ProHoster > Blog > yönetim > IdM'nin uygulanması. Müşteri tarafından uygulamaya hazırlanma

IdM'nin uygulanması. Müşteri tarafından uygulamaya hazırlanma

Önceki makalelerimizde IdM'nin ne olduğunu, kuruluşunuzun böyle bir sisteme ihtiyacı olup olmadığını nasıl anlayacağınızı, hangi sorunları çözeceğini ve uygulama bütçesini yönetime nasıl gerekçelendireceğinizi zaten incelemiştik. Bugün, bir IdM sistemini uygulamaya koymadan önce kuruluşun uygun olgunluk düzeyine ulaşması için geçmesi gereken önemli aşamalardan bahsedeceğiz. Sonuçta IdM süreçleri otomatikleştirmek için tasarlandı, ancak kaosu otomatikleştirmek imkansızdır.

IdM'nin uygulanması. Müşteri tarafından uygulamaya hazırlanma

Bir şirket büyük bir işletme büyüklüğüne ulaşana ve birçok farklı iş sistemini biriktirene kadar genellikle erişim kontrolü hakkında düşünmez. Bu nedenle hak edinme ve yetkileri kontrol etme süreçleri yapılandırılmış değildir ve analiz edilmesi zordur. Çalışanlar erişim başvurularını istedikleri gibi dolduruyor; onay süreci de resmileştirilmemiş ve bazen mevcut değil. Bir çalışanın hangi erişime sahip olduğunu, bunu kimin onayladığını ve hangi temelde olduğunu hızlı bir şekilde anlamak imkansızdır.

IdM'nin uygulanması. Müşteri tarafından uygulamaya hazırlanma
Erişimi otomatikleştirme sürecinin iki ana hususu (personel verileri ve entegrasyonun gerçekleştirileceği bilgi sistemlerinden gelen veriler) etkilediğini göz önünde bulundurarak, IdM uygulamasının sorunsuz ilerlemesini ve reddedilmeye neden olmamasını sağlamak için gerekli adımları göz önünde bulunduracağız:

  1. Personel süreçlerinin analizi ve personel sistemlerinde çalışan veri tabanı desteğinin optimizasyonu.
  2. Kullanıcı ve hak verilerinin analizi ve IdM'ye bağlanması planlanan hedef sistemlerdeki erişim kontrol yöntemlerinin güncellenmesi.
  3. IdM'nin uygulanmasına hazırlık sürecine organizasyonel faaliyetler ve personel katılımı.

Personel verileri

Bir kuruluşta personel verilerinin tek bir kaynağı olabileceği gibi birden fazla da olabilir. Örneğin bir kuruluşun oldukça geniş bir şube ağı olabilir ve her şube kendi personel tabanını kullanabilir.

Öncelikle personel kayıt sisteminde çalışanlara ait hangi temel verilerin saklandığını, hangi olayların kaydedildiğini anlamak, bunların eksiksizliğini ve yapısını değerlendirmek gerekir.

Çoğu zaman, tüm personel olaylarının personel kaynağında not edilmediği görülür (ve daha da sıklıkla, zamansız ve tamamen doğru olmayan bir şekilde not edilirler). İşte bazı tipik örnekler:

  • İzinler, kategorileri ve süreleri (düzenli veya uzun vadeli) kaydedilmez;
  • Yarı zamanlı çalışma kaydedilmez: örneğin, bir çalışan bir çocuğa bakmak için uzun süreli izin alırken aynı zamanda yarı zamanlı da çalışabilir;
  • adayın veya çalışanın fiili statüsünün zaten değişmiş olması (kabul/transfer/işten çıkarılma) ve bu olayla ilgili talimatın gecikmeli olarak verilmesi;
  • Bir çalışan işten çıkarılma yoluyla yeni bir normal pozisyona aktarılırken, personel sistemi bunun teknik bir işten çıkarma olduğuna dair bilgiyi kaydetmez.

Güvenilir bir kaynaktan yani İK sistemlerinden elde edilen herhangi bir hata ve yanlışlık, gelecekte maliyetli olabileceğinden ve IdM uygulanırken birçok soruna neden olabileceğinden, veri kalitesinin değerlendirilmesine de özellikle dikkat etmek önemlidir. Örneğin, İK çalışanları genellikle çalışan pozisyonlarını personel sistemine farklı formatlarda girer: büyük ve küçük harfler, kısaltmalar, farklı sayıda boşluk vb. Sonuç olarak aynı pozisyon personel sistemine aşağıdaki varyasyonlarla kaydedilebilir:

  • Üst düzey yönetici
  • Kıdemli Yönetici
  • Kıdemli Yönetici
  • Sanat. müdür…

Çoğu zaman adınızın yazılışındaki farklılıklarla uğraşmak zorunda kalırsınız:

  • Shmeleva Natalya Gennadievna,
  • Shmeleva Natalia Gennadievna...

Daha fazla otomasyon için, böyle bir karmakarışıklık kabul edilemez, özellikle de bu nitelikler tanımlamanın önemli bir işareti ise, yani çalışan ve onun sistemlerdeki yetkileri hakkındaki veriler tam olarak tam adla karşılaştırılıyorsa.

IdM'nin uygulanması. Müşteri tarafından uygulamaya hazırlanma
Ayrıca şirkette adaşların ve tam adaşların olası varlığını da unutmamalıyız. Bir kuruluşun bin çalışanı varsa bu tür eşleşmeler az olabilir, ancak 50 bin varsa bu durum IdM sisteminin doğru işleyişinin önünde kritik bir engel haline gelebilir.

Yukarıdakilerin hepsini özetleyerek şu sonuca varıyoruz: Kuruluşun personel veri tabanına veri girme formatının standartlaştırılması gerekir. İsimlerin, pozisyonların ve departmanların girilmesine ilişkin parametreler açıkça tanımlanmalıdır. En iyi seçenek, bir İK çalışanının verileri manuel olarak girmemesi, ancak personel veri tabanında bulunan "seçme" işlevini kullanarak departmanların ve pozisyonların yapısının önceden oluşturulmuş dizininden seçmesidir.

Senkronizasyonda daha fazla hata oluşmasını önlemek ve raporlardaki tutarsızlıkları manuel olarak düzeltmek zorunda kalmamak için, Çalışanları tanımlamanın en çok tercih edilen yolu kimlik girmektir Kuruluşun her çalışanı için. Böyle bir tanımlayıcı her yeni çalışana atanacak ve hem personel sisteminde hem de kuruluşun bilgi sistemlerinde zorunlu hesap özelliği olarak görünecektir. Sayılardan mı yoksa harflerden mi oluştuğu önemli değil, asıl önemli olan her çalışan için benzersiz olmasıdır (örneğin, birçok kişi çalışanın personel numarasını kullanır). Gelecekte, bu özelliğin getirilmesi, personel kaynağındaki çalışan verilerinin bilgi sistemlerindeki hesapları ve yetkileri ile ilişkilendirilmesini büyük ölçüde kolaylaştıracaktır.

Bu nedenle personel kayıtlarının tüm adımlarının ve mekanizmalarının analiz edilmesi ve sıraya konulması gerekecektir. Bazı süreçlerin değiştirilmesi veya tadil edilmesi gerekmesi oldukça olasıdır. Bu sıkıcı ve özenli bir iştir, ancak gereklidir, aksi takdirde personel olaylarına ilişkin net ve yapılandırılmış verilerin bulunmaması, bunların otomatik işlenmesinde hatalara yol açacaktır. En kötü durumda, yapılandırılmamış süreçlerin otomatikleştirilmesi tamamen imkansız olacaktır.

Hedef sistemler

Bir sonraki aşamada IdM yapısına kaç tane bilgi sistemi entegre etmek istediğimizi, bu sistemlerde kullanıcılara ve haklarına ilişkin hangi verilerin saklandığını ve bunları nasıl yöneteceğimizi bulmamız gerekiyor.

Pek çok kuruluşta, IdM'yi kuracağımız, hedef sistemlere yönelik konektörleri yapılandıracağımız ve sihirli bir değnek dalgasıyla her şeyin bizim tarafımızdan ek bir çaba harcamadan çalışacağına dair bir görüş var. Ne yazık ki bu olmuyor. Şirketlerde bilgi sistemleri ortamı giderek gelişiyor ve artıyor. Her sistemin erişim haklarını verme konusunda farklı bir yaklaşımı olabilir, yani farklı erişim kontrol arayüzleri yapılandırılabilir. Bir yerde kontrol bir API (uygulama programlama arayüzü) aracılığıyla, bir yerde saklı prosedürleri kullanan bir veritabanı aracılığıyla gerçekleşir, bir yerde ise hiçbir etkileşim arayüzü olmayabilir. Kuruluşun sistemlerindeki hesapları ve hakları yönetmek için mevcut birçok süreci yeniden gözden geçirmeniz gerekeceği gerçeğine hazırlıklı olmalısınız: veri formatını değiştirin, etkileşim arayüzlerini önceden iyileştirin ve bu iş için kaynak tahsis edin.

Rol model

Erişim hakları yönetimi alanındaki temel kavramlardan biri olduğu için muhtemelen IdM çözüm sağlayıcısını seçme aşamasında rol model kavramıyla karşılaşacaksınız. Bu modelde verilere erişim bir rol aracılığıyla sağlanmaktadır. Rol, belirli bir pozisyondaki çalışanın işlevsel sorumluluklarını yerine getirebilmesi için minimum düzeyde gerekli olan bir dizi erişimdir.

Rol tabanlı erişim kontrolünün bir dizi yadsınamaz avantajı vardır:

  • çok sayıda çalışana aynı hakları vermek basit ve etkilidir;
  • aynı haklara sahip çalışanların erişiminin derhal değiştirilmesi;
  • hak fazlalığının ortadan kaldırılması ve kullanıcılar için uyumsuz yetkilerin sınırlandırılması.

Rol matrisi ilk önce kuruluşun her sisteminde ayrı ayrı oluşturulur ve ardından küresel İş rollerinin her sistemin rollerinden oluşturulduğu tüm BT ortamına ölçeklendirilir. Örneğin, "Muhasebeci" İşletme rolü, işletmenin muhasebe departmanında kullanılan bilgi sistemlerinin her biri için birkaç ayrı rolü içerecektir.

Son zamanlarda uygulama, veri tabanı ve işletim sistemi geliştirme aşamasında bile rol model oluşturmak “en iyi uygulama” olarak değerlendiriliyor. Aynı zamanda, rollerin sistemde yapılandırılmadığı veya mevcut olmadığı durumlar da sıklıkla vardır. Bu durumda, bu sistemin yöneticisinin hesap bilgilerini gerekli izinleri sağlayan birkaç farklı dosyaya, kitaplığa ve dizine girmesi gerekir. Önceden tanımlanmış rollerin kullanılması, karmaşık bileşik verilere sahip bir sistemde çok çeşitli işlemleri gerçekleştirmek için ayrıcalıklar vermenize olanak tanır.

Bir bilgi sistemindeki roller, kural olarak, personel yapısına göre pozisyonlara ve departmanlara dağıtılır, ancak belirli iş süreçleri için de oluşturulabilir. Örneğin, bir finans kuruluşunda, ödeme departmanının birkaç çalışanı aynı pozisyonu - operatör - işgal ediyor. Ancak departman içinde farklı operasyon türlerine göre (harici veya dahili, farklı para birimlerinde, organizasyonun farklı bölümleriyle) ayrı süreçlere bir dağılım da vardır. Bir departmanın iş alanlarının her birine gerekli özelliklere göre bilgi sistemine erişim sağlamak için bireysel fonksiyonel rollere hakların dahil edilmesi gerekir. Bu, her bir faaliyet alanı için yedek haklar içermeyen, asgari yeterli yetki kümesinin sağlanmasını mümkün kılacaktır.

Ayrıca yüzlerce rol, binlerce kullanıcı ve milyonlarca izne sahip büyük sistemler için roller hiyerarşisini ve ayrıcalık devralmayı kullanmak iyi bir uygulamadır. Örneğin, Yönetici ana rolü, alt rollerin ayrıcalıklarını devralacaktır: Kullanıcı ve Okuyucu, çünkü Yönetici, Kullanıcı ve Okuyucunun yapabileceği her şeyi yapabilir, ayrıca ek yönetici haklarına sahip olacaktır. Hiyerarşiyi kullanarak, aynı modül veya sistemin birden fazla rolünde aynı hakları yeniden belirtmeye gerek yoktur.

İlk aşamada, olası hak kombinasyonu sayısının çok fazla olmadığı ve bunun sonucunda az sayıda rolü yönetmenin kolay olduğu sistemlerde roller oluşturabilirsiniz. Bunlar, şirketin tüm çalışanlarının Active Directory (AD), posta sistemleri, Hizmet Yöneticisi ve benzeri gibi kamuya açık sistemler için ihtiyaç duyduğu tipik haklar olabilir. Daha sonra bilgi sistemleri için oluşturulan rol matrisleri genel rol modeline dahil edilerek İş rolleri halinde birleştirilebilir.

Bu yaklaşımı kullanarak gelecekte bir IdM sistemi uygularken, oluşturulan ilk aşama rollere dayalı olarak erişim hakları verme sürecinin tamamını otomatikleştirmek kolay olacaktır.

NB Mümkün olduğu kadar çok sistemi hemen entegrasyona dahil etmeye çalışmamalısınız. Daha karmaşık mimariye ve erişim hakları yönetimi yapısına sahip sistemleri ilk aşamada yarı otomatik modda IdM'ye bağlamak daha iyidir. Yani, personel olaylarına dayalı olarak, yalnızca yürütme için yöneticiye gönderilecek olan bir erişim isteğinin otomatik olarak oluşturulmasını uygulayın ve o, hakları manuel olarak yapılandıracaktır.

İlk aşamayı başarıyla tamamladıktan sonra sistemin işlevselliğini yeni genişletilmiş iş süreçlerine genişletebilir, ek bilgi sistemleri bağlantısıyla tam otomasyon ve ölçeklendirme uygulayabilirsiniz.

IdM'nin uygulanması. Müşteri tarafından uygulamaya hazırlanma
Başka bir deyişle, IdM'nin uygulanmasına hazırlanmak için, bilgi sistemlerinin yeni sürece hazır olup olmadığını değerlendirmek ve kullanıcı hesaplarını ve kullanıcı haklarını yönetmek için harici etkileşim arayüzlerini (eğer bu tür arayüzler yoksa) önceden sonuçlandırmak gerekir. sistemde mevcuttur. Kapsamlı erişim kontrolü için bilgi sistemlerinde rollerin adım adım oluşturulması konusu da araştırılmalıdır.

Organizasyonel etkinlikler

Organizasyonel sorunları da göz ardı etmeyin. Bazı durumlarda belirleyici bir rol oynayabilirler çünkü tüm projenin sonucu genellikle departmanlar arasındaki etkili etkileşime bağlıdır. Bunu yapmak için genellikle organizasyonda süreç katılımcılarından oluşan ve ilgili tüm departmanları içerecek bir ekip oluşturulmasını tavsiye ederiz. Bu, insanlar için ek bir yük olduğundan, gelecekteki süreçteki tüm katılımcılara etkileşim yapısındaki rollerini ve önemini önceden açıklamaya çalışın. Bu aşamada IdM fikrini meslektaşlarınıza “satarsanız” ileride birçok zorluğun önüne geçebilirsiniz.

IdM'nin uygulanması. Müşteri tarafından uygulamaya hazırlanma
Çoğu zaman bilgi güvenliği veya BT departmanları bir şirketteki IdM uygulama projesinin “sahibidir” ve iş departmanlarının görüşleri dikkate alınmaz. Bu büyük bir hatadır, çünkü her kaynağın nasıl ve hangi iş süreçlerinde kullanıldığını, kimlere erişim izni verilmesi gerektiğini ve kimlere verilmemesi gerektiğini yalnızca onlar bilir. Bu nedenle, hazırlık aşamasında, bilgi sistemindeki hangi kullanıcı hakları (roller) kümesinin geliştirildiğine dayalı fonksiyonel modelden ve aynı zamanda aşağıdakilerin sağlanmasından sorumlu olanın işletme sahibi olduğunu belirtmek önemlidir: bu roller güncel tutulur. Rol modeli, bir kez oluşturulan ve üzerinde sakinleşebileceğiniz statik bir matris değildir. Organizasyon yapısındaki ve çalışanların işlevselliğindeki değişiklikleri takip ederek sürekli değişmesi, güncellenmesi ve gelişmesi gereken “canlı bir organizmadır”. Aksi takdirde, ya erişim sağlanmasındaki gecikmelere bağlı sorunlar ortaya çıkacak ya da aşırı erişim haklarına bağlı olarak bilgi güvenliği riskleri ortaya çıkacak ve bu daha da kötüsü.

Bildiğiniz gibi, "yedi dadının gözü olmayan bir çocuğu var", bu nedenle şirketin rol modelinin mimarisini, süreçteki belirli katılımcıların etkileşimini ve sorumluluklarını güncel tutmak için açıklayan bir metodoloji geliştirmesi gerekiyor. Bir şirketin birçok ticari faaliyet alanı ve buna bağlı olarak birçok bölümü ve departmanı varsa, o zaman rol tabanlı erişim yönetimi sürecinin bir parçası olarak her alan için (örneğin, borç verme, operasyonel çalışma, uzaktan hizmetler, uyumluluk ve diğerleri), ayrı küratörlerin atanması gerekmektedir. Bunlar aracılığıyla departmanın yapısındaki değişiklikler ve her rol için gereken erişim hakları hakkında hızlı bir şekilde bilgi almak mümkün olacak.

Sürece katılan departmanlar arasındaki çatışma durumlarının çözümü için kuruluş yönetiminin desteğinin alınması zorunludur. Deneyimlerimize inanın, herhangi bir yeni süreci uygulamaya koyarken çatışmalar kaçınılmazdır. Bu nedenle, başkasının yanlış anlamaları ve sabotajları nedeniyle zaman kaybetmemek için olası çıkar çatışmalarını çözecek bir hakeme ihtiyacımız var.

IdM'nin uygulanması. Müşteri tarafından uygulamaya hazırlanma
NB Farkındalığı artırmaya başlamanın iyi bir yolu personelinizi eğitmektir. Gelecekteki sürecin işleyişinin ve her katılımcının bu süreçteki rolünün ayrıntılı bir şekilde incelenmesi, yeni bir çözüme geçişin zorluklarını en aza indirecektir.

Kontrol listesi

Özetlemek gerekirse, IdM'yi uygulamayı planlayan bir kuruluşun atması gereken ana adımları özetliyoruz:

  • personel verilerine düzen getirmek;
  • her çalışan için benzersiz bir kimlik parametresi girin;
  • IdM'nin uygulanması için bilgi sistemlerinin hazır olup olmadığını değerlendirmek;
  • Erişim kontrolü için bilgi sistemleriyle etkileşim için arayüzler geliştirmek, eğer eksiklerse, bu iş için kaynak tahsis etmek;
  • bir rol modeli geliştirmek ve oluşturmak;
  • bir rol modeli yönetim süreci oluşturmak ve her iş alanından küratörleri bu sürece dahil etmek;
  • IdM'ye ilk bağlantı için birkaç sistem seçin;
  • etkili bir proje ekibi oluşturmak;
  • şirket yönetiminden destek almak;
  • Tren personeli.

Hazırlık süreci zor olabilir, bu nedenle mümkünse danışmanları dahil edin.

Bir IdM çözümünün uygulanması zor ve sorumlu bir adımdır ve başarılı bir şekilde uygulanması için hem her bir tarafın bireysel çabaları (iş departmanları çalışanları, BT ve bilgi güvenliği hizmetleri) hem de bir bütün olarak tüm ekibin etkileşimi önemlidir. Ancak çabalar buna değer: Bir şirkette IdM'yi uyguladıktan sonra, bilgi sistemlerindeki aşırı yetkiler ve yetkisiz haklarla ilgili olayların sayısı azalır; gerekli hakların bulunmaması/uzun süre beklenmesi nedeniyle çalışanların aksama süreleri ortadan kalkar; Otomasyon sayesinde işçilik maliyetleri azalır ve BT ve bilgi güvenliği hizmetlerinin iş gücü verimliliği artar.

Kaynak: habr.com

Yorum ekle