ProHoster > Blog > administratë > Zbatimi i IdM. Përgatitja për zbatim nga klienti

Zbatimi i IdM. Përgatitja për zbatim nga klienti

Në artikujt e mëparshëm, ne kemi parë tashmë se çfarë është IdM, si të kuptojmë nëse organizata juaj ka nevojë për një sistem të tillë, çfarë problemesh zgjidh dhe si t'i justifikoni menaxhmentit buxhetin e zbatimit. Sot do të flasim për fazat e rëndësishme që duhet të kalojë vetë organizata për të arritur nivelin e duhur të pjekurisë përpara se të zbatojë një sistem IdM. Në fund të fundit, IdM është krijuar për të automatizuar proceset, por është e pamundur të automatizosh kaosin.

Zbatimi i IdM. Përgatitja për zbatim nga klienti

Derisa një kompani të rritet në madhësinë e një ndërmarrje të madhe dhe të ketë grumbulluar shumë sisteme të ndryshme biznesi, zakonisht nuk mendon për kontrollin e aksesit. Prandaj, proceset e marrjes së të drejtave dhe kompetencave kontrolluese në të nuk janë të strukturuara dhe janë të vështira për t'u analizuar. Punonjësit plotësojnë aplikacionet për akses sipas dëshirës; procesi i miratimit gjithashtu nuk është i zyrtarizuar dhe ndonjëherë thjesht nuk ekziston. Është e pamundur të kuptosh shpejt se çfarë aksesi ka një punonjës, kush e miratoi atë dhe mbi çfarë baze.

Zbatimi i IdM. Përgatitja për zbatim nga klienti
Duke marrë parasysh se procesi i automatizimit të aksesit prek dy aspekte kryesore - të dhënat e personelit dhe të dhënat nga sistemet e informacionit me të cilat do të kryhet integrimi, ne do të shqyrtojmë hapat e nevojshëm për të siguruar që zbatimi i IdM të shkojë pa probleme dhe të mos shkaktojë refuzim:

  1. Analiza e proceseve të personelit dhe optimizimi i mbështetjes së bazës së të dhënave të punonjësve në sistemet e personelit.
  2. Analiza e të dhënave të përdoruesve dhe të drejtave, si dhe përditësimi i metodave të kontrollit të aksesit në sistemet e synuara që janë planifikuar të lidhen me IdM.
  3. Aktivitetet organizative dhe përfshirja e personelit në procesin e përgatitjes për zbatimin e IdM.

Të dhënat e personelit

Mund të ketë një burim të të dhënave të personelit në një organizatë, ose mund të ketë disa. Për shembull, një organizatë mund të ketë një rrjet mjaft të gjerë degësh dhe secila degë mund të përdorë bazën e vet të personelit.

Para së gjithash, është e nevojshme të kuptohet se cilat të dhëna themelore për punonjësit ruhen në sistemin e të dhënave të personelit, cilat ngjarje regjistrohen dhe të vlerësohet plotësia dhe struktura e tyre.

Shpesh ndodh që jo të gjitha ngjarjet e personelit të shënohen në burimin e personelit (dhe aq më shpesh ato shënohen para kohe dhe jo plotësisht saktë). Këtu janë disa shembuj tipikë:

  • Gjethet, kategoritë dhe afatet e tyre (të rregullta ose afatgjata) nuk regjistrohen;
  • Punësimi me kohë të pjesshme nuk regjistrohet: për shembull, gjatë pushimit afatgjatë për t'u kujdesur për një fëmijë, një punonjës mund të punojë njëkohësisht me kohë të pjesshme;
  • statusi aktual i kandidatit ose punonjësit tashmë ka ndryshuar (pritje/transferim/ shkarkim) dhe urdhri për këtë ngjarje jepet me vonesë;
  • një punonjës transferohet në një pozicion të ri të rregullt përmes largimit nga puna, ndërsa sistemi i personelit nuk regjistron informacione se bëhet fjalë për një largim teknik.

Vlen gjithashtu t'i kushtohet vëmendje e veçantë vlerësimit të cilësisë së të dhënave, pasi çdo gabim dhe pasaktësi e marrë nga një burim i besueshëm, që janë sistemet e burimeve njerëzore, mund të kushtojë në të ardhmen dhe të shkaktojë shumë probleme gjatë zbatimit të IdM. Për shembull, punonjësit e burimeve njerëzore shpesh vendosin pozicionet e punonjësve në sistemin e personelit në formate të ndryshme: shkronja të mëdha dhe të vogla, shkurtesa, numra të ndryshëm hapësirash dhe të ngjashme. Si rezultat, i njëjti pozicion mund të regjistrohet në sistemin e personelit në variacionet e mëposhtme:

  • Menaxher i lartë
  • menaxher i lartë
  • menaxher i lartë
  • Art. menaxher…

Shpesh ju duhet të merreni me ndryshimet në drejtshkrimin e emrit tuaj:

  • Shmeleva Natalya Gennadievna,
  • Shmeleva Natalia Gennadievna...

Për automatizimin e mëtejshëm, një ngatërresë e tillë është e papranueshme, veçanërisht nëse këto atribute janë një shenjë kyçe e identifikimit, domethënë, të dhënat për punonjësin dhe fuqitë e tij në sisteme krahasohen saktësisht me emrin e plotë.

Zbatimi i IdM. Përgatitja për zbatim nga klienti
Për më tepër, nuk duhet të harrojmë praninë e mundshme të emrave dhe emrave të plotë në kompani. Nëse një organizatë ka një mijë punonjës, mund të ketë pak ndeshje të tilla, por nëse ka 50 mijë, atëherë kjo mund të bëhet një pengesë kritike për funksionimin korrekt të sistemit IdM.

Duke përmbledhur të gjitha sa më sipër, arrijmë në përfundimin: formati për futjen e të dhënave në bazën e të dhënave të personelit të organizatës duhet të jetë i standardizuar. Parametrat për futjen e emrave, pozicioneve dhe departamenteve duhet të përcaktohen qartë. Opsioni më i mirë është kur një punonjës i burimeve njerëzore nuk fut të dhëna manualisht, por i zgjedh ato nga një drejtori i krijuar paraprakisht i strukturës së departamenteve dhe pozicioneve duke përdorur funksionin "përzgjedh" të disponueshëm në bazën e të dhënave të personelit.

Për të shmangur gabime të mëtejshme në sinkronizim dhe për të mos korrigjuar manualisht mospërputhjet në raporte, mënyra më e preferuar për të identifikuar punonjësit është futja e një ID për çdo punonjës të organizatës. Një identifikues i tillë do t'i caktohet çdo punonjësi të ri dhe do të shfaqet si në sistemin e personelit ashtu edhe në sistemet e informacionit të organizatës si një atribut i detyrueshëm i llogarisë. Nuk ka rëndësi nëse përbëhet nga numra apo shkronja, gjëja kryesore është se është unik për secilin punonjës (për shembull, shumë njerëz përdorin numrin e personelit të punonjësit). Në të ardhmen, futja e këtij atributi do të lehtësojë shumë lidhjen e të dhënave të punonjësve në burimin e personelit me llogaritë dhe autoritetet e tij në sistemet e informacionit.

Pra, të gjithë hapat dhe mekanizmat e të dhënave të personelit do të duhet të analizohen dhe të vendosen në rregull. Është mjaft e mundur që disa procese do të duhet të ndryshohen ose modifikohen. Kjo është punë e lodhshme dhe e mundimshme, por është e nevojshme, përndryshe mungesa e të dhënave të qarta dhe të strukturuara për ngjarjet e personelit do të çojë në gabime në përpunimin automatik të tyre. Në rastin më të keq, proceset e pastrukturuara do të jetë e pamundur të automatizohen fare.

Sistemet e synuara

Në fazën tjetër, ne duhet të kuptojmë se sa sisteme informacioni duam të integrojmë në strukturën IdM, cilat të dhëna për përdoruesit dhe të drejtat e tyre ruhen në këto sisteme dhe si t'i menaxhojmë ato.

Në shumë organizata, ekziston një mendim se ne do të instalojmë IdM, do të konfigurojmë lidhësit në sistemet e synuara dhe me një valë të një shkop magjik gjithçka do të funksionojë, pa përpjekje shtesë nga ana jonë. Kjo, mjerisht, nuk ndodh. Në kompani, peizazhi i sistemeve të informacionit po zhvillohet dhe rritet gradualisht. Çdo sistem mund të ketë një qasje të ndryshme për dhënien e të drejtave të aksesit, domethënë mund të konfigurohen ndërfaqe të ndryshme të kontrollit të aksesit. Diku kontrolli ndodh përmes një API (ndërfaqe programimi aplikacioni), diku përmes një baze të dhënash duke përdorur procedura të ruajtura, diku mund të mos ketë fare ndërfaqe ndërveprimi. Ju duhet të jeni të përgatitur për faktin se do t'ju duhet të rishqyrtoni shumë procese ekzistuese për menaxhimin e llogarive dhe të drejtave në sistemet e organizatës: ndryshoni formatin e të dhënave, përmirësoni paraprakisht ndërfaqet e ndërveprimit dhe ndani burime për këtë punë.

Model roli

Me siguri do të hasni konceptin e një modeli në fazën e zgjedhjes së një ofruesi të zgjidhjeve IdM, pasi ky është një nga konceptet kryesore në fushën e menaxhimit të të drejtave të aksesit. Në këtë model, qasja në të dhëna sigurohet përmes një roli. Një rol është një grup aksesesh që janë minimalisht të nevojshme për një punonjës në një pozicion të caktuar për të kryer përgjegjësitë e tij funksionale.

Kontrolli i aksesit i bazuar në role ka një numër avantazhesh të pamohueshme:

  • është e thjeshtë dhe efektive t'i caktohen të njëjtat të drejta një numri të madh punonjësish;
  • ndryshimi i menjëhershëm i aksesit të punonjësve me të njëjtat të drejta;
  • eliminimi i tepricës së të drejtave dhe kufizimi i fuqive të papajtueshme për përdoruesit.

Matrica e roleve fillimisht ndërtohet veçmas në secilin prej sistemeve të organizatës, dhe më pas shkallëzohet në të gjithë peizazhin e IT, ku rolet globale të biznesit formohen nga rolet e secilit sistem. Për shembull, roli i biznesit "Kontabilist" do të përfshijë disa role të veçanta për secilin prej sistemeve të informacionit të përdorur në departamentin e kontabilitetit të ndërmarrjes.

Kohët e fundit, është konsideruar si "praktika më e mirë" krijimi i një modeli roli edhe në fazën e zhvillimit të aplikacioneve, bazave të të dhënave dhe sistemeve operative. Në të njëjtën kohë, shpesh ka situata kur rolet nuk janë të konfiguruara në sistem ose ato thjesht nuk ekzistojnë. Në këtë rast, administratori i këtij sistemi duhet të fusë informacionin e llogarisë në disa skedarë, biblioteka dhe direktori të ndryshme që ofrojnë lejet e nevojshme. Përdorimi i roleve të paracaktuara ju lejon të jepni privilegje për të kryer një gamë të tërë operacionesh në një sistem me të dhëna komplekse të përbëra.

Rolet në një sistem informacioni, si rregull, shpërndahen për pozicione dhe departamente sipas strukturës së personelit, por mund të krijohen edhe për procese të caktuara biznesi. Për shembull, në një organizatë financiare, disa punonjës të departamentit të shlyerjes zënë të njëjtin pozicion - operator. Por brenda departamentit ka edhe një shpërndarje në procese të veçanta, sipas llojeve të ndryshme të operacioneve (të jashtme ose të brendshme, në monedha të ndryshme, me segmente të ndryshme të organizatës). Për t'i siguruar secilës prej fushave të biznesit të një departamenti akses në sistemin e informacionit sipas specifikave të kërkuara, është e nevojshme të përfshihen të drejtat në role individuale funksionale. Kjo do të bëjë të mundur sigurimin e një grupi minimal të mjaftueshëm kompetencash, i cili nuk përfshin të drejta të tepërta, për secilën nga fushat e veprimtarisë.

Për më tepër, për sisteme të mëdha me qindra role, mijëra përdorues dhe miliona leje, është praktikë e mirë të përdoret një hierarki rolesh dhe trashëgimie privilegjesh. Për shembull, roli prind Administrator do të trashëgojë privilegjet e roleve të fëmijëve: Përdorues dhe lexues, pasi Administratori mund të bëjë gjithçka që mund të bëjë Përdoruesi dhe Lexuesi, plus do të ketë të drejta administrative shtesë. Duke përdorur hierarkinë, nuk ka nevojë të rispecifikohen të njëjtat të drejta në role të shumta të të njëjtit modul ose sistem.

Në fazën e parë, ju mund të krijoni role në ato sisteme ku numri i mundshëm i kombinimeve të të drejtave nuk është shumë i madh dhe, si rezultat, është e lehtë të menaxhoni një numër të vogël rolesh. Këto mund të jenë të drejta tipike të kërkuara nga të gjithë punonjësit e kompanisë për sisteme të aksesueshme publikisht si Active Directory (AD), sistemet e postës, Menaxheri i Shërbimit dhe të ngjashme. Më pas, matricat e roleve të krijuara për sistemet e informacionit mund të përfshihen në modelin e përgjithshëm të roleve, duke i kombinuar ato në role biznesi.

Duke përdorur këtë qasje, në të ardhmen, kur zbatohet një sistem IdM, do të jetë e lehtë të automatizohet i gjithë procesi i dhënies së të drejtave të aksesit bazuar në rolet e krijuara në fazën e parë.

NB Ju nuk duhet të përpiqeni të përfshini menjëherë sa më shumë sisteme të jetë e mundur në integrim. Është më mirë të lidheni sisteme me një arkitekturë më komplekse dhe strukturë të menaxhimit të të drejtave të aksesit me IdM në një mënyrë gjysmë automatike në fazën e parë. Kjo do të thotë, për të zbatuar, bazuar në ngjarjet e personelit, vetëm gjenerimin automatik të një kërkese aksesi, e cila do t'i dërgohet administratorit për ekzekutim, dhe ai do të konfigurojë të drejtat manualisht.

Pas përfundimit me sukses të fazës së parë, ju mund të zgjeroni funksionalitetin e sistemit në procese të reja biznesi të zgjeruara, të zbatoni automatizimin dhe shkallëzimin e plotë me lidhjen e sistemeve shtesë të informacionit.

Zbatimi i IdM. Përgatitja për zbatim nga klienti
Me fjalë të tjera, për t'u përgatitur për zbatimin e IdM, është e nevojshme të vlerësohet gatishmëria e sistemeve të informacionit për procesin e ri dhe të finalizohen paraprakisht ndërfaqet e ndërveprimit të jashtëm për menaxhimin e llogarive të përdoruesve dhe të drejtave të përdoruesve, nëse ndërfaqe të tilla nuk janë. në dispozicion në sistem. Çështja e krijimit hap pas hapi të roleve në sistemet e informacionit për kontroll gjithëpërfshirës të aksesit duhet gjithashtu të hulumtohet.

Ngjarjet organizative

Mos i lini as çështjet organizative. Në disa raste, ato mund të luajnë një rol vendimtar, sepse rezultati i të gjithë projektit shpesh varet nga ndërveprimi efektiv midis departamenteve. Për ta bërë këtë, ne zakonisht këshillojmë krijimin e një ekipi pjesëmarrësish të procesit në organizatë, i cili do të përfshijë të gjitha departamentet e përfshira. Meqenëse kjo është një barrë shtesë për njerëzit, përpiquni t'u shpjegoni paraprakisht të gjithë pjesëmarrësve në procesin e ardhshëm rolin dhe rëndësinë e tyre në strukturën e ndërveprimit. Nëse në këtë fazë ju “shisni” idenë e IdM kolegëve tuaj, mund të shmangni shumë vështirësi në të ardhmen.

Zbatimi i IdM. Përgatitja për zbatim nga klienti
Shpesh, departamentet e sigurisë së informacionit ose IT janë "pronarët" e projektit të zbatimit të IdM në një kompani, dhe mendimet e departamenteve të biznesit nuk merren parasysh. Ky është një gabim i madh, sepse vetëm ata e dinë se si dhe në çfarë procesesh biznesi përdoret çdo burim, kujt duhet t'i jepet akses dhe kujt jo. Prandaj, në fazën e përgatitjes, është e rëndësishme të tregohet se është pronari i biznesit ai që është përgjegjës për modelin funksional mbi bazën e të cilit zhvillohen grupe të të drejtave (roleve) të përdoruesit në sistemin e informacionit, si dhe për të siguruar që këto role mbahen të përditësuara. Një model nuk është një matricë statike që ndërtohet një herë dhe mund të qetësoheni mbi të. Ky është një “organizëm i gjallë” që duhet të ndryshojë, përditësohet dhe zhvillohet vazhdimisht, pas ndryshimeve në strukturën e organizatës dhe funksionalitetin e punonjësve. Përndryshe, ose do të lindin probleme që lidhen me vonesat në ofrimin e aksesit, ose do të lindin rreziqe të sigurisë së informacionit të lidhura me të drejtat e tepërta të aksesit, gjë që është edhe më keq.

Siç e dini, "shtatë dado kanë një fëmijë pa sy", kështu që kompania duhet të zhvillojë një metodologji që përshkruan arkitekturën e modelit, ndërveprimin dhe përgjegjësinë e pjesëmarrësve specifikë në proces për ta mbajtur atë të përditësuar. Nëse një kompani ka shumë fusha të veprimtarisë së biznesit dhe, në përputhje me rrethanat, shumë divizione dhe departamente, atëherë për secilën fushë (për shembull, huadhënie, punë operacionale, shërbime në distancë, pajtueshmëri dhe të tjera) si pjesë e procesit të menaxhimit të aksesit të bazuar në role, ajo është e nevojshme të caktohen kuratorë të veçantë. Nëpërmjet tyre do të mundësohet marrja e shpejtë e informacionit për ndryshimet në strukturën e departamentit dhe të drejtat e aksesit që kërkohen për secilin rol.

Është e domosdoshme të kërkohet mbështetja e menaxhmentit të organizatës për të zgjidhur situatat e konfliktit midis departamenteve që marrin pjesë në proces. Dhe konfliktet kur futet ndonjë proces i ri janë të pashmangshme, besoni përvojën tonë. Prandaj, ne kemi nevojë për një arbitër që do të zgjidhë konfliktet e mundshme të interesit, në mënyrë që të mos humbasim kohë për shkak të keqkuptimeve dhe sabotimeve të dikujt tjetër.

Zbatimi i IdM. Përgatitja për zbatim nga klienti
NB Një vend i mirë për të filluar për të rritur ndërgjegjësimin është të trajnoni stafin tuaj. Një studim i hollësishëm i funksionimit të procesit të ardhshëm dhe i rolit të secilit pjesëmarrës në të do të minimizojë vështirësitë e kalimit në një zgjidhje të re.

Lista e kontrollit

Për ta përmbledhur, ne përmbledhim hapat kryesorë që duhet të ndërmarrë një organizatë që planifikon të zbatojë IdM:

  • vendos në rregull të dhënat e personelit;
  • vendosni një parametër unik identifikimi për çdo punonjës;
  • të vlerësojë gatishmërinë e sistemeve të informacionit për zbatimin e IdM;
  • të zhvillojë ndërfaqe për ndërveprim me sistemet e informacionit për kontrollin e aksesit, nëse ato mungojnë, dhe të ndajë burime për këtë punë;
  • zhvillojnë dhe ndërtojnë një model roli;
  • të ndërtojë një proces menaxhimi model dhe të përfshijë kuratorë nga çdo fushë biznesi në të;
  • zgjidhni disa sisteme për lidhjen fillestare me IdM;
  • krijoni një ekip efektiv të projektit;
  • fitoni mbështetje nga menaxhmenti i kompanisë;
  • trajnoni stafin.

Procesi i përgatitjes mund të jetë i vështirë, kështu që nëse është e mundur, përfshini konsulentë.

Zbatimi i një zgjidhjeje IdM është një hap i vështirë dhe i përgjegjshëm dhe për zbatimin e suksesshëm të tij, janë të rëndësishme si përpjekjet e secilës palë individualisht - punonjësit e departamenteve të biznesit, IT dhe shërbimet e sigurisë së informacionit, si dhe ndërveprimi i të gjithë ekipit në tërësi. Por përpjekjet ia vlejnë: pas zbatimit të IdM në një kompani, numri i incidenteve që lidhen me fuqitë e tepërta dhe të drejtat e paautorizuara në sistemet e informacionit zvogëlohet; zhduket puna e punonjësve për shkak të mungesës/pritjes së gjatë për të drejtat e nevojshme; Për shkak të automatizimit, kostot e punës reduktohen dhe produktiviteti i punës i shërbimeve të TI-së dhe sigurisë së informacionit është rritur.

Burimi: www.habr.com

Shto një koment