Implementácia IdM. Príprava na realizáciu zákazníkom

V predchádzajúcich článkoch sme sa už venovali tomu, čo je IdM, ako pochopiť, či vaša organizácia takýto systém potrebuje, aké problémy rieši a ako zdôvodniť implementačný rozpočet manažmentu. Dnes si povieme o dôležitých fázach, ktorými musí samotná organizácia prejsť, aby dosiahla správnu úroveň zrelosti pred implementáciou IdM systému. Koniec koncov, IdM je navrhnutý tak, aby automatizoval procesy, ale je nemožné automatizovať chaos.

Kým firma nenarastie do veľkosti veľkého podniku a nenahromadí množstvo rôznych obchodných systémov, zvyčajne neuvažuje o riadení prístupu. Preto procesy získavania práv a kontrolných právomocí v ňom nie sú štruktúrované a je ťažké ich analyzovať. Zamestnanci vypĺňajú žiadosti o prístup, ako chcú, schvaľovací proces tiež nie je formalizovaný a niekedy jednoducho neexistuje. Nie je možné rýchlo zistiť, aký prístup má zamestnanec, kto ho schválil a na základe čoho.

Vzhľadom na to, že proces automatizácie prístupu ovplyvňuje dva hlavné aspekty – personálne údaje a údaje z informačných systémov, s ktorými sa má integrácia uskutočniť, zvážime kroky potrebné na to, aby implementácia IdM prebehla hladko a nespôsobila odmietnutie:

1. Analýza personálnych procesov a optimalizácia databázovej podpory zamestnancov v personálnych systémoch.
2. Analýza údajov o používateľoch a právach, ako aj aktualizácia metód riadenia prístupu v cieľových systémoch, ktoré sa plánujú pripojiť k IdM.
3. Organizačná činnosť a zapojenie personálu do procesu prípravy implementácie IdM.

Osobné údaje

V organizácii môže byť jeden zdroj personálnych údajov alebo ich môže byť niekoľko. Napríklad organizácia môže mať pomerne širokú sieť pobočiek a každá pobočka môže využívať svoju vlastnú personálnu základňu.

V prvom rade je potrebné pochopiť, aké základné údaje o zamestnancoch sú uložené v systéme personálnej evidencie, aké udalosti sa zaznamenávajú a vyhodnotiť ich úplnosť a štruktúru.

Často sa stáva, že nie všetky personálne udalosti sú zaznamenané v personálnom zdroji (a ešte častejšie sú zaznamenané predčasne a nie úplne správne). Tu je niekoľko typických príkladov:

• Listy, ich kategórie a termíny (pravidelné alebo dlhodobé) sa nezaznamenávajú;
• Pracovný pomer na kratší pracovný čas sa neeviduje: napríklad počas dlhodobej dovolenky na starostlivosť o dieťa môže zamestnanec súčasne pracovať na kratší pracovný čas;
• skutočný stav kandidáta alebo zamestnanca sa už zmenil (prijatie/preloženie/prepustenie) a objednávka o tejto udalosti je vydaná s oneskorením;
• zamestnanec je preradený na novú riadnu pozíciu výpoveďou, pričom personálny systém nezaznamenáva informáciu, že ide o technickú výpoveď.

Osobitnú pozornosť je potrebné venovať aj hodnoteniu kvality údajov, pretože akékoľvek chyby a nepresnosti získané z dôveryhodného zdroja, ktorým sú HR systémy, môžu byť v budúcnosti nákladné a spôsobiť veľa problémov pri implementácii IdM. Napríklad personalisti často zadávajú pozície zamestnancov do personálneho systému v rôznych formátoch: veľké a malé písmená, skratky, rôzny počet medzier a podobne. V dôsledku toho môže byť rovnaká pozícia zaznamenaná v personálnom systéme v nasledujúcich obmenách:

• Senior manažér
• senior manažér
• senior manažér
• čl. manažér…

Často sa musíte vysporiadať s rozdielmi v pravopise svojho mena:

• Shmeleva Natalya Gennadievna,
• Shmeleva Natalia Gennadievna...

Pre ďalšiu automatizáciu je takáto spleť neprijateľná, najmä ak sú tieto atribúty kľúčovým znakom identifikácie, teda údaje o zamestnancovi a jeho právomociach v systémoch sa porovnávajú presne podľa mena.

Okrem toho netreba zabúdať ani na prípadnú prítomnosť menovcov a úplných menovcov v spoločnosti. Ak má organizácia tisíc zamestnancov, takýchto zhôd môže byť málo, ale ak ich je 50 tisíc, môže sa to stať kritickou prekážkou správneho fungovania systému IdM.

Ak zhrnieme všetky vyššie uvedené skutočnosti, dospejeme k záveru: formát na zadávanie údajov do personálnej databázy organizácie musí byť štandardizovaný. Parametre pre zadávanie mien, pozícií a oddelení musia byť jasne definované. Najlepšou možnosťou je, keď personalista nezadáva údaje ručne, ale vyberá si ich z vopred vytvoreného adresára štruktúry oddelení a pozícií pomocou funkcie „vyber“ dostupnej v personálnej databáze.

Aby ste predišli ďalším chybám v synchronizácii a nemuseli manuálne opravovať nezrovnalosti v prehľadoch, najpreferovanejší spôsob identifikácie zamestnancov je zadanie ID pre každého zamestnanca organizácie. Takýto identifikátor bude pridelený každému novému zamestnancovi a objaví sa v personálnom systéme aj v informačných systémoch organizácie ako povinný atribút účtu. Nezáleží na tom, či sa skladá z čísel alebo písmen, hlavné je, že je jedinečné pre každého zamestnanca (mnoho ľudí napríklad používa osobné číslo zamestnanca). Zavedenie tohto atribútu v budúcnosti výrazne uľahčí prepojenie údajov zamestnanca v personálnom zdroji s jeho účtami a právomocami v informačných systémoch.

Preto bude potrebné analyzovať a dať do poriadku všetky kroky a mechanizmy personálnej evidencie. Je dosť možné, že niektoré procesy budú musieť byť zmenené alebo upravené. Je to únavná a namáhavá práca, ale je nevyhnutná, inak nedostatok prehľadných a štruktúrovaných údajov o personálnych udalostiach povedie k chybám pri ich automatickom spracovaní. V najhoršom prípade nebude možné neštruktúrované procesy vôbec automatizovať.

Cieľové systémy

V ďalšej fáze musíme zistiť, koľko informačných systémov chceme integrovať do štruktúry IdM, aké údaje o používateľoch a ich právach sú v týchto systémoch uložené a ako ich spravovať.

V mnohých organizáciách panuje názor, že nainštalujeme IdM, nakonfigurujeme konektory na cieľové systémy a mávnutím čarovného prútika bude všetko fungovať bez ďalšieho úsilia z našej strany. To sa, žiaľ, nedeje. Vo firmách sa prostredie informačných systémov postupne rozvíja a zväčšuje. Každý systém môže mať odlišný prístup k udeľovaniu prístupových práv, to znamená, že môžu byť nakonfigurované rôzne rozhrania riadenia prístupu. Niekde riadenie prebieha cez API (aplikačné programovacie rozhranie), niekde cez databázu pomocou uložených procedúr, niekde nemusia existovať žiadne interakčné rozhrania. Mali by ste byť pripravení na to, že budete musieť prehodnotiť mnohé existujúce procesy na správu účtov a práv v systémoch organizácie: zmeniť formát údajov, vopred zlepšiť interakčné rozhrania a vyčleniť zdroje na túto prácu.

Vzor

S konceptom vzoru sa pravdepodobne stretnete vo fáze výberu poskytovateľa IdM riešenia, keďže ide o jeden z kľúčových konceptov v oblasti správy prístupových práv. V tomto modeli je prístup k údajom poskytovaný prostredníctvom roly. Rola je súbor prístupov, ktoré sú minimálne potrebné na to, aby zamestnanec na určitej pozícii mohol vykonávať svoje funkčné povinnosti.

Riadenie prístupu na základe rolí má množstvo nepopierateľných výhod:

• je jednoduché a efektívne prideliť rovnaké práva veľkému počtu zamestnancov;
• rýchla zmena prístupu zamestnancov s rovnakým súborom práv;
• odstránenie nadbytočnosti práv a vymedzenie nezlučiteľných právomocí pre používateľov.

Matica rolí sa najprv vytvorí samostatne v každom zo systémov organizácie a potom sa škáluje na celú oblasť IT, kde sa globálne obchodné roly tvoria z rolí každého systému. Napríklad obchodná rola „Účtovník“ bude zahŕňať niekoľko samostatných rolí pre každý z informačných systémov používaných v účtovnom oddelení podniku.

V poslednej dobe sa za „najlepšiu prax“ považuje vytvorenie vzoru aj vo fáze vývoja aplikácií, databáz a operačných systémov. Zároveň sa často vyskytujú situácie, keď roly nie sú v systéme nakonfigurované alebo jednoducho neexistujú. V tomto prípade musí správca tohto systému zadať informácie o účte do niekoľkých rôznych súborov, knižníc a adresárov, ktoré poskytujú potrebné povolenia. Použitie preddefinovaných rolí vám umožňuje udeliť privilégiá na vykonávanie celého radu operácií v systéme s komplexnými zloženými údajmi.

Roly v informačnom systéme sú spravidla rozdelené pre pozície a oddelenia podľa personálnej štruktúry, ale môžu byť vytvorené aj pre určité obchodné procesy. Napríklad vo finančnej organizácii zastáva niekoľko zamestnancov zúčtovacieho oddelenia rovnakú pozíciu - operátor. Ale v rámci oddelenia existuje aj rozdelenie do samostatných procesov, podľa rôznych typov operácií (externé alebo interné, v rôznych menách, s rôznymi segmentmi organizácie). Aby bolo možné každej z obchodných oblastí jedného oddelenia poskytnúť prístup do informačného systému podľa požadovaných špecifík, je potrebné zahrnúť práva v jednotlivých funkčných rolách. To umožní poskytnúť minimálny dostatočný súbor právomocí, ktorý nezahŕňa nadbytočné práva, pre každú z oblastí činnosti.

Okrem toho pre veľké systémy so stovkami rolí, tisíckami používateľov a miliónmi povolení je dobrou praxou použiť hierarchiu rolí a dedenie privilégií. Napríklad nadradená rola Administrátor zdedí privilégiá podriadených rolí: Používateľ a Čitateľ, keďže Administrátor môže robiť všetko, čo môže robiť Používateľ a Čitateľ, a navyše bude mať ďalšie administrátorské práva. Pomocou hierarchie nie je potrebné opätovne špecifikovať rovnaké práva vo viacerých rolách toho istého modulu alebo systému.

V prvej fáze môžete vytvárať roly v tých systémoch, kde možný počet kombinácií práv nie je príliš veľký a v dôsledku toho je ľahké spravovať malý počet rolí. Môžu to byť typické práva vyžadované všetkými zamestnancami spoločnosti k verejne prístupným systémom ako Active Directory (AD), poštové systémy, Service Manager a podobne. Potom môžu byť vytvorené matice rolí pre informačné systémy zahrnuté do všeobecného modelu rolí a skombinovať ich do obchodných rolí.

Pomocou tohto prístupu bude v budúcnosti pri implementácii IdM systému jednoduché automatizovať celý proces udeľovania prístupových práv na základe vytvorených rolí prvej fázy.

NB Nemali by ste sa snažiť okamžite zahrnúť do integrácie čo najviac systémov. V prvej fáze je lepšie pripojiť systémy so zložitejšou architektúrou a štruktúrou správy prístupových práv k IdM v poloautomatickom režime. To znamená implementovať na základe personálnych udalostí len automatické generovanie žiadosti o prístup, ktorá sa odošle administrátorovi na vykonanie a ten nastaví práva ručne.

Po úspešnom absolvovaní prvej etapy môžete rozšíriť funkcionalitu systému o nové rozšírené podnikové procesy, implementovať plnú automatizáciu a škálovanie s pripojením ďalších informačných systémov.

Inými slovami, pre prípravu na implementáciu IdM je potrebné posúdiť pripravenosť informačných systémov na nový proces a vopred dopracovať externé interakčné rozhrania pre správu užívateľských účtov a užívateľských práv, ak takéto rozhrania nie sú dostupné v systéme. Preskúmať by sa mala aj problematika postupného vytvárania rolí v informačných systémoch pre komplexnú kontrolu prístupu.

Organizačné akcie

Nepodceňujte ani organizačné problémy. V niektorých prípadoch môžu zohrať rozhodujúcu úlohu, pretože výsledok celého projektu často závisí od efektívnej interakcie medzi oddeleniami. Na tento účel zvyčajne odporúčame vytvoriť tím účastníkov procesu v organizácii, ktorý bude zahŕňať všetky zainteresované oddelenia. Keďže ide o ďalšiu záťaž pre ľudí, pokúste sa vopred vysvetliť všetkým účastníkom budúceho procesu ich úlohu a dôležitosť v štruktúre interakcie. Ak v tejto fáze „predáte“ myšlienku IdM svojim kolegom, môžete sa v budúcnosti vyhnúť mnohým problémom.

Oddelenia informačnej bezpečnosti alebo IT sú často „majiteľmi“ projektu implementácie IdM v spoločnosti a názory obchodných oddelení sa neberú do úvahy. To je veľká chyba, pretože len oni vedia, ako a v akých obchodných procesoch sa jednotlivé zdroje využívajú, kto by k nim mal mať prístup a kto nie. Preto je vo fáze prípravy dôležité uviesť, že za funkčný model, na základe ktorého sa vyvíjajú súbory používateľských práv (rolí) v informačnom systéme, ako aj za zabezpečenie toho, aby tieto roly sú aktualizované. Vzor nie je statický matrix, ktorý sa raz vybuduje a dá sa na ňom upokojiť. Ide o „živý organizmus“, ktorý sa musí neustále meniť, aktualizovať a rozvíjať podľa zmien v štruktúre organizácie a funkčnosti zamestnancov. V opačnom prípade buď nastanú problémy spojené s oneskorením poskytovania prístupu, alebo vzniknú riziká informačnej bezpečnosti spojené s nadmernými prístupovými právami, čo je ešte horšie.

Ako viete, „sedem pestún má dieťa bez oka“, takže spoločnosť musí vyvinúť metodiku, ktorá popisuje architektúru vzoru, interakciu a zodpovednosť konkrétnych účastníkov procesu za jeho udržiavanie v aktuálnom stave. Ak má spoločnosť veľa oblastí podnikateľskej činnosti, a teda veľa divízií a oddelení, potom pre každú oblasť (napríklad poskytovanie úverov, prevádzková práca, vzdialené služby, dodržiavanie predpisov a iné) ako súčasť procesu riadenia prístupu na základe rolí je potrebné vymenovať samostatných kurátorov. Prostredníctvom nich bude možné rýchlo získať informácie o zmenách v štruktúre oddelenia a prístupových právach potrebných pre jednotlivé roly.

Na vyriešenie konfliktných situácií medzi oddeleniami zúčastňujúcimi sa na procese je nevyhnutné získať podporu vedenia organizácie. A konflikty pri zavádzaní akéhokoľvek nového procesu sú nevyhnutné, verte našim skúsenostiam. Preto potrebujeme arbitra, ktorý vyrieši prípadné konflikty záujmov, aby sme nestrácali čas nedorozumeniami a sabotážami niekoho iného.

NB Dobrým miestom, kde začať zvyšovať povedomie, je vyškoliť svojich zamestnancov. Podrobná štúdia fungovania budúceho procesu a úlohy každého účastníka v ňom minimalizuje ťažkosti pri prechode na nové riešenie.

Kontrolný zoznam

Aby sme to zhrnuli, zhrnieme hlavné kroky, ktoré by mala organizácia plánujúca implementovať IdM podniknúť:

• vniesť poriadok do personálnych údajov;
• zadajte jedinečný identifikačný parameter pre každého zamestnanca;
• posúdiť pripravenosť informačných systémov na implementáciu IdM;
• rozvíjať rozhrania na interakciu s informačnými systémami na riadenie prístupu, ak chýbajú, a prideľovať zdroje na túto prácu;
• rozvíjať a budovať vzor;
• vybudovať modelový proces riadenia a zahrnúť doň kurátorov z každej obchodnej oblasti;
• vyberte niekoľko systémov pre počiatočné pripojenie k IdM;
• vytvoriť efektívny projektový tím;
• získať podporu od vedenia spoločnosti;
• vlakový personál.

Proces prípravy môže byť náročný, preto ak je to možné, zapojte konzultantov.

Implementácia IdM riešenia je náročný a zodpovedný krok a pre jeho úspešnú implementáciu je dôležité úsilie každej strany jednotlivo – zamestnancov obchodných oddelení, IT a služieb informačnej bezpečnosti, ako aj súhra celého tímu ako celku. Úsilie však stojí za to: po implementácii IdM v spoločnosti klesá počet incidentov súvisiacich s nadmernými právomocami a neoprávnenými právami v informačných systémoch; miznú prestoje zamestnancov z dôvodu nedostatku/dlhého čakania na potrebné práva; Vďaka automatizácii sa znižujú mzdové náklady a zvyšuje sa produktivita práce služieb IT a informačnej bezpečnosti.

Zdroj: hab.com