înregistrează informații că aceasta este o concediere tehnică.

De asemenea, merită să acordați o atenție deosebită evaluării calității datelor, deoarece orice erori și inexactități obținute dintr-o sursă de încredere, care este sistemele de resurse umane, pot fi costisitoare în viitor și pot cauza multe probleme la implementarea IdM. De exemplu, angajații HR introduc adesea poziții de angajat în sistemul de personal în diferite formate: litere mari și mici, abrevieri, numere diferite de spații și altele asemenea. Ca urmare, aceeași poziție poate fi înregistrată în sistemul de personal în următoarele variante:

  • Senior manager
  • manager superior
  • manager superior
  • Artă. administrator…

Adesea, trebuie să te confrunți cu diferențele de ortografie a numelui tău:

  • Shmeleva Natalya Gennadievna,
  • Shmeleva Natalia Gennadievna...

Pentru o automatizare suplimentară, un astfel de amestec este inacceptabil, mai ales dacă aceste atribute sunt un semn cheie de identificare, adică datele despre angajat și puterile sale în sisteme sunt comparate exact după numele complet.

Implementarea IdM. Pregătirea pentru implementare din partea clientului
În plus, nu ar trebui să uităm de posibila prezență a omonimilor și a numelor întregi în companie. Dacă o organizație are o mie de angajați, pot fi puține astfel de potriviri, dar dacă sunt 50 de mii, atunci acest lucru poate deveni un obstacol critic în calea funcționării corecte a sistemului IdM.

Rezumând toate cele de mai sus, concluzionăm: formatul de introducere a datelor în baza de date a personalului organizației trebuie să fie standardizat. Parametrii de introducere a numelor, posturilor și departamentelor trebuie să fie clar definiți. Cea mai bună opțiune este atunci când un angajat HR nu introduce datele manual, ci le selectează dintr-un director pre-creat al structurii departamentelor și posturilor folosind funcția „select” disponibilă în baza de date a personalului.

Pentru a evita alte erori de sincronizare și pentru a nu fi necesar să corectați manual discrepanțe în rapoarte, cel mai preferat mod de a identifica angajații este introducerea unui act de identitate pentru fiecare angajat al organizației. Un astfel de identificator va fi atribuit fiecărui nou angajat și va apărea atât în ​​sistemul de personal, cât și în sistemele informaționale ale organizației ca atribut de cont obligatoriu. Nu contează dacă este format din cifre sau litere, principalul lucru este că este unic pentru fiecare angajat (de exemplu, mulți oameni folosesc numărul de personal al angajatului). În viitor, introducerea acestui atribut va facilita foarte mult conectarea datelor angajaților din sursa de personal cu conturile și autoritățile sale din sistemele informaționale.

Deci, toate etapele și mecanismele evidenței personalului vor trebui analizate și puse în ordine. Este foarte posibil ca unele procese să fie schimbate sau modificate. Aceasta este o muncă obositoare și minuțioasă, dar este necesară, altfel lipsa datelor clare și structurate privind evenimentele de personal va duce la erori în procesarea automată a acestora. În cel mai rău caz, procesele nestructurate vor fi deloc imposibil de automatizat.

Sisteme țintă

În etapa următoare, trebuie să ne dăm seama câte sisteme informaționale dorim să integrăm în structura IdM, ce date despre utilizatori și drepturile lor sunt stocate în aceste sisteme și cum să le gestionăm.

În multe organizații, există opinia că vom instala IdM, vom configura conectori la sistemele țintă și, cu un val de baghetă magică, totul va funcționa, fără efort suplimentar din partea noastră. Asta, din păcate, nu se întâmplă. În companii, peisajul sistemelor informaționale se dezvoltă și crește treptat. Fiecare sistem poate avea o abordare diferită pentru acordarea drepturilor de acces, adică pot fi configurate diferite interfețe de control al accesului. Undeva controlul are loc printr-un API (interfață de programare a aplicației), undeva printr-o bază de date folosind proceduri stocate, undeva este posibil să nu existe interfețe de interacțiune. Ar trebui să fiți pregătiți pentru faptul că va trebui să reconsiderați multe procese existente pentru gestionarea conturilor și a drepturilor în sistemele organizației: schimbați formatul datelor, îmbunătățiți în avans interfețele de interacțiune și alocați resurse pentru această activitate.

Model

Probabil că veți întâlni conceptul de model în faza de alegere a unui furnizor de soluții IdM, deoarece acesta este unul dintre conceptele cheie în domeniul managementului drepturilor de acces. În acest model, accesul la date este asigurat printr-un rol. Un rol este un set de accese care sunt minim necesare pentru ca un angajat într-o anumită poziție să își îndeplinească responsabilitățile funcționale.

Controlul accesului bazat pe roluri are o serie de avantaje incontestabile:

  • este simplu și eficient să atribui aceleași drepturi unui număr mare de angajați;
  • modificarea promptă a accesului angajaților cu același set de drepturi;
  • eliminarea redundanței drepturilor și delimitarea puterilor incompatibile pentru utilizatori.

Matricea de roluri este mai întâi construită separat în fiecare dintre sistemele organizației, iar apoi scalată la întregul peisaj IT, unde rolurile globale de afaceri sunt formate din rolurile fiecărui sistem. De exemplu, rolul de afaceri „Contabil” va include mai multe roluri separate pentru fiecare dintre sistemele informatice utilizate în departamentul de contabilitate al întreprinderii.

Recent, a fost considerată „cea mai bună practică” crearea unui model de urmat chiar și în stadiul de dezvoltare a aplicațiilor, bazelor de date și sistemelor de operare. În același timp, există adesea situații în care rolurile nu sunt configurate în sistem sau pur și simplu nu există. În acest caz, administratorul acestui sistem trebuie să introducă informațiile despre cont în mai multe fișiere, biblioteci și directoare diferite care oferă permisiunile necesare. Utilizarea rolurilor predefinite vă permite să acordați privilegii pentru a efectua o întreagă gamă de operațiuni într-un sistem cu date compozite complexe.

Rolurile într-un sistem informatic, de regulă, sunt distribuite pentru posturi și departamente în funcție de structura de personal, dar pot fi create și pentru anumite procese de afaceri. De exemplu, într-o organizație financiară, mai mulți angajați ai departamentului de decontare ocupă aceeași funcție - operator. Dar în cadrul departamentului există și o distribuție în procese separate, în funcție de diferite tipuri de operațiuni (externe sau interne, în diferite valute, cu diferite segmente ale organizației). Pentru a oferi fiecărei zone de afaceri ale unui departament acces la sistemul informațional conform specificului cerut, este necesar să se includă drepturi în roluri funcționale individuale. Acest lucru va face posibilă asigurarea unui set minim suficient de competențe, care să nu includă drepturi redundante, pentru fiecare dintre domeniile de activitate.

În plus, pentru sistemele mari cu sute de roluri, mii de utilizatori și milioane de permisiuni, este o practică bună să folosiți o ierarhie de roluri și moștenirea privilegiilor. De exemplu, rolul părinte Administrator va moșteni privilegiile rolurilor copil: Utilizator și Cititor, deoarece Administratorul poate face tot ce pot face Utilizatorul și Cititorul, plus va avea drepturi administrative suplimentare. Folosind ierarhia, nu este nevoie să respecificați aceleași drepturi în mai multe roluri ale aceluiași modul sau sistem.

În prima etapă, puteți crea roluri în acele sisteme în care numărul posibil de combinații de drepturi nu este foarte mare și, ca urmare, este ușor să gestionați un număr mic de roluri. Acestea pot fi drepturi tipice cerute de toți angajații companiei asupra sistemelor accesibile publicului, cum ar fi Active Directory (AD), sisteme de e-mail, Service Manager și altele asemenea. Apoi, matricele de rol create pentru sistemele informaționale pot fi incluse în modelul general de rol, combinându-le în roluri de afaceri.

Folosind această abordare, în viitor, la implementarea unui sistem IdM, va fi ușor să automatizezi întregul proces de acordare a drepturilor de acces pe baza rolurilor de primă etapă create.

NB Nu ar trebui să încercați să includeți imediat cât mai multe sisteme posibil în integrare. Este mai bine să conectați sistemele cu o arhitectură mai complexă și o structură de gestionare a drepturilor de acces la IdM într-un mod semi-automat la prima etapă. Adică implementați, pe baza evenimentelor de personal, doar generarea automată a unei cereri de acces, care va fi trimisă administratorului pentru executare, iar acesta va configura drepturile manual.

După finalizarea cu succes a primei etape, puteți extinde funcționalitatea sistemului la noi procese de afaceri extinse, puteți implementa automatizarea completă și scalarea cu conectarea unor sisteme informaționale suplimentare.

Implementarea IdM. Pregătirea pentru implementare din partea clientului
Cu alte cuvinte, pentru a pregăti implementarea IdM, este necesar să se evalueze gradul de pregătire a sistemelor informaționale pentru noul proces și să se finalizeze în prealabil interfețele de interacțiune externă pentru gestionarea conturilor de utilizator și a drepturilor de utilizator, dacă astfel de interfețe nu sunt disponibile în sistem. Problema creării pas cu pas a rolurilor în sistemele informaționale pentru controlul complet al accesului ar trebui, de asemenea, explorată.

Evenimente organizatorice

Nu ignora nici problemele organizatorice. În unele cazuri, acestea pot juca un rol decisiv, deoarece rezultatul întregului proiect depinde adesea de interacțiunea eficientă între departamente. Pentru a face acest lucru, de obicei recomandăm crearea unei echipe de participanți la proces în organizație, care să includă toate departamentele implicate. Deoarece aceasta este o povară suplimentară pentru oameni, încercați să explicați în prealabil tuturor participanților la procesul viitor rolul și importanța lor în structura de interacțiune. Dacă „vinzi” ideea de IdM colegilor tăi în această etapă, poți evita multe dificultăți în viitor.

Implementarea IdM. Pregătirea pentru implementare din partea clientului
De multe ori departamentele de securitate informatică sau IT sunt „proprietarii” proiectului de implementare IdM într-o companie, iar opiniile departamentelor de business nu sunt luate în considerare. Aceasta este o mare greșeală, pentru că doar ei știu cum și în ce procese de afaceri este folosită fiecare resursă, cui ar trebui să aibă acces la ea și cine nu. Prin urmare, în etapa de pregătire, este important să se indice că proprietarul afacerii este responsabil pentru modelul funcțional pe baza căruia sunt dezvoltate seturi de drepturi de utilizator (roluri) în sistemul informațional, precum și pentru a se asigura că aceste roluri sunt ținute la zi. Un model de urmat nu este o matrice statică care se construiește o singură dată și te poți calma pe ea. Acesta este un „organism viu” care trebuie să se schimbe, să actualizeze și să se dezvolte în mod constant, în urma schimbărilor în structura organizației și funcționalitatea angajaților. În caz contrar, fie vor apărea probleme asociate cu întârzierile în furnizarea accesului, fie vor apărea riscuri de securitate a informațiilor asociate cu drepturi de acces excesive, ceea ce este și mai rău.

După cum știți, „șapte bone au un copil fără ochi”, așa că compania trebuie să dezvolte o metodologie care să descrie arhitectura modelului, interacțiunea și responsabilitatea anumitor participanți în procesul de actualizare. Dacă o companie are multe domenii de activitate și, în consecință, multe divizii și departamente, atunci pentru fiecare domeniu (de exemplu, creditare, lucru operațional, servicii la distanță, conformitate și altele) ca parte a procesului de gestionare a accesului bazat pe roluri, aceasta este necesară numirea curatorilor separați. Prin intermediul acestora se vor putea primi rapid informatii despre schimbarile in structura departamentului si drepturile de acces necesare pentru fiecare rol.

Este imperativ să obțineți sprijinul conducerii organizației pentru a rezolva situațiile conflictuale dintre departamentele care participă la proces. Iar conflictele la introducerea oricărui proces nou sunt inevitabile, credeți experiența noastră. Prin urmare, avem nevoie de un arbitru care să rezolve eventualele conflicte de interese, pentru a nu pierde timpul din cauza neînțelegerilor și a sabotajului altcuiva.

Implementarea IdM. Pregătirea pentru implementare din partea clientului
NB Un loc bun pentru a începe să creșteți gradul de conștientizare este să vă instruiți personalul. Un studiu detaliat al funcționării viitorului proces și al rolului fiecărui participant în acesta va minimiza dificultățile de tranziție la o nouă soluție.

Lista de verificare

Pentru a rezuma, rezumăm pașii principali pe care ar trebui să îi urmeze o organizație care intenționează să implementeze IdM:

  • a pune ordine în datele de personal;
  • introduceți un parametru de identificare unic pentru fiecare angajat;
  • evaluarea gradului de pregătire a sistemelor informaționale pentru implementarea IdM;
  • să dezvolte interfețe de interacțiune cu sistemele informaționale pentru controlul accesului, dacă acestea lipsesc, și să aloce resurse pentru această activitate;
  • dezvoltarea și construirea unui model de urmat;
  • construiți un proces de management model și includeți curatori din fiecare zonă de afaceri în el;
  • selectați mai multe sisteme pentru conectarea inițială la IdM;
  • creați o echipă de proiect eficientă;
  • obține sprijin din partea conducerii companiei;
  • personalul trenului.

Procesul de pregătire poate fi dificil, așa că dacă este posibil, implicați consultanți.

Implementarea unei soluții IdM este un pas dificil și responsabil, iar pentru implementarea cu succes a acesteia sunt importante atât eforturile fiecărei părți în mod individual – angajații departamentelor de business, servicii IT și securitate a informațiilor, cât și interacțiunea întregii echipe în ansamblu. Dar eforturile merită: după implementarea IdM într-o companie, scade numărul de incidente legate de puteri excesive și drepturi neautorizate în sistemele informaționale; dispare timpul de nefuncţionare a angajaţilor din cauza lipsei/aşteptării îndelungate pentru drepturile necesare; Datorită automatizării, costurile cu forța de muncă sunt reduse și productivitatea muncii a serviciilor IT și de securitate a informațiilor este crescută.

Sursa: www.habr.com

Adauga un comentariu