Trong các bài viết trước, chúng ta đã xem IdM là gì, làm thế nào để hiểu liệu tổ chức của bạn có cần một hệ thống như vậy hay không, nó giải quyết được những vấn đề gì và cách điều chỉnh ngân sách triển khai cho ban quản lý. Hôm nay chúng ta sẽ nói về các giai đoạn quan trọng mà bản thân tổ chức phải trải qua để đạt được mức độ trưởng thành phù hợp trước khi triển khai hệ thống IdM. Suy cho cùng, IdM được thiết kế để tự động hóa các quy trình, nhưng không thể tự động hóa sự hỗn loạn.
Cho đến khi một công ty phát triển đến quy mô của một doanh nghiệp lớn và đã tích lũy được nhiều hệ thống kinh doanh khác nhau, công ty đó thường không nghĩ đến việc kiểm soát truy cập. Do đó, các quá trình giành quyền và quyền kiểm soát trong đó không có cấu trúc và khó phân tích. Nhân viên điền đơn xin truy cập theo ý muốn, quy trình phê duyệt cũng không được chính thức hóa và đôi khi đơn giản là nó không tồn tại. Không thể nhanh chóng tìm ra quyền truy cập của nhân viên, ai đã phê duyệt và trên cơ sở nào.
Xét rằng quá trình tự động hóa quyền truy cập ảnh hưởng đến hai khía cạnh chính - dữ liệu nhân sự và dữ liệu từ hệ thống thông tin sẽ được tích hợp, chúng tôi sẽ xem xét các bước cần thiết để đảm bảo rằng việc triển khai IdM diễn ra suôn sẻ và không gây ra sự từ chối:
- Phân tích quy trình nhân sự và tối ưu hóa hỗ trợ cơ sở dữ liệu nhân viên trong hệ thống nhân sự.
- Phân tích dữ liệu về quyền và người dùng, cũng như cập nhật các phương pháp kiểm soát truy cập trong các hệ thống mục tiêu được lên kế hoạch kết nối với IdM.
- Các hoạt động tổ chức và sự tham gia của nhân sự trong quá trình chuẩn bị triển khai IdM.
Dữ liệu nhân sự
Có thể có một nguồn dữ liệu nhân sự trong một tổ chức hoặc có thể có nhiều nguồn. Ví dụ: một tổ chức có thể có mạng lưới chi nhánh khá rộng và mỗi chi nhánh có thể sử dụng cơ sở nhân sự của riêng mình.
Trước hết, cần hiểu những dữ liệu cơ bản nào về nhân viên được lưu trữ trong hệ thống hồ sơ nhân sự, những sự kiện nào được ghi lại và đánh giá tính đầy đủ và cấu trúc của chúng.
Điều thường xảy ra là không phải tất cả các sự kiện nhân sự đều được ghi chú trong nguồn nhân sự (và thậm chí chúng còn thường xuyên được ghi nhận không kịp thời và không hoàn toàn chính xác). Dưới đây là một số ví dụ điển hình:
- Các lá, loại và thời hạn của chúng (thường xuyên hoặc dài hạn) không được ghi lại;
- Việc làm bán thời gian không được ghi nhận: ví dụ, khi nghỉ phép dài hạn để chăm sóc con cái, nhân viên có thể đồng thời làm việc bán thời gian;
- tình trạng thực tế của ứng viên hoặc nhân viên đã thay đổi (tiếp nhận/chuyển/sa thải) và lệnh về sự kiện này được ban hành với sự chậm trễ;
- nhân viên được chuyển sang vị trí chính thức mới thông qua việc sa thải, trong khi hệ thống nhân sự không ghi nhận thông tin rằng đây là sa thải kỹ thuật.
Cũng cần đặc biệt chú ý đến việc đánh giá chất lượng dữ liệu, vì bất kỳ lỗi và thông tin không chính xác nào thu được từ một nguồn đáng tin cậy, đó là hệ thống nhân sự, có thể gây tốn kém trong tương lai và gây ra nhiều vấn đề khi triển khai IdM. Ví dụ, nhân viên nhân sự thường nhập các vị trí của nhân viên vào hệ thống nhân sự theo các định dạng khác nhau: chữ in hoa và chữ thường, chữ viết tắt, số khoảng trắng khác nhau, v.v. Do đó, vị trí tương tự có thể được ghi lại trong hệ thống nhân sự theo các biến thể sau:
- Quản lý cấp cao
- quản lý cấp cao
- quản lý cấp cao
- Nghệ thuật. giám đốc…
Bạn thường phải đối mặt với những khác biệt trong cách viết tên của mình:
- Shmeleva Natalya Gennadievna,
- Shmeleva Natalia Gennadievna...
Để tự động hóa hơn nữa, sự lộn xộn như vậy là không thể chấp nhận được, đặc biệt nếu các thuộc tính này là dấu hiệu nhận dạng chính, nghĩa là dữ liệu về nhân viên và quyền hạn của anh ta trong hệ thống được so sánh chính xác theo tên đầy đủ.
Ngoài ra, chúng ta không nên quên về sự hiện diện có thể có của những người trùng tên và trùng tên đầy đủ trong công ty. Nếu một tổ chức có một nghìn nhân viên thì có thể có ít sự trùng khớp như vậy, nhưng nếu có 50 nghìn nhân viên thì điều này có thể trở thành một trở ngại nghiêm trọng đối với hoạt động chính xác của hệ thống IdM.
Tóm tắt tất cả những điều trên, chúng tôi kết luận: định dạng nhập dữ liệu vào cơ sở dữ liệu nhân sự của tổ chức phải được chuẩn hóa. Các thông số nhập tên, chức vụ, phòng ban phải được xác định rõ ràng. Tùy chọn tốt nhất là khi nhân viên nhân sự không nhập dữ liệu theo cách thủ công mà chọn dữ liệu từ thư mục tạo sẵn về cấu trúc các phòng ban và vị trí bằng chức năng “chọn” có sẵn trong cơ sở dữ liệu nhân sự.
Để tránh thêm lỗi trong quá trình đồng bộ hóa và không phải sửa những khác biệt trong báo cáo theo cách thủ công, cách ưa thích nhất để xác định nhân viên là nhập ID cho mỗi nhân viên của tổ chức. Mã định danh như vậy sẽ được gán cho mỗi nhân viên mới và sẽ xuất hiện cả trong hệ thống nhân sự và hệ thống thông tin của tổ chức như một thuộc tính tài khoản bắt buộc. Không quan trọng nó bao gồm số hay chữ cái, điều chính là nó là duy nhất cho mỗi nhân viên (ví dụ: nhiều người sử dụng mã số nhân viên của nhân viên). Trong tương lai, việc giới thiệu thuộc tính này sẽ tạo điều kiện thuận lợi hơn rất nhiều cho việc liên kết dữ liệu nhân viên trong nguồn nhân sự với các tài khoản và quyền hạn của anh ta trong hệ thống thông tin.
Vì vậy, tất cả các bước và cơ chế hồ sơ nhân sự sẽ cần phải được phân tích và sắp xếp theo trình tự. Rất có thể một số quy trình sẽ phải được thay đổi hoặc sửa đổi. Đây là công việc tẻ nhạt và tốn nhiều công sức nhưng cần thiết, nếu không, việc thiếu dữ liệu có cấu trúc và rõ ràng về các sự kiện nhân sự sẽ dẫn đến sai sót trong quá trình xử lý tự động. Trong trường hợp xấu nhất, các quy trình phi cấu trúc sẽ không thể tự động hóa được.
Hệ thống mục tiêu
Ở giai đoạn tiếp theo, chúng ta cần tìm hiểu xem chúng ta muốn tích hợp bao nhiêu hệ thống thông tin vào cấu trúc IdM, dữ liệu nào về người dùng và quyền của họ được lưu trữ trong các hệ thống này và cách quản lý chúng.
Trong nhiều tổ chức, có ý kiến cho rằng chúng tôi sẽ cài đặt IdM, định cấu hình các trình kết nối với hệ thống đích và chỉ với một chiếc đũa thần, mọi thứ sẽ hoạt động mà không cần nỗ lực thêm từ phía chúng tôi. Than ôi, điều đó không xảy ra. Trong các công ty, bối cảnh hệ thống thông tin đang phát triển và tăng dần. Mỗi hệ thống có thể có một cách tiếp cận khác nhau để cấp quyền truy cập, nghĩa là có thể cấu hình các giao diện kiểm soát truy cập khác nhau. Ở đâu đó sự kiểm soát xảy ra thông qua API (giao diện lập trình ứng dụng), ở đâu đó thông qua cơ sở dữ liệu sử dụng các thủ tục được lưu trữ, ở đâu đó có thể không có giao diện tương tác nào cả. Bạn nên chuẩn bị cho thực tế là bạn sẽ phải xem xét lại nhiều quy trình hiện có để quản lý tài khoản và quyền trong hệ thống của tổ chức: thay đổi định dạng dữ liệu, cải thiện trước giao diện tương tác và phân bổ tài nguyên cho công việc này.
Hình mẫu
Bạn có thể sẽ bắt gặp khái niệm về hình mẫu ở giai đoạn chọn nhà cung cấp giải pháp IdM, vì đây là một trong những khái niệm chính trong lĩnh vực quản lý quyền truy cập. Trong mô hình này, quyền truy cập vào dữ liệu được cung cấp thông qua một vai trò. Vai trò là một tập hợp các quyền truy cập cần thiết tối thiểu để nhân viên ở một vị trí nhất định thực hiện các trách nhiệm chức năng của họ.
Kiểm soát truy cập dựa trên vai trò có một số lợi thế không thể phủ nhận:
- việc chuyển nhượng các quyền như nhau cho một số lượng lớn nhân viên là đơn giản và hiệu quả;
- thay đổi kịp thời quyền tiếp cận của những người lao động có cùng quyền lợi;
- loại bỏ sự dư thừa về quyền và phân định các quyền hạn không tương thích cho người dùng.
Ma trận vai trò trước tiên được xây dựng riêng biệt trong từng hệ thống của tổ chức, sau đó được mở rộng cho toàn bộ bối cảnh CNTT, nơi các vai trò Kinh doanh toàn cầu được hình thành từ vai trò của từng hệ thống. Ví dụ: Vai trò kinh doanh “Kế toán” sẽ bao gồm một số vai trò riêng biệt cho từng hệ thống thông tin được sử dụng trong bộ phận kế toán của doanh nghiệp.
Gần đây, việc tạo ra một hình mẫu được coi là “phương pháp hay nhất” ngay cả ở giai đoạn phát triển ứng dụng, cơ sở dữ liệu và hệ điều hành. Đồng thời, thường có những tình huống khi các vai trò không được cấu hình trong hệ thống hoặc đơn giản là chúng không tồn tại. Trong trường hợp này, quản trị viên của hệ thống này phải nhập thông tin tài khoản vào một số tệp, thư viện và thư mục khác nhau để cung cấp các quyền cần thiết. Việc sử dụng các vai trò được xác định trước cho phép bạn cấp đặc quyền để thực hiện toàn bộ phạm vi hoạt động trong một hệ thống có dữ liệu tổng hợp phức tạp.
Theo quy định, các vai trò trong hệ thống thông tin được phân bổ cho các vị trí và bộ phận theo cơ cấu nhân sự, nhưng cũng có thể được tạo cho một số quy trình kinh doanh nhất định. Ví dụ, trong một tổ chức tài chính, một số nhân viên của bộ phận thanh toán chiếm cùng một vị trí - người điều hành. Nhưng trong bộ phận cũng có sự phân chia thành các quy trình riêng biệt, theo các loại hoạt động khác nhau (bên ngoài hoặc nội bộ, bằng các loại tiền tệ khác nhau, với các bộ phận khác nhau của tổ chức). Để cung cấp cho từng lĩnh vực kinh doanh của một bộ phận quyền truy cập vào hệ thống thông tin theo các yêu cầu cụ thể cần thiết, cần bao gồm các quyền trong các vai trò chức năng riêng lẻ. Điều này sẽ giúp có thể cung cấp đủ quyền hạn tối thiểu, không bao gồm các quyền dư thừa, cho từng lĩnh vực hoạt động.
Ngoài ra, đối với các hệ thống lớn có hàng trăm vai trò, hàng nghìn người dùng và hàng triệu quyền, cách tốt nhất là sử dụng hệ thống phân cấp vai trò và kế thừa đặc quyền. Ví dụ: vai trò chính Quản trị viên sẽ kế thừa các đặc quyền của vai trò con: Người dùng và Người đọc, vì Quản trị viên có thể thực hiện mọi việc mà Người dùng và Người đọc có thể làm, đồng thời sẽ có thêm các quyền quản trị. Khi sử dụng hệ thống phân cấp, không cần phải chỉ định lại các quyền giống nhau trong nhiều vai trò của cùng một mô-đun hoặc hệ thống.
Ở giai đoạn đầu tiên, bạn có thể tạo vai trò trong các hệ thống mà số lượng kết hợp quyền có thể không lớn lắm và do đó, rất dễ quản lý một số lượng nhỏ vai trò. Đây có thể là những quyền điển hình được yêu cầu bởi tất cả nhân viên của công ty đối với các hệ thống có thể truy cập công khai như Active Directory (AD), hệ thống thư, Trình quản lý dịch vụ và những thứ tương tự. Sau đó, ma trận vai trò đã tạo cho hệ thống thông tin có thể được đưa vào mô hình vai trò chung, kết hợp chúng thành các vai trò Kinh doanh.
Sử dụng phương pháp này, trong tương lai, khi triển khai hệ thống IdM, sẽ dễ dàng tự động hóa toàn bộ quy trình cấp quyền truy cập dựa trên các vai trò ở giai đoạn đầu đã được tạo.
NB Bạn không nên cố gắng tích hợp ngay càng nhiều hệ thống càng tốt. Tốt hơn là nên kết nối các hệ thống có kiến trúc phức tạp hơn và cấu trúc quản lý quyền truy cập với IdM ở chế độ bán tự động ở giai đoạn đầu. Nghĩa là, thực hiện, dựa trên các sự kiện nhân sự, chỉ tạo tự động yêu cầu truy cập, yêu cầu này sẽ được gửi đến quản trị viên để thực thi và anh ta sẽ định cấu hình các quyền theo cách thủ công.
Sau khi hoàn thành thành công giai đoạn đầu tiên, bạn có thể mở rộng chức năng của hệ thống sang các quy trình kinh doanh mở rộng mới, thực hiện tự động hóa và mở rộng quy mô hoàn toàn với sự kết nối của các hệ thống thông tin bổ sung.
Nói cách khác, để chuẩn bị cho việc triển khai IdM, cần đánh giá mức độ sẵn sàng của hệ thống thông tin cho quy trình mới và hoàn thiện trước các giao diện tương tác bên ngoài để quản lý tài khoản người dùng và quyền của người dùng, nếu các giao diện đó chưa được cung cấp. có sẵn trong hệ thống. Vấn đề từng bước tạo ra các vai trò trong hệ thống thông tin để kiểm soát truy cập toàn diện cũng cần được khám phá.
Sự kiện tổ chức
Đừng giảm giá các vấn đề về tổ chức. Trong một số trường hợp, họ có thể đóng vai trò quyết định vì kết quả của toàn bộ dự án thường phụ thuộc vào sự tương tác hiệu quả giữa các phòng ban. Để làm được điều này, chúng tôi thường khuyên bạn nên tạo một nhóm gồm những người tham gia quy trình trong tổ chức, nhóm này sẽ bao gồm tất cả các bộ phận liên quan. Vì đây là gánh nặng bổ sung cho mọi người nên hãy cố gắng giải thích trước cho tất cả những người tham gia trong quá trình tương lai về vai trò và tầm quan trọng của họ trong cấu trúc tương tác. Nếu bạn “bán” ý tưởng IdM cho đồng nghiệp ở giai đoạn này, bạn có thể tránh được nhiều khó khăn sau này.
Thông thường bộ phận bảo mật thông tin hoặc CNTT là “chủ sở hữu” của dự án triển khai IdM trong công ty và ý kiến của các bộ phận kinh doanh không được tính đến. Đây là một sai lầm lớn, bởi vì chỉ có họ mới biết mỗi tài nguyên được sử dụng như thế nào và trong quy trình kinh doanh nào, ai nên được cấp quyền truy cập vào tài nguyên đó và ai không nên. Do đó, ở giai đoạn chuẩn bị, điều quan trọng là phải chỉ ra rằng chính chủ doanh nghiệp là người chịu trách nhiệm về mô hình chức năng trên cơ sở phát triển bộ quyền (vai trò) nào của người dùng trong hệ thống thông tin, cũng như đảm bảo rằng những vai trò này được cập nhật. Hình mẫu không phải là một ma trận tĩnh được xây dựng một lần và bạn có thể bình tĩnh với nó. Đây là một “sinh vật sống” phải liên tục thay đổi, cập nhật và phát triển, theo sau những thay đổi trong cơ cấu tổ chức và chức năng của nhân viên. Nếu không, các vấn đề sẽ phát sinh liên quan đến sự chậm trễ trong việc cung cấp quyền truy cập hoặc rủi ro bảo mật thông tin sẽ phát sinh liên quan đến quyền truy cập quá mức, điều này thậm chí còn tồi tệ hơn.
Như bạn đã biết, “bảy bảo mẫu có một đứa trẻ không có mắt”, vì vậy công ty phải phát triển một phương pháp mô tả cấu trúc của hình mẫu, sự tương tác và trách nhiệm của những người tham gia cụ thể trong quá trình cập nhật nó. Nếu một công ty có nhiều lĩnh vực hoạt động kinh doanh và theo đó là nhiều bộ phận và phòng ban thì đối với từng lĩnh vực (ví dụ: cho vay, công việc vận hành, dịch vụ từ xa, tuân thủ và các lĩnh vực khác) như một phần của quy trình quản lý quyền truy cập dựa trên vai trò, nó là cần thiết để bổ nhiệm những người phụ trách riêng biệt. Thông qua họ, bạn có thể nhanh chóng nhận được thông tin về những thay đổi trong cơ cấu của bộ phận và quyền truy cập cần thiết cho từng vai trò.
Bắt buộc phải tranh thủ sự hỗ trợ của ban lãnh đạo tổ chức để giải quyết các tình huống xung đột giữa các bộ phận tham gia vào quá trình này. Và những xung đột khi giới thiệu bất kỳ quy trình mới nào là không thể tránh khỏi, hãy tin vào kinh nghiệm của chúng tôi. Vì vậy, chúng ta cần một trọng tài viên sẽ giải quyết những xung đột lợi ích có thể xảy ra, để không lãng phí thời gian do người khác hiểu lầm và phá hoại.
NB Một nơi tốt để bắt đầu nâng cao nhận thức là đào tạo nhân viên của bạn. Một nghiên cứu chi tiết về hoạt động của quy trình trong tương lai và vai trò của từng người tham gia vào quy trình đó sẽ giảm thiểu những khó khăn khi chuyển sang một giải pháp mới.
Danh mục
Để tóm tắt, chúng tôi tóm tắt các bước chính mà một tổ chức lập kế hoạch triển khai IdM nên thực hiện:
- sắp xếp trật tự cho dữ liệu nhân sự;
- nhập một tham số nhận dạng duy nhất cho mỗi nhân viên;
- đánh giá mức độ sẵn sàng của hệ thống thông tin trong việc triển khai IdM;
- phát triển giao diện tương tác với hệ thống thông tin để kiểm soát truy cập, nếu chúng bị thiếu và phân bổ nguồn lực cho công việc này;
- phát triển và xây dựng hình mẫu;
- xây dựng quy trình quản lý kiểu mẫu và bao gồm những người phụ trách từ từng lĩnh vực kinh doanh trong đó;
- chọn một số hệ thống để kết nối ban đầu với IdM;
- tạo ra một nhóm dự án hiệu quả;
- nhận được sự hỗ trợ từ ban quản lý công ty;
- đào tạo nhân viên.
Quá trình chuẩn bị có thể khó khăn, vì vậy nếu có thể hãy nhờ đến sự tham gia của các chuyên gia tư vấn.
Triển khai giải pháp IdM là một bước khó khăn và đầy trách nhiệm, và để triển khai thành công giải pháp này, cả nỗ lực của từng bên – nhân viên bộ phận kinh doanh, dịch vụ CNTT và bảo mật thông tin cũng như sự tương tác của toàn bộ nhóm đều rất quan trọng. Nhưng những nỗ lực đó là xứng đáng: sau khi triển khai IdM trong một công ty, số sự cố liên quan đến quyền hạn quá mức và quyền trái phép trong hệ thống thông tin đã giảm xuống; thời gian ngừng hoạt động của nhân viên do thiếu/chờ đợi lâu để có được các quyền cần thiết không còn nữa; Do tự động hóa, chi phí lao động giảm và năng suất lao động của các dịch vụ CNTT và bảo mật thông tin tăng lên.
Nguồn: www.habr.com