I tidigare artiklar har vi redan tittat på vad IdM är, hur man förstår om din organisation behöver ett sådant system, vilka problem det löser och hur man motiverar implementeringsbudgeten för ledningen. Idag kommer vi att prata om de viktiga stadier som organisationen själv måste gå igenom för att uppnå rätt mognadsnivå innan man implementerar ett IdM-system. IdM är trots allt designat för att automatisera processer, men det är omöjligt att automatisera kaos.
Tills ett företag växer till storleken på ett stort företag och samlar på sig många olika affärssystem, tänker det vanligtvis inte på åtkomstkontroll. Därför är processerna för att erhålla rättigheter och kontrollerande befogenheter inte strukturerade och svåra att analysera. Anställda fyller i ansökningar om tillträde som de vill, godkännandeprocessen är inte heller formaliserad, och ibland finns den helt enkelt inte. Det är omöjligt att snabbt ta reda på vilka åtkomster en anställd har, vem som godkänt dem och på vilken grund.
Med tanke på att processen för åtkomstautomatisering påverkar två huvudaspekter - personaldata och informationssystemdata, med vilka integrationen ska utföras, kommer vi att överväga de steg som är nödvändiga för att säkerställa att implementeringen av IdM går smidigt och inte orsakar avslag:
- Analys av personalprocesser och optimering av personaldatabasstöd i personalsystem.
- Analys av användar- och rättighetsdata, samt uppdatering av åtkomstkontrollmetoder i målsystem som planeras kopplas till IdM.
- Organisatoriska åtgärder och involvering av personal i förberedelseprocessen inför implementeringen av IdM.
Personaluppgifter
Det kan finnas en källa till personaldata i en organisation, eller det kan finnas flera. Till exempel kan en organisation ha ett ganska brett filialnät, och varje filial kan använda sin egen personalbas.
Först och främst är det nödvändigt att förstå vilka grundläggande uppgifter om anställda som lagras i personalregistersystemet, vilka händelser som registreras och utvärdera deras fullständighet och struktur.
Det händer ofta att inte alla personalhändelser noteras i personalkällan (och ännu oftare noteras de för sent och inte helt korrekt). Här är några typiska exempel:
- semester, deras kategorier och villkor (vanliga eller långa) är inte fasta;
- deltidsanställning registreras inte: till exempel, under lång föräldraledighet kan en anställd samtidigt arbeta deltid;
- den faktiska statusen för kandidaten eller anställd har redan ändrats (anställning / överföring / uppsägning), och ordern om denna händelse utfärdas med en fördröjning;
- en anställd förflyttas till en ny heltidstjänst genom uppsägning medan personalsystemet inte registrerar uppgifter om att det rör sig om en teknisk uppsägning.
Det är också värt att ägna särskild uppmärksamhet åt att bedöma kvaliteten på data, eftersom eventuella fel och felaktigheter som tas emot från en pålitlig källa, som är personalregistersystem, kan bli dyra i framtiden och orsaka många problem vid implementering av IdM. Personaltjänstemän anger till exempel ofta anställdas befattningar i personalsystemet i olika format: versaler och gemener, förkortningar, olika antal mellanslag och liknande. Som ett resultat kan samma position fixeras i personalsystemet i följande varianter:
- Högre chef
- högre chef
- högre chef
- Konst. chef…
Ofta måste du ta itu med skillnader i stavningen av det fullständiga namnet:
- Shmeleva Natalia Gennadievna,
- Shmeleva Natalia Gennadievna...
För ytterligare automatisering är ett sådant virrvarr oacceptabelt, särskilt om dessa attribut är ett nyckeltecken på identifiering, det vill säga data om medarbetaren och hans befogenheter i systemen jämförs exakt med fullständigt namn.
Dessutom bör man inte glömma den eventuella närvaron av namne och fullständiga namne i företaget. Om organisationen har tusen anställda kan det finnas få sådana tillfälligheter, och om det finns 50 tusen, kan detta bli ett kritiskt hinder för att IdM-systemet ska fungera korrekt.
Genom att sammanfatta allt ovan drar vi slutsatsen: formatet för att mata in data i organisationens personalbas bör standardiseras. Parametrarna för inmatning av fullständiga namn, befattningar och avdelningar måste vara tydligt definierade. Det bästa alternativet är när en personalarbetare inte anger data manuellt, utan väljer dem från en förskapad katalog över strukturen för avdelningar och befattningar med hjälp av "välj"-funktionen som finns tillgänglig i personaldatabasen.
För att undvika ytterligare fel i synkroniseringen och inte behöva manuellt korrigera avvikelser i rapporter, det mest föredragna sättet att identifiera anställda är att ange ett ID för varje anställd i organisationen. En sådan identifierare kommer att tilldelas varje ny anställd och kommer att visas både i personalsystemet och i organisationens informationssystem som ett obligatoriskt attribut för kontot. Det spelar ingen roll om den består av siffror eller bokstäver, huvudsaken är att den är unik för varje anställd (till exempel använder många en anställds personalnummer). I framtiden kommer införandet av detta attribut att avsevärt underlätta länkningen av personaldata i personalkällan med hans konton och myndigheter i informationssystem.
Så alla steg och mekanismer i personalregister måste analyseras och ställas i ordning. Det är möjligt att vissa processer måste ändras eller förbättras. Detta är tråkigt och mödosamt arbete, men det är nödvändigt, annars kommer bristen på tydliga och strukturerade uppgifter om personalhändelser att leda till fel i deras automatiska bearbetning. I värsta fall kan ostrukturerade processer inte automatiseras alls.
Målsystem
I nästa steg måste vi ta reda på hur många informationssystem vi vill integrera i IdM-strukturen, vilken data om användare och deras rättigheter som lagras i dessa system och hur de ska hanteras.
I många organisationer finns det en åsikt att vi kommer att installera IdM, konfigurera kontakterna till målsystemen, och med en våg av en trollstav kommer allt att fungera, utan ytterligare ansträngningar från vår sida. Så, tyvärr, det händer inte. I företag utvecklas och växer informationssystemlandskapet gradvis. I vart och ett av systemen kan olika tillvägagångssätt för att bevilja åtkomsträttigheter organiseras, det vill säga olika åtkomstkontrollgränssnitt konfigureras. Någonstans sker hanteringen via API:t (applikationsprogrammeringsgränssnitt), någonstans genom databasen med hjälp av lagrade procedurer, någonstans kanske det inte finns några interaktionsgränssnitt alls. Du bör vara beredd på att du kommer att behöva revidera många befintliga processer för att hantera konton och rättigheter i organisationens system: ändra dataformatet, slutföra interaktionsgränssnitt i förväg och allokera resurser för dessa arbeten.
förebild
Du kommer förmodligen att stöta på konceptet med en förebild när du väljer en IdM-lösningsleverantör, eftersom detta är ett av nyckelbegreppen inom området för hantering av åtkomsträttigheter. I denna modell ges dataåtkomst genom en roll. En roll är en uppsättning åtkomster som är minimalt nödvändiga för att en anställd i en viss position ska kunna utföra sina funktionella uppgifter.
Rollbaserad åtkomstkontroll har ett antal obestridliga fördelar:
- det är enkelt och effektivt att tilldela samma rättigheter till ett stort antal anställda;
- snabb ändring av åtkomst för anställda med samma uppsättning rättigheter;
- eliminera redundans av rättigheter och avgränsa inkompatibla befogenheter för användare.
Rollmatrisen byggs först separat i vart och ett av organisationens system och skalas sedan till hela IT-landskapet, där globala affärsroller formas utifrån varje systems roller. Till exempel kommer affärsrollen "Revisor" att inkludera flera separata roller för vart och ett av de informationssystem som används i företagets redovisningsavdelning.
På senare tid har det ansetts vara "bästa praxis" att skapa en förebild även vid utvecklingsstadiet av applikationer, databaser och operativsystem. Samtidigt finns det ofta situationer när roller inte är konfigurerade i systemet eller de helt enkelt inte existerar. I det här fallet måste administratören av detta system ange kontoinformation i flera olika filer, bibliotek och kataloger som ger nödvändiga behörigheter. Användningen av fördefinierade roller gör att du kan bevilja privilegier för att utföra en hel rad operationer i ett system med komplexa sammansatta data.
Roller i informationssystemet är som regel fördelade på befattningar och avdelningar enligt bemanningsstrukturen men kan även skapas för vissa affärsprocesser. Till exempel, i en finansiell institution, har flera anställda vid bosättningsavdelningen samma position - operatören. Men inom avdelningen finns också en uppdelning i separata processer, efter olika typer av verksamhet (extern eller intern, i olika valutor, med olika segment av organisationen). För att ge vart och ett av affärsområdena på en avdelning tillgång till informationssystemet i enlighet med de specifikationer som krävs, är det nödvändigt att inkludera rättigheter i separata funktionella roller. Detta ger en minsta tillräcklig uppsättning behörigheter, inte inklusive redundanta rättigheter, för vart och ett av verksamhetsområdena.
För stora system med hundratals roller, tusentals användare och miljontals behörigheter är det också bra att använda en hierarki av roller och privilegiearv. Till exempel kommer den överordnade rollen Administratör att ärva privilegierna för de underordnade rollerna: Användare och Läsare, eftersom administratören kan göra allt som användaren och läsaren kan göra, plus att den kommer att ha ytterligare administrativa rättigheter. Med hjälp av hierarkin finns det inget behov av att omspecificera samma rättigheter i flera roller i samma modul eller system.
I det första skedet kan du skapa roller i de system där det möjliga antalet kombinationer av rättigheter inte är särskilt stort och som ett resultat av det är det lätt att hantera ett litet antal roller. Det kan vara typiska rättigheter som krävs av alla företagsanställda till offentliga system som Active Directory (AD), postsystem, Service Manager och liknande. Sedan kan de skapade rollmatriserna för informationssystem inkluderas i den övergripande förebilden och kombinera dem till affärsroller.
Genom att använda detta tillvägagångssätt, i framtiden, när du implementerar ett IdM-system, kommer det att vara enkelt att automatisera hela processen för att bevilja åtkomsträttigheter baserat på de skapade rollerna i det första steget.
NB Man ska inte försöka att omedelbart inkludera så många system som möjligt i integrationen. System med en mer komplex arkitektur och struktur för hantering av åtkomsträttigheter kopplas bäst till IdM i ett halvautomatiskt läge i det första steget. Det vill säga, baserat på personalhändelser, implementera endast automatisk generering av en åtkomstbegäran, som kommer att skickas till administratören för exekvering, och han kommer att ställa in rättigheterna manuellt.
Efter att ha klarat det första steget är det möjligt att utöka systemets funktionalitet till nya avancerade affärsprocesser, för att implementera full automatisering och skalning med anslutning av ytterligare informationssystem.
Med andra ord, för att förbereda inför implementeringen av IdM är det nödvändigt att bedöma informationssystemens beredskap för en ny process och att i förväg förfina de externa gränssnitten för hantering av användarkonton och rättigheter, om sådana gränssnitt inte är tillgängliga i systemet. Det är också nödvändigt att utarbeta frågan om stegvis skapande av roller i informationssystem för integrerad åtkomstkontroll.
Organisatoriska evenemang
Organisatoriska frågor bör inte uteslutas. I vissa fall kan de spela en avgörande roll, eftersom resultatet av hela projektet ofta beror på ett effektivt samspel mellan avdelningarna. För att göra detta rekommenderar vi vanligtvis att skapa ett team av processdeltagare i organisationen, som kommer att omfatta alla inblandade avdelningar. Eftersom detta är en extra börda för människor, försök att i förväg förklara för alla deltagare i den framtida processen deras roll och betydelse i interaktionsstrukturen. Om du "säljer" idén med IdM till kollegor i detta skede kan du undvika många svårigheter i framtiden.
Ofta är informationssäkerhets- eller IT-avdelningarna "ägare" till IdM-implementeringsprojektet i ett företag, och affärsavdelningarnas åsikter beaktas inte. Detta är ett stort misstag, eftersom bara de vet hur och i vilka affärsprocesser varje resurs används, vem som ska ges tillgång till den och vem som inte ska. Därför är det i förberedelsestadiet viktigt att markera att det är företagaren som ansvarar för den funktionella modellen utifrån vilka uppsättningar av användarrättigheter (roller) i informationssystemet som utvecklas, samt för att säkerställa att dessa roller hålls uppdaterade. En förebild är inte en statisk matris som byggs en gång och man kan lugna ner sig på den. Detta är en ”levande organism” som ständigt måste förändras, uppdateras och utvecklas, efter förändringar i organisationens struktur och funktionalitet hos medarbetarna. Annars uppstår antingen problem i samband med förseningar i tillhandahållandet av åtkomst, eller så uppstår risker för informationssäkerhet i samband med överdrivna åtkomsträttigheter, vilket är ännu värre.
Som ni vet, "sju barnskötare har ett barn utan öga", så företaget bör utveckla en metodik som beskriver förebildens arkitektur, samspelet och ansvaret hos specifika deltagare i processen för att hålla den uppdaterad. Om ett företag har många affärsområden och följaktligen många divisioner och avdelningar, så för varje område (till exempel utlåning, drift, distanstjänster, efterlevnad och andra), som en del av den rollbaserade åtkomstkontrollprocessen, det är nödvändigt att utse separata kuratorer. Genom dem blir det möjligt att snabbt få information om förändringar i enhetens struktur och vilka behörigheter som krävs för respektive roll.
Det är absolut nödvändigt att ta hjälp av organisationens ledning för att lösa konfliktsituationer mellan avdelningar – deltagare i processen. Och konflikter i genomförandet av en ny process är oundvikliga, tror vår erfarenhet. Därför behövs en skiljeman som ska lösa eventuella intressekonflikter för att inte slösa tid på grund av någons missförstånd och sabotage.
NB Personalutbildning är en bra start för att öka medvetenheten. En detaljerad studie av hur den framtida processen fungerar, varje deltagares roll i den kommer att minimera svårigheterna med att byta till en ny lösning.
Checklista
För att sammanfatta, sammanfattar vi de viktigaste stegen som en organisation som planerar att implementera IdM bör ta:
- ställa saker i ordning i personaldata;
- ange en unik identifieringsparameter för varje anställd;
- bedöma hur redo informationssystemen är för implementering av IdM;
- utveckla gränssnitt för interaktion med informationssystem för åtkomstkontroll, om de inte är tillgängliga, och tilldela resurser för dessa arbeten;
- utveckla och bygga en förebild;
- bygga upp en process för rollmodellhantering och inkludera kuratorer från varje affärsområde;
- välj flera system för initial anslutning till IdM;
- skapa ett effektivt projektteam;
- ta hjälp av företagets ledning;
- tågpersonal.
Förberedelseprocessen kan vara svår, så involvera om möjligt konsulter.
Att implementera en IdM-lösning är ett svårt och ansvarsfullt steg, och för en framgångsrik implementering är både insatserna från varje part individuellt – anställda på affärsavdelningar, IT- och informationssäkerhetstjänster, och samspelet mellan hela teamet som helhet viktiga. Men ansträngningarna är värda det: efter implementering av IdM i ett företag minskar antalet incidenter relaterade till överdrivna befogenheter och obehöriga rättigheter i informationssystem; anställdas stillestånd på grund av brist/lång väntan på nödvändiga rättigheter försvinner; På grund av automatisering minskar arbetskostnaderna och arbetsproduktiviteten för IT- och informationssäkerhetstjänster ökar.
Källa: will.com