En artículos anteriores, ya hemos discutido qué es IdM, cómo entender si su organización necesita dicho sistema, qué tareas resuelve y cómo justificar el presupuesto de implementación para la administración. Hoy hablaremos sobre los pasos importantes que la organización debe seguir para alcanzar el nivel de madurez adecuado antes de implementar el sistema IdM. Después de todo, IdM está diseñado para automatizar procesos, y es imposible automatizar el caos.
Hasta que la empresa crezca al tamaño de una gran empresa y acumule una gran cantidad de sistemas comerciales diferentes, generalmente no piensa en el control de acceso. Por lo tanto, los procesos de obtención de derechos y control de poderes en él no están estructurados y son difíciles de analizar. Los empleados completan las solicitudes de acceso a su gusto, el proceso de aprobación tampoco está formalizado y, a veces, simplemente no existe. Es imposible determinar rápidamente qué acceso tiene un empleado, quién lo coordinó y sobre qué base.
Teniendo en cuenta que el proceso de automatización del acceso afecta dos aspectos principales: los datos de personal y los datos de los sistemas de información que se integrarán, consideraremos los pasos necesarios para garantizar que la implementación de IdM se realice sin problemas y no cause rechazo:
- Análisis de procesos de personal y optimización de soporte de bases de datos para empleados en sistemas de personal.
- Análisis de datos de usuarios y derechos, así como la actualización de métodos de control de acceso en los sistemas de destino que están planificados para conectarse a IdM.
- Actividades organizativas y participación del personal en el proceso de preparación para la implementación de IdM.
Datos de recursos humanos
La fuente de datos de personal en la organización puede ser una o varias. Por ejemplo, una organización puede tener una red de sucursales bastante amplia, y cada sucursal puede usar su propia base de personal.
En primer lugar, debe comprender qué datos básicos sobre los empleados se almacenan en el sistema de gestión de personal, qué eventos se registran y evaluar su integridad y estructura.
A menudo sucede que no todos los eventos de personal se anotan en la fuente de personal (y aún más a menudo se notan fuera de tiempo y no del todo correctamente). Aquí hay algunos ejemplos típicos:
- vacaciones no se registran, sus categorías y términos (regulares o largos);
- el empleo a tiempo parcial no se registra: por ejemplo, mientras está de vacaciones para cuidar a un niño, un empleado puede trabajar simultáneamente a tiempo parcial;
- el estado real del candidato o empleado ya ha cambiado (admisión / transferencia / despido), y el pedido para este evento se retrasa;
- el empleado es transferido a un nuevo puesto de tiempo completo a través del despido, mientras que el sistema de personal no registra información de que se trata de un despido técnico.
También vale la pena prestar especial atención a evaluar la calidad de los datos, ya que cualquier error e inexactitud recibida de una fuente confiable, que son sistemas de recursos humanos, puede ser costoso en el futuro y causar muchos problemas al implementar IdM. Por ejemplo, los funcionarios de recursos humanos a menudo ocupan los puestos de los empleados en el sistema de personal en un formato diferente: letras mayúsculas y minúsculas, abreviaturas, diferentes números de espacios y similares. Como resultado, se puede fijar la misma posición en el sistema de personal en las siguientes variaciones:
- Gerente superior
- gerente senior
- gerente senior
- Art. gerente ...
A menudo tienes que lidiar con las diferencias en la ortografía de tu nombre:
- Shmelyova Natalia Gennadyevna,
- Shmeleva Nataliya Gennadievna ...
Para una mayor automatización, tal desorden es inaceptable, especialmente si estos atributos son un signo clave de identificación, es decir, los datos sobre el empleado y sus credenciales en los sistemas se comparan exactamente por nombre
Además, no debemos olvidarnos de la posible presencia en compañía de homónimos y homónimos completos. Si una organización tiene mil empleados, puede haber pocas coincidencias, y si 50 mil, entonces esto puede convertirse en un obstáculo crítico para el correcto funcionamiento del sistema IdM.
Resumiendo todo lo anterior, concluimos: el formato para ingresar datos en la base de personal de la organización debe ser estandarizado. Los parámetros de entrada del nombre completo, posiciones y unidades deben estar claramente definidos. La mejor opción es cuando el empleado personal no maneja los datos manualmente, sino que los selecciona de un directorio pre-creado de la estructura de departamentos y posiciones usando la función "seleccionar" disponible en la base de personal.
Para evitar más errores en la sincronización y no tratar con la corrección manual de las discrepancias en los informes, la forma
más preferida de identificar a los empleados es ingresar una identificación para cada empleado de la organización. Dicho identificador se asignará a cada nuevo empleado y aparecerá tanto en el sistema de personal como en los sistemas de información de la organización como un atributo obligatorio de la cuenta. No importa si se trata de números o letras; lo principal es que es único para cada empleado (por ejemplo, muchos usan el número de personal del empleado). En el futuro, la introducción de este atributo facilitará en gran medida la vinculación de datos sobre el empleado en la fuente de personal con sus cuentas y credenciales en los sistemas de información.
Por lo tanto, todos los pasos y mecanismos para la contabilidad del personal deberán analizarse y ordenarse. Es posible que algunos procesos tengan que cambiar o modificarse. Este es un trabajo tedioso y laborioso, pero es necesario, de lo contrario, la falta de datos claros y estructurados sobre los eventos del personal conducirá a errores en su procesamiento automático. En el peor de los casos, los procesos no estructurados no pueden automatizarse en absoluto.
Sistemas de destino
El siguiente paso es determinar cuántos sistemas de información queremos integrar en la estructura de IdM, qué datos sobre los usuarios y sus derechos se almacenan en estos sistemas y cómo administrarlos.
En muchas organizaciones, se cree que aquí instalaremos IdM, configuraremos los conectores a los sistemas de destino, y con la onda de una varita mágica todo funcionará, sin ningún esfuerzo adicional de nuestra parte. Entonces, por desgracia, no sucede. En las empresas, el panorama de los sistemas de información se está desarrollando y aumentando gradualmente. Cada uno de los sistemas puede tener un enfoque diferente para otorgar derechos de acceso, es decir, se configuran diferentes interfaces de control de acceso. En algún lugar, el control ocurre a través de la API (interfaz de programación de aplicaciones), en algún lugar a través de la base de datos utilizando procedimientos almacenados, en algún lugar las interfaces de interacción pueden estar completamente ausentes. Vale la pena estar preparado para el hecho de que tendrá que revisar muchos procesos existentes para administrar cuentas y derechos en los sistemas de la organización: cambie el formato de datos, refine las interfaces de interacción de antemano y asigne recursos para estos trabajos.
Modelo a seguir
Probablemente se encontrará con el concepto de un modelo a seguir incluso en la etapa de elección de un proveedor de soluciones IdM, ya que este es uno de los conceptos clave en el campo de la gestión de derechos de acceso. En este modelo, el acceso a datos se proporciona a través de un rol. Un rol es un conjunto de accesos que son mínimamente necesarios para que un empleado en una determinada posición realice sus funciones funcionales.
El control de acceso basado en roles tiene una serie de ventajas innegables:
- asignación simple y eficiente de igualdad de derechos a un gran número de empleados;
- cambio operativo de acceso para empleados con el mismo conjunto de derechos;
- eliminación de redundancia de derechos y delimitación de poderes incompatibles para los usuarios.
La matriz de roles primero se construye por separado en cada uno de los sistemas de la organización y luego se escala a todo el panorama de TI, donde los roles comerciales globales se forman a partir de los roles de cada sistema. Por ejemplo, el rol comercial "Contador" incluirá varios roles separados para cada uno de los sistemas de información utilizados en el departamento de contabilidad de una empresa.
Recientemente, se considera la "mejor práctica" para crear un modelo a seguir incluso en la etapa de desarrollo de aplicaciones, bases de datos y sistemas operativos. Al mismo tiempo, las situaciones no son infrecuentes cuando los roles no están configurados en el sistema o simplemente no existen. En este caso, el administrador de este sistema debe ingresar la información de la cuenta en varios archivos, bibliotecas y directorios diferentes que brindan los permisos necesarios. El uso de roles predefinidos le permite otorgar privilegios para llevar a cabo una amplia gama de operaciones en un sistema con datos compuestos complejos.
Los roles en el sistema de información, por regla general, se distribuyen para puestos y unidades de acuerdo con la estructura del personal, pero también se pueden crear para ciertos procesos comerciales. Por ejemplo, en una organización financiera, varios empleados del departamento de liquidación ocupan el mismo puesto: el operador. Pero dentro del departamento también hay una distribución en procesos separados para diferentes tipos de operaciones (externas o internas, en diferentes monedas, con diferentes segmentos de la organización). Para que cada una de las áreas de negocio de un departamento brinde acceso al sistema de información de acuerdo con los detalles requeridos, es necesario incluir derechos en roles funcionales separados. Esto proporcionará un conjunto mínimo de poderes suficientes, sin incluir el exceso de derechos, para cada una de las áreas de actividad.
Además, para sistemas grandes con cientos de roles, miles de usuarios y millones de permisos, es una buena práctica utilizar una jerarquía de roles y herencia de privilegios. Por ejemplo, el rol principal, el Administrador, heredará los privilegios de los roles secundarios: Usuario y Lector, ya que el Administrador puede hacer lo mismo que el Usuario y el Lector, además tendrá derechos de administrador adicionales. Al usar una jerarquía, no es necesario volver a especificar los mismos derechos en varios roles de un módulo o sistema.
En la primera etapa, puede crear roles en aquellos sistemas donde el número posible de combinaciones de derechos no es muy grande y, como resultado, es fácil administrar un pequeño número de roles. Estos pueden ser derechos típicos requeridos por todos los empleados de la compañía en sistemas disponibles públicamente como Active Directory (AD), sistemas de correo, Service Manager y similares. Luego, las matrices de roles creadas para los sistemas de información se pueden incluir en el modelo de roles general, combinándolos en roles de negocios.
Con este enfoque, en el futuro, al implementar el sistema IdM, será fácil automatizar todo el proceso de concesión de derechos de acceso en función de los roles creados en la primera etapa.
NB No intente incluir de inmediato tantos sistemas como sea posible en la integración. En la primera etapa, los sistemas con una arquitectura más compleja y una estructura de gestión de derechos de acceso están mejor conectados a IdM en un modo semiautomático. Es decir, en base a eventos de personal, para realizar solo la generación automática de una aplicación de acceso, que será recibida por el administrador, y él configurará los derechos manualmente.
Después de completar con éxito la primera etapa, puede ampliar la funcionalidad del sistema a nuevos procesos comerciales avanzados, completar la automatización y escalar con la adición de sistemas de información adicionales.
En otras palabras, para prepararse para la implementación de IdM, es necesario evaluar la disponibilidad de los sistemas de información para el nuevo proceso y avanzar en el desarrollo de interfaces de interacción externas para administrar cuentas de usuario y derechos de usuario, si tales interfaces no están disponibles en el sistema. También debería abordarse la cuestión de la creación por etapas de roles en los sistemas de información para el control de acceso integrado.Actividades organizacionales
No ignore los problemas de organización. En algunos casos, pueden desempeñar un papel decisivo, porque el resultado de todo el proyecto a menudo depende de una interacción efectiva entre los departamentos. Para hacer esto, generalmente recomendamos crear un equipo de participantes del proceso en la organización, que incluirá todas las unidades involucradas. Dado que esta es una carga adicional para las personas, trate de explicar por adelantado a todos los participantes en el proceso futuro su papel y su importancia en la estructura de interacción. Si "vende" la idea de IdM en esta etapa a sus colegas, puede evitar muchas dificultades en el futuro.
A menudo, los departamentos de seguridad de la información o de TI son los "propietarios" de un proyecto de implementación de IdM en una empresa, y las opiniones de las unidades de negocios no se tienen en cuenta. Este es un gran error, porque solo ellos saben cómo y en qué procesos comerciales se utiliza cada recurso, quién necesita tener acceso a él y quién no. Por lo tanto, en la etapa de preparación, es importante indicar que es el propietario del negocio el responsable del modelo funcional, sobre la base de qué conjuntos de derechos de usuario (roles) se desarrollan en el sistema de información, y también que estos roles se mantienen actualizados. Un modelo a seguir no es una matriz estática que se ha creado una vez y puede calmarse con esto. Este es un "organismo vivo" que debe cambiar, actualizarse y desarrollarse constantemente, siguiendo los cambios en la estructura de la organización y la funcionalidad de los empleados. De lo contrario, comenzarán los problemas asociados con los retrasos en la provisión de acceso, o habrá riesgos de seguridad de la información asociados con derechos de acceso excesivos, lo que es aún peor.
Como saben, "hay siete niñeras de un niño sin un ojo", por lo tanto, una empresa debe desarrollar una metodología que describa la arquitectura del modelo a seguir, la interacción y la responsabilidad de los participantes específicos del proceso para mantenerlo actualizado. Si una empresa tiene muchas áreas de actividad comercial y, en consecuencia, muchas divisiones y departamentos, entonces para cada área (por ejemplo, préstamos, operaciones, servicios remotos, cumplimiento y otros), se deben nombrar comisarios separados como parte del proceso de control de acceso basado en roles. A través de ellos, será posible recibir rápidamente información sobre los cambios en la estructura de la unidad y los derechos de acceso requeridos para cada rol.
Asegúrese de contar con el apoyo del liderazgo de la organización para resolver situaciones de conflicto entre departamentos: participantes en el proceso. Y los conflictos al introducir cualquier proceso nuevo son inevitables, cree nuestra experiencia. Por lo tanto, necesitamos un árbitro que resuelva los posibles conflictos de intereses, para no perder tiempo debido a los malentendidos y sabotajes de otra persona.
NB Un buen comienzo para crear conciencia es la capacitación del personal. Un estudio detallado del funcionamiento del proceso futuro, el papel de cada participante en él minimizará las dificultades de cambiar a una nueva solución.
Lista de verificación
Para resumir, resumimos los pasos principales que debe tomar la organización que planifica la implementación de IdM:
- limpiar datos del personal;
- ingrese un parámetro de identificación único para cada empleado;
- evaluar la disponibilidad de los sistemas de información para la implementación de IdM;
- desarrollar interfaces de interacción con sistemas de información para el control de acceso, si están ausentes, y asignar recursos para estos trabajos;
- desarrollar y construir un modelo a seguir;
- construir un proceso de gestión del modelo a seguir e incluir comisarios de cada línea de negocio;
- seleccione múltiples sistemas para la conexión inicial a IdM;
- crear un equipo de proyecto efectivo;
- Obtenga el apoyo de la gerencia de la compañía;
- para entrenar al personal.
El proceso de preparación puede ser difícil, por lo tanto, si es posible, involucrar a consultores.
Implementar una solución IdM no es un paso fácil y crucial, y para su implementación exitosa, son importantes tanto los esfuerzos de cada lado individualmente: los empleados de los departamentos comerciales, los servicios de TI y de seguridad de la información, como la interacción de todo el equipo en general. Pero los esfuerzos valen la pena: después de la introducción de IdM en la empresa, disminuye el número de incidentes relacionados con poderes excesivos y derechos no autorizados en los sistemas de información; el tiempo de inactividad de los empleados desaparece debido a la falta / larga espera por los derechos necesarios; Debido a la automatización, se reducen los costos de mano de obra y se aumenta la productividad de los servicios de TI y seguridad de la información.