في المقالات السابقة ، ناقشنا بالفعل ماهية إدارة الهوية ، وكيفية فهم ما إذا كانت مؤسستك تحتاج إلى مثل هذا النظام ، والمهام التي تحلها ، وكيف تبرر ميزانية التنفيذ قبل الإدارة. اليوم سنتحدث عن الخطوات المهمة التي يجب على المنظمة نفسها أن تمر بها للوصول إلى المستوى الصحيح من النضج قبل تطبيق نظام إدارة الهوية. بعد كل شيء ، تم تصميم IdM لأتمتة العمليات ، وأنه من المستحيل لأتمتة الفوضى.
إلى أن تنمو الشركة بحجم مؤسسة كبيرة وتتراكم مجموعة كبيرة من أنظمة العمل المختلفة ، فإنها عادةً لا تفكر في التحكم في الوصول. لذلك ، فإن عمليات الحصول على الحقوق والسيطرة على الصلاحيات فيها ليست منظمة وغير قابلة للتحليل. يملأ الموظفون طلبات الوصول كما يحلو لهم ، كما أن عملية الموافقة غير رسمية ، وأحيانًا لا وجود لها. من المستحيل معرفة بسرعة وصول الموظف ومن قام بتنسيقه وعلى أي أساس.
بالنظر إلى أن عملية أتمتة الوصول تؤثر على جانبين رئيسيين - بيانات الموظفين وبيانات أنظمة المعلومات المراد دمجها ، سننظر في الخطوات اللازمة لضمان سير تنفيذ IdM بسلاسة ولا يتسبب في الرفض:
- تحليل عمليات الموظفين وتحسين دعم قاعدة البيانات للعاملين في أنظمة شؤون الموظفين.
- تحليل بيانات المستخدم والحقوق ، بالإضافة إلى تحديث طرق التحكم في الوصول في الأنظمة المستهدفة التي يتم تخطيطها لتكون مرتبطة بـ IdM.
- الأنشطة التنظيمية ومشاركة الموظفين في عملية التحضير لتنفيذ إدارة الهوية.
بيانات الموارد البشرية
قد يكون مصدر بيانات الموظفين في المؤسسة واحدًا ، أو ربما واحدًا. على سبيل المثال ، يمكن أن يكون للمؤسسة شبكة فروع واسعة إلى حد ما ، ويمكن لكل فرع استخدام قاعدة الموظفين الخاصة به.
بادئ ذي بدء ، تحتاج إلى فهم ما هي البيانات الأساسية عن الموظفين المخزنة في نظام إدارة شؤون الموظفين ، وما هي الأحداث التي يتم تسجيلها ، وتقييم اكتمالها وهيكلها.
يحدث غالبًا أنه لا يتم تسجيل جميع أحداث الموظفين في مصدر الموظفين (وحتى في كثير من الأحيان يتم تسجيلها خارج الوقت المناسب وليس بشكل صحيح). فيما يلي بعض الأمثلة النموذجية:
- لا يتم تسجيل أيام العطل وفئاتها وشروطها (عادية أو طويلة) ؛
- العمل بدوام جزئي غير ثابت: على سبيل المثال ، أثناء إجازة طويلة لرعاية طفل ، يمكن للموظف العمل في وقت واحد على أساس العمل بدوام جزئي ؛
- الوضع الفعلي للمرشح أو الموظف قد تغير بالفعل (القبول / النقل / الفصل) ، وتأخر ترتيب هذا الحدث ؛
- يتم نقل الموظف إلى وظيفة جديدة بدوام كامل من خلال الفصل ، في حين أن نظام الموظفين لا يسجل المعلومات التي تفيد بأن هذا هو فصل فني.
يجدر أيضًا الانتباه بشكل خاص إلى تقييم جودة البيانات ، نظرًا لأن أي أخطاء أو عدم دقة وردت من مصدر موثوق ، والتي تمثل أنظمة محاسبة الموظفين ، يمكن أن تكون مكلفة في المستقبل وتتسبب في الكثير من المشاكل عند تنفيذ IdM. على سبيل المثال ، غالبًا ما يشغل موظفو الموارد البشرية مناصب الموظفين في نظام الموظفين بتنسيق مختلف: الأحرف الكبيرة والصغيرة ، والاختصارات ، والأعداد المختلفة للمسافات وما شابه. نتيجة لذلك ، يمكن إصلاح نفس الموقف في نظام الموظفين في الأشكال التالية:
- مدير أول
- مدير أول
- مدير أول
- الفن. مدير ...
غالبًا ما يتعين عليك التعامل مع الاختلافات في تهجئة اسمك:
- Shmelyova Natalia Gennadyevna ،
- شميليفا ناتاليا جناديفنا ...
لمزيد من الأتمتة ، فإن مثل هذه الفوضى غير مقبولة ، خاصةً إذا كانت هذه السمات علامة رئيسية لتحديد الهوية ، أي أن البيانات حول الموظف وبيانات اعتماده في الأنظمة تتم مقارنتها بدقة بالاسم واللقب.
بالإضافة إلى ذلك ، لا ينبغي أن ننسى احتمال وجود في الشركة من تحمل أسماء تحمل أسماء تحمل أسماء كاملة. إذا كان لدى المؤسسة ألف موظف ، فقد يكون هناك القليل من هذه المصادفات ، وإذا كان هناك 50 ألفًا ، فقد يصبح هذا عقبة كأداء أمام التشغيل الصحيح لنظام IdM.
بتلخيص كل ما سبق ، نخلص إلى أنه: يجب توحيد تنسيق إدخال البيانات في قاعدة موظفي المنظمة. يجب تحديد معلمات إدخال الاسم الكامل والوظائف والوحدات بوضوح. الخيار الأفضل هو عندما لا يقوم موظف الموظفين بالقيادة يدويًا في البيانات ، ولكن يختارها من دليل تم إنشاؤه مسبقًا لهيكل الإدارات والمناصب باستخدام وظيفة "تحديد" المتاحة في قاعدة الموظفين.
لتجنب المزيد من الأخطاء في المزامنة وعدم التعامل مع التصحيح اليدوي للتناقضات في التقارير ، فإن
الطريقة الأكثر تفضيلاً لتحديد الموظفين هي إدخال معرف لكل موظف في المنظمة. سيتم تعيين مثل هذا المعرف لكل موظف جديد وسيظهر في نظام الموظفين وفي أنظمة معلومات المؤسسة كسمة إلزامية للحساب. لا يهم إذا كان يتكون من أرقام أو أحرف - الشيء الرئيسي هو أنه فريد لكل موظف (على سبيل المثال ، يستخدم الكثيرون رقم موظفي الموظف). في المستقبل ، سيسهل إدخال هذه السمة إلى حد كبير ربط البيانات حول الموظف في مصدر الموظفين بحساباته وبيانات اعتماده في نظم المعلومات.
لذلك ، سوف تحتاج إلى تحليل جميع الخطوات والآليات للمحاسبة الموظفين وترتيبها. من الممكن أن تحتاج بعض العمليات إلى التغيير أو التعديل. هذا عمل شاق ومضني ، لكنه ضروري ، وإلا فإن عدم وجود بيانات واضحة ومنظمة عن أحداث الموظفين سيؤدي إلى أخطاء في معالجتها التلقائية. في أسوأ الحالات ، لا يمكن أتمتة العمليات غير المنظمة على الإطلاق.
الأنظمة المستهدفة
والخطوة التالية هي معرفة عدد أنظمة المعلومات التي نريد دمجها في بنية IdM ، وما هي البيانات المتعلقة بالمستخدمين وحقوقهم المخزنة في هذه الأنظمة ، وكيفية إدارتها.
في العديد من المؤسسات ، يُعتقد أننا سنقوم هنا بتثبيت IdM ، وتكوين الموصلات للأنظمة المستهدفة ، ومع موجة عصا سحرية ، سيعمل كل شيء دون أي جهد إضافي من جانبنا. لذلك ، للأسف ، هذا لا يحدث. في الشركات ، يتطور مشهد نظم المعلومات ويزداد تدريجياً. يمكن أن يكون لكل نظام نهج مختلف لمنح حقوق الوصول ، أي أنه يتم تكوين واجهات مختلفة للتحكم في الوصول. في مكان ما ، يحدث التحكم من خلال واجهة برمجة التطبيقات (واجهة برمجة التطبيقات) ، في مكان ما من خلال قاعدة البيانات باستخدام الإجراءات المخزنة ، في مكان ما قد تكون واجهات التفاعل غائبة تمامًا. يجدر بك أن تكون مستعدًا لحقيقة أنه سيتعين عليك مراجعة العديد من العمليات الحالية لإدارة الحسابات والحقوق في أنظمة المؤسسة: تغيير تنسيق البيانات وتحسين واجهات التفاعل مقدمًا وتخصيص الموارد لهذه الأعمال.
قدوة
من المحتمل أن تصادف مفهوم نموذج الدور حتى في مرحلة اختيار مزود حلول IdM ، لأن هذا هو أحد المفاهيم الأساسية في مجال إدارة حقوق الوصول. في هذا النموذج ، يتم توفير الوصول إلى البيانات من خلال الدور. الدور هو مجموعة من عمليات الوصول التي تكون ضرورية الحد الأدنى للموظف في وضع معين لأداء واجباته الوظيفية.
التحكم في الوصول المستند إلى الدور يحتوي على عدد من المزايا التي لا يمكن إنكارها:
- تعيين بسيط وفعال لحقوق متساوية لعدد كبير من الموظفين ؛
- التغيير التشغيلي لوصول الموظفين الذين لديهم نفس مجموعة الحقوق ؛
- إلغاء التكرار في الحقوق وتحديد الصلاحيات غير المتوافقة للمستخدمين.
يتم بناء مصفوفة الأدوار أولاً بشكل منفصل في كل نظام من أنظمة المؤسسة ، ثم يتم توسيع نطاقه إلى المشهد الكلي لتكنولوجيا المعلومات ، حيث يتم تشكيل أدوار العمل العالمية من أدوار كل نظام. على سبيل المثال ، سيشمل دور "محاسب" دور الأعمال العديد من الأدوار المنفصلة لكل من أنظمة المعلومات المستخدمة في قسم المحاسبة في المؤسسة.
في الآونة الأخيرة ، يعتبر "أفضل الممارسات" هو إنشاء نموذج يحتذى به حتى في مرحلة تطوير التطبيقات وقواعد البيانات وأنظمة التشغيل. في الوقت نفسه ، لا تكون المواقف غير شائعة عندما لا يتم تكوين الأدوار في النظام أو ببساطة لا وجود لها. في هذه الحالة ، يجب على مسؤول هذا النظام إدخال معلومات الحساب في العديد من الملفات والمكتبات والدلائل المختلفة التي توفر الأذونات اللازمة. يتيح لك استخدام الأدوار المحددة مسبقًا منح امتيازات لتنفيذ مجموعة كاملة من العمليات في نظام يحتوي على بيانات مركبة معقدة.
يتم توزيع الأدوار في نظام المعلومات ، كقاعدة عامة ، على الوظائف والوحدات وفقًا لهيكل الموظفين ، ولكن يمكن أيضًا إنشاؤها لبعض عمليات الأعمال. على سبيل المثال ، في مؤسسة مالية ، يشغل العديد من موظفي إدارة التسوية نفس المنصب - المشغل. ولكن داخل القسم يوجد أيضًا توزيع في عمليات منفصلة لأنواع مختلفة من العمليات (خارجية أو داخلية ، بعملات مختلفة ، مع قطاعات مختلفة من المنظمة). حتى يتسنى لكل مجال من مجالات الأعمال بإحدى الإدارات توفير الوصول إلى نظام المعلومات وفقًا للخصائص المطلوبة ، من الضروري إدراج الحقوق في أدوار وظيفية منفصلة. سيوفر هذا الحد الأدنى من الصلاحيات الكافية ، بما في ذلك الحقوق الزائدة ، لكل مجال من مجالات النشاط.
بالإضافة إلى ذلك ، بالنسبة للأنظمة الكبيرة التي تحتوي على مئات الأدوار ، وآلاف المستخدمين ، وملايين الأذونات ، من الممارسات الجيدة استخدام تسلسل هرمي للأدوار ووراثة الامتيازات. على سبيل المثال ، سيرث الدور الرئيسي ، المسؤول ، امتيازات الأدوار الفرعية: المستخدم والقارئ ، حيث يمكن للمسؤول القيام بنفس الشيء مثل المستخدم والقارئ ، بالإضافة إلى أنه سيكون لديه حقوق المسؤول الإضافية. باستخدام التسلسل الهرمي ، ليست هناك حاجة لإعادة تحديد الحقوق نفسها في العديد من الأدوار لوحدة أو نظام واحد.
في المرحلة الأولى ، يمكنك إنشاء أدوار في تلك الأنظمة حيث لا يكون العدد المحتمل من مجموعات الحقوق كبيرًا جدًا ، ونتيجة لذلك ، من السهل إدارة عدد صغير من الأدوار. قد تكون هذه حقوقًا نموذجية يطلبها جميع موظفي الشركة في الأنظمة المتاحة للجمهور مثل Active Directory (AD) ، وأنظمة البريد ، ومدير الخدمة وما شابه. بعد ذلك ، يمكن تضمين مصفوفات الأدوار التي تم إنشاؤها لأنظمة المعلومات في نموذج الدور العام ، مع دمجها في أدوار الأعمال.
باستخدام هذا النهج ، في المستقبل ، عند تطبيق نظام IdM ، سيكون من السهل أتمتة العملية بأكملها لمنح حقوق الوصول استنادًا إلى الأدوار التي تم إنشاؤها للمرحلة الأولى.
ملحوظة: لا تحاول تضمين أكبر عدد ممكن من الأنظمة في التكامل على الفور. في المرحلة الأولى ، يتم ربط الأنظمة ذات بنية أكثر تعقيدًا وهيكل إدارة حقوق الوصول إلى IdM في وضع شبه تلقائي. هذا ، بناءً على أحداث الموظفين ، يدرك فقط الإنشاء التلقائي لتطبيق للوصول ، والذي سيتلقاه المسؤول ، وسيعمل على تكوين الحقوق يدويًا.
بعد الانتهاء بنجاح من المرحلة الأولى ، يمكنك توسيع وظائف النظام ليشمل العمليات التجارية المتقدمة الجديدة ، وأتمتة وتوسيع النطاق بإضافة أنظمة معلومات إضافية.
بمعنى آخر ، من أجل الاستعداد لتنفيذ IdM ، من الضروري تقييم مدى استعداد أنظمة المعلومات للعملية الجديدة والمضي قدماً في تطوير واجهات التفاعل الخارجي لإدارة حسابات المستخدمين وحقوق المستخدم ، إذا كانت هذه الواجهات غير متوفرة في النظام. كما ينبغي معالجة مسألة الإنشاء التدريجي للأدوار في نظم المعلومات من أجل التحكم المتكامل في الوصول.الأنشطة التنظيمية
لا تتجاهل القضايا التنظيمية. في بعض الحالات ، يمكن أن يلعبوا دورًا حاسمًا ، لأن نتيجة المشروع بأكمله غالبًا ما تعتمد على التفاعل الفعال بين الأقسام. للقيام بذلك ، نوصي عادةً بإنشاء فريق من المشاركين في العملية في المنظمة ، والذي سيشمل جميع الوحدات المعنية. نظرًا لأن هذا يمثل عبئًا إضافيًا على الأشخاص ، فحاول أن تشرح مقدمًا لجميع المشاركين في المستقبل دورهم وأهميتهم في بنية التفاعل. إذا كنت "تبيع" فكرة إدارة الهوية في هذه المرحلة لزملائك ، فيمكنك تجنب العديد من الصعوبات في المستقبل.
غالبًا ما تكون أقسام أمن المعلومات أو تكنولوجيا المعلومات هي "أصحاب" مشروع تنفيذ إدارة الهوية في الشركة ، ولا تؤخذ آراء وحدات الأعمال في الاعتبار. هذا خطأ كبير ، لأنهم يعلمون فقط كيف وفي أي عمليات تجارية يتم استخدام كل مورد ، ومن يحتاج إلى الوصول إليه ومن لا يفعل ذلك. لذلك ، في مرحلة الإعداد ، من المهم الإشارة إلى أن مالك العمل هو المسؤول عن النموذج الوظيفي ، حيث يتم تطوير مجموعات حقوق المستخدم (الأدوار) في نظام المعلومات ، وكذلك تحديث هذه الأدوار. نموذج الدور ليس مصفوفة ثابتة تم بناؤها مرة واحدة ويمكنك تهدئة ذلك. هذا "كائن حي" يجب تغييره باستمرار وتحديثه وتطويره ، بعد التغييرات في هيكل المنظمة ووظائف الموظفين. بخلاف ذلك ، إما أن تبدأ المشكلات المرتبطة بالتأخير في توفير الوصول ، أو ستكون هناك مخاطر متعلقة بأمان المعلومات مرتبطة بحقوق الوصول المفرطة ، وهو أمر أسوأ.
كما تعلم ، "هناك سبعة حاضنات بدون عين" ، لذلك ، يجب على الشركة تطوير منهجية تصف هيكل نموذج الدور ، وتفاعل ومسؤولية المشاركين في عملية محددة لتحديثه. إذا كان لدى الشركة العديد من مجالات النشاط التجاري ، وبالتالي العديد من الأقسام والإدارات ، فبالنسبة لكل مجال (على سبيل المثال ، الإقراض ، العمليات ، الخدمات عن بُعد ، الامتثال وغيرها) ، يجب تعيين منسقين منفصلين كجزء من عملية التحكم في الوصول القائمة على الدور. من خلالهم ، سيكون من الممكن تلقي المعلومات بسرعة حول التغييرات في هيكل الوحدة وحقوق الوصول المطلوبة لكل دور.
تأكد من حشد دعم قيادة المنظمة لحل حالات الصراع بين الإدارات - المشاركين في العملية. والصراعات عند تقديم أي عملية جديدة أمر لا مفر منه ، نعتقد تجربتنا. لذلك ، نحتاج إلى محكم يقوم بحل تضارب المصالح المحتمل ، حتى لا نضيع الوقت بسبب سوء فهم شخص آخر وتخريبه.
ملحوظة: بداية جيدة في زيادة الوعي هي تدريب الموظفين. دراسة مفصلة عن سير العملية المستقبلية ، فإن دور كل مشارك فيها يقلل من صعوبات التحول إلى حل جديد.
المرجعية
لتلخيص ، نلخص الخطوات الرئيسية التي ينبغي اتخاذها من قبل المنظمة تخطط لتنفيذ إدارة الهوية:
- تنظيف بيانات الموظفين ؛
- إدخال معلمة تعريف فريدة لكل موظف ؛
- تقييم استعداد نظم المعلومات لتنفيذ إدارة الهوية ؛
- تطوير واجهات التفاعل مع أنظمة المعلومات للتحكم في الوصول ، إذا كانت غائبة ، وتخصيص الموارد لهذه الأعمال ؛
- لتطوير وبناء نموذج يحتذى به ؛
- بناء عملية إدارة نموذج القدوة وتضمين القيمين من كل خط أعمال فيها ؛
- حدد أنظمة متعددة للاتصال الأولي بـ IdM ؛
- إنشاء فريق مشروع فعال ؛
- حشد دعم إدارة الشركة ؛
- لتدريب الموظفين.
قد تكون عملية الإعداد صعبة ، وبالتالي ، إذا أمكن ، إشراك الاستشاريين.
إن تنفيذ حل IdM ليس خطوة سهلة وحاسمة ، وللتنفيذ الناجح ، كل من جهود كل جانب على حدة - موظفي وحدات العمل وخدمات تكنولوجيا المعلومات وأمن المعلومات ، وتفاعل الفريق بأكمله ككل أمر مهم. لكن الجهود تستحق كل هذا العناء: بعد إدخال IdM في الشركة ، يتناقص عدد الحوادث المتعلقة بالسلطات المفرطة والحقوق غير المصرح بها في أنظمة المعلومات ؛ يختفي تعطل الموظف بسبب نقص / الانتظار الطويل للحقوق اللازمة ؛ بسبب الأتمتة ، يتم تخفيض تكاليف العمالة وزيادة إنتاجية تكنولوجيا المعلومات وخدمات أمن المعلومات.