Der nächste Block unserer Veröffentlichungen zu IdM ist der Finanzierung gewidmet. Die beiden schwierigsten und schmerzhaftesten Themen - die Bewertung des IdM-Implementierungsprojekts und seine Begründung vor der Führung.
Die Gesamtkosten des IdM-Projekts setzen sich aus den Kosten für Ausrüstung, Softwarelizenzen, die Arbeit des Auftragnehmers und des Projektteams zusammen. Erfahrungsgemäß sind die Hauptschwierigkeiten mit der Bewertung der Kosten für die Implementierung des Systems verbunden. Beginnen wir also mit diesem Problem.
Schwierigkeiten bei der Bewertung entstehen normalerweise aufgrund unzureichender Ausarbeitung der Systemanforderungen. Aufgrund der Merkmale der IdM-Technologie ist es objektiv schwierig, diese Aufgabe auf dem richtigen Niveau zu erfüllen, ohne Auftragnehmer einzubeziehen. Noch schwieriger ist es jedoch, das Management von der Notwendigkeit zu überzeugen, ein Projekt zu finanzieren,
um sich auf die Implementierung
vorzubereiten. Daher akzeptiert das Unternehmen häufig nur die Risiken und hofft, dass sie nicht realisiert werden.
Die Risiken sind sehr ernst. Sie bestehen insbesondere darin, dass der Auftragnehmer die Arbeitskosten überbewertet, um seine eigenen Projektrisiken zu verringern, und dann das Budget für das Projekt möglicherweise überhaupt nicht vereinbart wird. Oder umgekehrt - eine optimistische Bewertung wird abgegeben und geschützt, aber während der Implementierung wird klar, dass es unmöglich ist, die zugewiesenen Aufgaben für das angegebene Budget zu lösen.
Wir werden versuchen, Organisationen bei der Vorbereitung und Bewertung von IdM-Implementierungsprojekten zu unterstützen: Wir werden die Hauptblöcke der Implementierungsarbeit und die Faktoren, die ihre Komplexität erheblich beeinflussen, genauer untersuchen.
Umfrage
In der Regel werden in der ersten Phase Anforderungen gesammelt und analysiert, technische Lösungen entworfen - kurz gesagt, alles entspricht in etwa den Implementierungsprojekten anderer Informationssysteme.
Es umfasst Interviews mit Vertretern der Hauptakteure des Projekts, das Sammeln von Daten zu Zugriffskontrollprozessen, Informationssystemen innerhalb des Projekts, zur Verwaltung der Benutzer in ihnen und zur Integration in sie.
Die Kosten für diese Phase hängen von der Anzahl der Mitarbeiter ab, die befragt werden müssen, und von den Informationssystemen, für die Daten gesammelt werden müssen. Die Komplexität ist mehr oder weniger vorhersehbar und die durchschnittliche Dauer beträgt 1-2 Monate.
Anschluss von Informationssystemen
Einer der wichtigsten technischen Arbeitsblöcke ist die Verbindung von Informationssystemen. Es wird in Testumgebungen durchgeführt, deren Bereitstellung für einige Unternehmen zum Stolperstein werden kann. Möglicherweise befinden sich keine Testumgebungen, unter ihnen befinden sich möglicherweise keine Server, Hände usw. Meistens wirkt sich dies nur auf die Projektlaufzeit aus, kann sich aber auch auf das Budget auswirken, beispielsweise bei fehlender Ausrüstung.
Um ein Informationssystem in IdM zu integrieren, muss es häufig konfiguriert werden, indem Schnittstellen für die technische Interaktion bereitgestellt werden. Wenn das Informationssystem von einer Drittorganisation unterstützt wird, können zusätzliche Kosten anfallen. Einige Anbieter (z. B. Diasoft) bieten die erforderlichen technischen Schnittstellen an, jedoch gegen eine zusätzliche Gebühr. Selbst wenn der Kunde das System selbst wartet, hat er möglicherweise nicht genügend Zeit oder die Kompetenz seiner eigenen Spezialisten, um die erforderlichen technischen Schnittstellen bereitzustellen. Dies wirkt sich auf den Zeitpunkt und das Budget des Projekts aus.
Informationssysteme stellen über Konnektoren eine Verbindung zu IdM her. Der Anbieter kann behaupten, dass er über vorgefertigte Konnektoren für alle Ihre Informationssysteme verfügt, aber in Wirklichkeit ist dies nicht so einfach, und wie sie sagen, gibt es Nuancen.
Informationssysteme, die eine standardisierte Interaktionsschnittstelle (z. B. AD) bereitstellen, reduzieren das Risiko, dass ein vorgefertigter Konnektor nicht funktioniert, praktisch auf Null. Es gibt jedoch eine Reihe von Informationssystemen (z. B. 1C und SAP), mit denen Sie verschiedene Optionen für die Interaktion mit IdM bereitstellen können: Uploads, Webdienste und Präsentationen in der Datenbank. Für Sie ist möglicherweise eine bestimmte Option vorzuziehen, die der Hersteller des Steckverbinders nicht hat, und sie muss weiterentwickelt werden. Und das ist wieder Zeit und Geld.
Möglicherweise gibt es eine Menge anderer Funktionen, die den Zeitpunkt und die Kosten des Projekts erheblich beeinflussen.
Die Schnittstelle kann standardisiert werden, wird jedoch über den Integrationsbus bereitgestellt, für den möglicherweise auch ein Connector-Upgrade erforderlich ist. Wenn der Anbieter sein Informationssystem für Sie angepasst hat, funktioniert der Standard-Connector möglicherweise nicht - und es ist erneut erforderlich, Budgets und Zeit für die Überarbeitung festzulegen.
Eine wichtige Rolle bei der Verbindung von Informationssystemen mit IdM spielen die technischen Details der Zugangskontrolle zu Informationssystemen. Oft sind sie im Anfangsstadium nicht sichtbar, führen aber letztendlich zu einer Erhöhung des Arbeitsvolumens. Wenn ein neuer Benutzer beispielsweise Zugriff auf ein Informationssystem erhalten soll, muss er in zwei anderen registriert sein.
Manchmal sind zusätzliche oder integrierte Vorgänge, die IdM ausführen muss, unscharf. Wenn Sie beispielsweise nicht nur ein neues Postfach für einen neuen Mitarbeiter in Exchange erstellen möchten, sondern nach bestimmten Regeln einen Speicher für ihn auswählen möchten. Bei einem der Projekte sind wir auf ein Informationssystem gestoßen, bei dem es technisch unmöglich ist, einem Benutzer mehr als eine Rolle zuzuweisen. Als dies klar wurde, musste ich den darin enthaltenen Zugriffskontrollprozess komplett neu gestalten, um den Prozess des Anforderns zusätzlicher Berechtigungen zu berücksichtigen, die viele sein können. Es können sehr viele solcher Kleinigkeiten auftreten, dies sind alles zusätzliche Arbeiten, und nicht jedes IdM-System kann sie unterstützen.
Angesichts dieser Merkmale kann die Komplexität der Verbindung eines Informationssystems mit IdM je nach Infrastruktur des Unternehmens erheblich variieren, und die Dauer kann zwischen zwei Tagen und zwei Monaten liegen. Infolgedessen verringert der Mangel an detaillierten Informationen in der Bewertungsphase die Zuverlässigkeit erheblich und erhöht die Projektrisiken.
Geschäftsprozesse
Ein wesentlicher Arbeitsblock, der sich auch erheblich auf die Projektkosten auswirken kann, ist die Einrichtung von Prozessen zur Übermittlung und Genehmigung von Zugriffsanforderungen. Wenn Ihre Prozesse von der ausgewählten Software unterstützt werden, ist das Einrichten nicht schwierig. Ohne die Prozesse genau zu kennen, können Sie jedoch nur sehr grob abschätzen, wie viel Software sie unterstützt. Dementsprechend ist es schwierig zu verstehen, ob und in welchem Umfang eine Verfeinerung erforderlich ist.
Viele Probleme der Prozessautomatisierung hängen damit zusammen, dass nur wenige Menschen verstehen, wie sie im Detail arbeiten. Daher müssen Prozesse häufig bereits während des Pilotbetriebs von IdM neu konfiguriert werden. Das Ausmaß der Änderung des IdM-Systems hängt von der Anzahl der nicht berücksichtigten Nuancen ab. Hier sind einige Dinge zu beachten:
- Arten von IT-Benutzern - zum Beispiel Vollzeit- / Nicht-Mitarbeiter. Oft arbeiten sie in völlig unterschiedlichen Geschäftsprozessen.
- Teilnehmer bearbeiten . Es sollte verstanden werden, welche Rollen an den Prozessen beteiligt sind und wo das System Daten darüber empfängt. Wenn beispielsweise ein Manager in den Prozess der Genehmigung eines Antrags involviert ist, müssen die Manager von Mitarbeitern im Personalsystem eingerichtet sein oder irgendwie in IdM einsteigen.
- Zusätzliche Daten für Prozesse . Wenn für den Prozess beispielsweise Daten zur Schulung des Mitarbeiters erforderlich sind, müssen Sie wissen, woher IdM diese bezieht. Dies ist entweder eine zusätzliche Integration oder ein manueller Prozess.
- Wege der Koordination . Sie können für verschiedene Mitarbeiter unterschiedlich sein, abhängig von der Behörde oder den äußeren Bedingungen.
- Ausnahmesituationen . Es ist wichtig, das Verhalten des Systems in Situationen zu gewährleisten, in denen die Person, die für die Vereinbarung eines Urlaubs verantwortlich ist oder entlassen wird, wie zu handeln ist und woher die erforderlichen Informationen stammen.
- Warnungen . Im Rahmen automatisierter Prozesse sendet das IdM-System Benachrichtigungen an die Teilnehmer. Die Frage ist, wer welche Schritte und welche Informationen unternehmen soll.
- Antragsformulare . Oft muss ein Unternehmen die Anmelde- oder Genehmigungsformulare von Anträgen anpassen, um beispielsweise zusätzliche Informationen für die Entscheidungsfindung anzuzeigen.
Alle diese Elemente können in jedem Unternehmen ihre eigenen Merkmale aufweisen und sind ohne ein detailliertes Eintauchen nicht sichtbar. Manchmal kann sogar ein einfaches Element des Prozesses zu einer spürbaren Änderung des Arbeitsvolumens führen.
Wenn beispielsweise in der Verordnung die Regel enthalten ist, dass ein Antrag, der nicht innerhalb von zwei Werktagen vereinbart wurde, eskaliert werden muss, wirft dies eine ganze Reihe von Fragen für IdM auf: Wo ein Produktionskalender aufbewahrt werden soll, wer dies tun wird, kann in einen beliebigen integriert werden entweder ein bestehendes System usw. Daher können die Kosten für die Anpassung bestimmter Software zur Automatisierung von Zugriffssteuerungsprozessen (und im Allgemeinen deren Notwendigkeit) erst nach einer detaillierten Zeichnung dieser Prozesse geschätzt werden. Andernfalls besteht das Risiko, dass die Automatisierung nicht vollständig implementiert werden kann.
Berichte
Entgegen den Erwartungen der Benutzer zeigt die Praxis, dass Berichte selten typisch sind. Angesichts der Unterschiede in den Details der Prozesse (z. B. ein einfacher Unterschied in den Attributen einer Mitarbeiterkarte) sind jedes Mal leicht unterschiedliche Berichte erforderlich. Ihre Vorbereitung nimmt nur unter der Bedingung viel Zeit in Anspruch, dass das IdM-Systemüberwachungsprotokoll alle erforderlichen Daten enthält. Und die Verfügbarkeit dieser Daten ohne die Form von Berichtsvorlagen zu beurteilen, wird nicht zuverlässig funktionieren. Daher ist es für die Bewertung sehr nützlich, die Formen der gewünschten Berichte zu haben, da sonst eine Neukonfiguration oder Verarbeitung des Audits erforderlich sein kann.
Die Dokumentation
Dies ist ein sehr heimtückischer Arbeitsblock des Projekts. Einige Unternehmen haben Standards für die Projektdokumentation - eine Liste von Dokumenten und Anforderungen für ihre Gestaltung (z. B. laut GOST). Einige Organisationen gehen weniger formal mit der Dokumentation um und sind mit der vom Anbieter verfügbaren Dokumentation zufrieden.
Da die Prozesse einer bestimmten Organisation im IdM-System konfiguriert sind, ist die interne Dokumentation für Software selten geeignet. Sie haben Ihre eigenen Benutzerkategorien - Mitarbeiter, Manager, Eigentümer der Ressource - sie haben bestimmte Antragsformulare, Schnittstellenabschnitte, Berichte, Benachrichtigungen und benötigen separate Anweisungen. Es wird auch schwierig sein, das System ohne Erläuterung zu entwickeln und ohne Administratoranweisungen in Betrieb zu nehmen. Manchmal sind zusätzlich zur Dokumentation Schulungsmaterialien erforderlich - Präsentationen, Videos. Wenn die Anzahl der Personen, mit denen all diese Materialien vereinbart werden müssen, groß genug ist, kann die Entwicklung der Dokumentation mehrere hundert Personentage erfordern, obwohl dieser Block im Anfangsstadium stark unterschätzt wird.
Umstellung des Systems auf eine produktive Umgebung und Pilotbetrieb
Diese Stadien sind mehr oder weniger bestimmt. Die Hauptaufgaben, die sich irgendwie auf die Dauer und die Kosten der Arbeit auswirken können, sind das Laden und Verknüpfen von Daten.
Im IdM-System müssen alle erforderlichen Verzeichnisse ausgefüllt, die für die Rollen Verantwortlichen zugewiesen, der Berechtigungskatalog ausgefüllt und die Rollen konfiguriert werden. Dies kann im automatischen Modus erfolgen, dann werden die entsprechenden Daten benötigt.
Das Zuordnen von Mitarbeiterkarten zu Konten erfolgt ebenfalls größtenteils automatisch gemäß den angegebenen Regeln. Es bleibt jedoch immer ein gewisser Prozentsatz der Konten übrig, die manuell verknüpft werden müssen. Und manchmal ist es nicht so einfach, ihre Besitzer zu finden.
Der Pilotbetrieb findet in den meisten Unternehmen innerhalb eines Monats statt und wird in Bezug auf die Kosten fast immer genau vorhergesagt.
Zusammenfassung
Um die vollen Kosten des IdM-Implementierungsprojekts beurteilen zu können, müssen die Kosten für Ausrüstung, Lizenzen und manchmal die Zeit des Projektteams berücksichtigt werden. Diese Probleme sind jedoch aufgrund der Komplexität ihrer Berechnung und gleichzeitig einer erheblichen Auswirkung auf den Erfolg des Projekts oft nicht so schwierig wie die Bewertung der Implementierung des Systems.
Ich habe versucht, alle Hauptfaktoren zu erfassen, die die Dauer und Komplexität der IdM-Implementierung erheblich beeinflussen, und ich hoffe, dass dies Unternehmen dabei hilft, wichtige Punkte bei der Vorbereitung des Projekts zu berücksichtigen, umfassendere Anforderungen zu formulieren und eine bessere Bewertung zu erhalten, um das Projekt letztendlich zu reduzieren Risiken von Budgetüberschreitungen und Humanressourcen.
In einer Woche werde ich versuchen, die besten Rechtfertigungspraktiken des Projektmanagements für die Implementierung von IdM für Sie zu sammeln.