In früheren Artikeln haben wir bereits erläutert, was IdM ist, wie Sie verstehen, ob Ihr Unternehmen ein solches System benötigt, welche Aufgaben es löst und wie das Implementierungsbudget gegenüber dem Management gerechtfertigt werden kann. Heute werden wir über die wichtigen Schritte sprechen, die die Organisation selbst durchlaufen muss, um den richtigen Reifegrad zu erreichen, bevor das IdM-System implementiert wird. Schließlich ist IdM darauf ausgelegt, Prozesse zu automatisieren, und es ist unmöglich, das Chaos zu automatisieren.
Bis das Unternehmen die Größe eines großen Unternehmens erreicht und eine Vielzahl unterschiedlicher Geschäftssysteme ansammelt, denkt es normalerweise nicht an die Zugriffskontrolle. Daher sind die Prozesse zur Erlangung von Rechten und zur Kontrolle der darin enthaltenen Befugnisse nicht strukturiert und schwer zu analysieren. Mitarbeiter füllen Anträge auf Zugang nach Belieben aus, der Genehmigungsprozess ist ebenfalls nicht formalisiert und existiert manchmal einfach nicht. Es ist unmöglich, schnell herauszufinden, welchen Zugang ein Mitarbeiter hat, wer ihn koordiniert hat und auf welcher Grundlage.
Da der Prozess der Zugriffsautomatisierung zwei Hauptaspekte betrifft - Personaldaten und Daten von Informationssystemen, in die integriert werden soll, werden wir die Schritte prüfen, die erforderlich sind, um sicherzustellen, dass die Implementierung von IdM reibungslos verläuft und keine Ablehnung verursacht:
- Analyse von Personalprozessen und Optimierung der Datenbankunterstützung für Mitarbeiter in Personalsystemen.
- Analyse von Benutzer- und Rechte-Daten sowie Aktualisierung der Zugriffssteuerungsmethoden in Zielsystemen, deren Verbindung mit IdM geplant ist.
- Organisatorische Aktivitäten und Einbeziehung der Mitarbeiter in den Vorbereitungsprozess für die Implementierung von IdM.
HR-Daten
Die Quelle für Personaldaten in der Organisation kann eine oder mehrere sein. Beispielsweise kann eine Organisation über ein ziemlich breites Filialnetz verfügen, und jede Filiale kann ihre eigene Personalbasis verwenden.
Zunächst müssen Sie verstehen, welche Basisdaten über Mitarbeiter im Personalmanagementsystem gespeichert sind, welche Ereignisse aufgezeichnet werden und deren Vollständigkeit und Struktur bewerten.
Es kommt häufig vor, dass nicht alle Personalereignisse in der Personalquelle vermerkt werden (und noch häufiger werden sie verspätet und nicht ganz korrekt vermerkt). Hier einige typische Beispiele:
- Feiertage werden nicht erfasst, ihre Kategorien und Bedingungen (regelmäßig oder lang);
- Teilzeitbeschäftigung wird nicht erfasst: Während eines langen Urlaubs zur Betreuung eines Kindes kann ein Mitarbeiter gleichzeitig Teilzeit arbeiten.
- Der tatsächliche Status des Bewerbers oder Mitarbeiters hat sich bereits geändert (Zulassung / Versetzung / Entlassung), und die Bestellung für diese Veranstaltung verzögert sich.
- Der Mitarbeiter wird durch Entlassung in eine neue Vollzeitstelle versetzt, während das Personalsystem keine Informationen darüber aufzeichnet, dass es sich um eine technische Entlassung handelt.
Besonderes Augenmerk sollte auch auf die Bewertung der Datenqualität gelegt werden, da Fehler und Ungenauigkeiten, die von einer vertrauenswürdigen Quelle stammen, bei der es sich um Personalabrechnungssysteme handelt, in Zukunft kostspielig sein und bei der Implementierung von IdM viele Probleme verursachen können. Beispielsweise besetzen Personalverantwortliche häufig die Positionen von Mitarbeitern im Personalsystem in einem anderen Format: Groß- und Kleinbuchstaben, Abkürzungen, unterschiedliche Anzahl von Leerzeichen und dergleichen. Infolgedessen kann dieselbe Position im Personalsystem in den folgenden Variationen festgelegt werden:
- Senior Manager
- Senior Manager
- Senior Manager
- Art. Manager ...
Oft müssen Sie sich mit Unterschieden in der Schreibweise Ihres Namens auseinandersetzen:
- Shmelyova Natalia Gennadyevna,
- Shmeleva Nataliya Gennadievna ...
Für die weitere Automatisierung ist ein solches Durcheinander nicht akzeptabel, insbesondere wenn diese Attribute ein Schlüsselzeichen für die Identifizierung sind, dh Daten über den Mitarbeiter und seine Anmeldeinformationen in den Systemen werden genau nach Vor- und Nachnamen verglichen.
Darüber hinaus sollten wir nicht vergessen, dass Namensvetter und vollständige Namensvetter möglicherweise in der Gesellschaft vertreten sind. Wenn eine Organisation tausend Mitarbeiter hat, kann es nur wenige solche Zufälle geben, und wenn 50.000, kann dies ein kritisches Hindernis für den ordnungsgemäßen Betrieb des IdM-Systems werden.
Zusammenfassend kommen wir zu dem Schluss, dass das Format für die Eingabe von Daten in die Personalbasis des Unternehmens standardisiert sein sollte. Die Eingabeparameter des vollständigen Namens, der Positionen und Einheiten sollten klar definiert sein. Die beste Option ist, wenn der Personalmitarbeiter die Daten nicht manuell eingibt, sondern sie mithilfe der in der Personalbasis verfügbaren Funktion „Auswählen“ aus einem vorab erstellten Verzeichnis der Struktur von Abteilungen und Positionen auswählt.
Um weitere Fehler bei der Synchronisierung zu vermeiden und die manuelle Korrektur von Abweichungen in Berichten nicht zu behandeln, ist die
bevorzugte Methode zur Identifizierung von Mitarbeitern die Eingabe einer ID für jeden Mitarbeiter der Organisation. Eine solche Kennung wird jedem neuen Mitarbeiter zugewiesen und erscheint sowohl im Personalsystem als auch in den Informationssystemen der Organisation als obligatorisches Attribut des Kontos. Es spielt keine Rolle, ob es aus Zahlen oder Buchstaben besteht - die Hauptsache ist, dass es für jeden Mitarbeiter eindeutig ist (zum Beispiel verwenden viele die Personalnummer des Mitarbeiters). In Zukunft wird die Einführung dieses Attributs die Verknüpfung von Daten über den Mitarbeiter in der Personalquelle mit seinen Konten und Anmeldeinformationen in Informationssystemen erheblich erleichtern.
Daher müssen alle Schritte und Mechanismen für die Personalabrechnung analysiert und in Ordnung gebracht werden. Es ist möglich, dass einige Prozesse geändert oder modifiziert werden müssen. Dies ist eine mühsame und mühsame Arbeit, die jedoch erforderlich ist. Andernfalls führt das Fehlen klarer und strukturierter Daten zu Personalereignissen zu Fehlern bei der automatischen Verarbeitung. Im schlimmsten Fall können unstrukturierte Prozesse überhaupt nicht automatisiert werden.
Zielsysteme
Der nächste Schritt besteht darin, herauszufinden, wie viele Informationssysteme wir in die IdM-Struktur integrieren möchten, welche Daten über Benutzer und ihre Rechte in diesen Systemen gespeichert sind und wie diese verwaltet werden.
In vielen Organisationen wird davon ausgegangen, dass wir hier IdM installieren, die Konnektoren für die Zielsysteme konfigurieren und mit der Welle eines Zauberstabs alles ohne zusätzlichen Aufwand von unserer Seite funktionieren wird. Leider passiert es nicht. In Unternehmen entwickelt sich die Landschaft der Informationssysteme und wächst allmählich. Jedes der Systeme kann einen anderen Ansatz zum Gewähren von Zugriffsrechten haben, dh es werden unterschiedliche Zugriffssteuerungsschnittstellen konfiguriert. Irgendwo erfolgt die Steuerung über die API (Anwendungsprogrammierschnittstelle), irgendwo über die Datenbank unter Verwendung gespeicherter Prozeduren, irgendwo können Interaktionsschnittstellen vollständig fehlen. Es lohnt sich, darauf vorbereitet zu sein, dass Sie viele vorhandene Prozesse zur Verwaltung von Konten und Rechten in den Systemen des Unternehmens überprüfen müssen: Ändern Sie das Datenformat, verfeinern Sie die Interaktionsschnittstellen im Voraus und weisen Sie Ressourcen für diese Arbeiten zu.
Vorbild
Sie werden wahrscheinlich schon bei der Auswahl eines IdM-Lösungsanbieters auf das Konzept eines Vorbilds stoßen, da dies eines der Schlüsselkonzepte im Bereich der Verwaltung von Zugriffsrechten ist. In diesem Modell wird der Datenzugriff über eine Rolle bereitgestellt. Eine Rolle ist eine Reihe von Zugriffen, die ein Mitarbeiter in einer bestimmten Position nur minimal benötigt, um seine funktionalen Aufgaben zu erfüllen.
Die rollenbasierte Zugriffskontrolle bietet eine Reihe unbestreitbarer Vorteile:
- einfache und effiziente Zuweisung gleicher Rechte an eine große Anzahl von Mitarbeitern;
- betriebliche Änderung des Zugangs für Mitarbeiter mit denselben Rechten;
- Beseitigung der Redundanz von Rechten und Abgrenzung inkompatibler Befugnisse für Benutzer.
Die Rollenmatrix wird zunächst in jedem System des Unternehmens separat erstellt und dann auf die gesamte IT-Landschaft skaliert, in der aus den Rollen jedes Systems globale Geschäftsrollen gebildet werden. Beispielsweise umfasst die Geschäftsrolle "Buchhalter" mehrere separate Rollen für jedes der in der Buchhaltungsabteilung eines Unternehmens verwendeten Informationssysteme.
In jüngster Zeit gilt es als „Best Practice“, bereits in der Phase der Entwicklung von Anwendungen, Datenbanken und Betriebssystemen ein Vorbild zu erstellen. Gleichzeitig sind Situationen nicht ungewöhnlich, in denen Rollen nicht im System konfiguriert sind oder einfach nicht vorhanden sind. In diesem Fall muss der Administrator dieses Systems die Kontoinformationen in verschiedene Dateien, Bibliotheken und Verzeichnisse eingeben, die die erforderlichen Berechtigungen bereitstellen. Durch die Verwendung vordefinierter Rollen können Sie Berechtigungen für die Ausführung einer ganzen Reihe von Vorgängen in einem System mit komplexen zusammengesetzten Daten erteilen.
Rollen im Informationssystem werden in der Regel entsprechend der Personalstruktur für Stellen und Einheiten verteilt, können aber auch für bestimmte Geschäftsprozesse angelegt werden. In einer Finanzorganisation beispielsweise nehmen mehrere Mitarbeiter der Abwicklungsabteilung dieselbe Position ein - den Betreiber. Innerhalb der Abteilung gibt es jedoch auch eine Verteilung in separate Prozesse für verschiedene Arten von Vorgängen (extern oder intern, in verschiedenen Währungen, mit verschiedenen Segmenten der Organisation). Damit jeder Geschäftsbereich einer Abteilung den Zugriff auf das Informationssystem gemäß den erforderlichen Besonderheiten ermöglicht, müssen Rechte in separaten Funktionsrollen enthalten sein. Dies bietet für jeden Tätigkeitsbereich ein Mindestmaß an Befugnissen, ohne übermäßige Rechte.
Darüber hinaus empfiehlt es sich, für große Systeme mit Hunderten von Rollen, Tausenden von Benutzern und Millionen von Berechtigungen eine Rollenhierarchie und die Vererbung von Berechtigungen zu verwenden. Beispielsweise erbt die übergeordnete Rolle, der Administrator, die Berechtigungen der untergeordneten Rollen: Benutzer und Leser, da der Administrator dasselbe wie der Benutzer und der Leser tun kann und zusätzliche Administratorrechte besitzt. Bei Verwendung einer Hierarchie müssen dieselben Rechte nicht in mehreren Rollen eines Moduls oder Systems erneut angegeben werden.
In der ersten Phase können Sie Rollen in Systemen erstellen, in denen die mögliche Anzahl von Rechtekombinationen nicht sehr groß ist und daher eine kleine Anzahl von Rollen einfach verwaltet werden kann. Dies können typische Rechte sein, die von allen Mitarbeitern des Unternehmens in öffentlich verfügbaren Systemen wie Active Directory (AD), Mailsystemen, Service Manager und dergleichen benötigt werden. Anschließend können die erstellten Rollenmatrizen für Informationssysteme in das allgemeine Rollenmodell aufgenommen und zu Geschäftsrollen kombiniert werden.
Mit diesem Ansatz wird es in Zukunft bei der Implementierung des IdM-Systems einfach sein, den gesamten Prozess der Gewährung von Zugriffsrechten basierend auf den erstellten Rollen der ersten Stufe zu automatisieren.
NB Versuchen Sie nicht, so viele Systeme wie möglich sofort in die Integration einzubeziehen. In der ersten Phase lassen sich Systeme mit einer komplexeren Architektur und einer Verwaltungsstruktur für Zugriffsrechte am besten halbautomatisch mit IdM verbinden. Das heißt, basierend auf Personalereignissen, nur die automatische Generierung einer Zugriffsanwendung zu realisieren, die vom Administrator empfangen wird, und er wird die Rechte manuell konfigurieren.
Nach erfolgreichem Abschluss der ersten Phase können Sie die Systemfunktionalität auf neue erweiterte Geschäftsprozesse erweitern, die Automatisierung und Skalierung durch Hinzufügen zusätzlicher Informationssysteme abschließen.
Mit anderen Worten, um sich auf die Implementierung von IdM vorzubereiten, ist es erforderlich, die Bereitschaft von Informationssystemen für den neuen Prozess zu bewerten und externe Interaktionsschnittstellen für die Verwaltung von Benutzerkonten und Benutzerrechten zu entwickeln, falls solche Schnittstellen im System nicht verfügbar sind. Das Problem der schrittweisen Schaffung von Rollen in Informationssystemen für die integrierte Zugangskontrolle sollte ebenfalls angesprochen werden.Organisatorische Aktivitäten
Ignorieren Sie keine organisatorischen Probleme. In einigen Fällen können sie eine entscheidende Rolle spielen, da das Ergebnis des gesamten Projekts häufig von einer effektiven Interaktion zwischen den Abteilungen abhängt. Zu diesem Zweck empfehlen wir normalerweise, ein Team von Prozessteilnehmern in der Organisation zu bilden, das alle beteiligten Einheiten umfasst. Da dies eine zusätzliche Belastung für die Menschen darstellt, versuchen Sie, allen Teilnehmern im zukünftigen Prozess im Voraus ihre Rolle und Bedeutung für die Struktur der Interaktion zu erklären. Wenn Sie die Idee von IdM zu diesem Zeitpunkt an Ihre Kollegen „verkaufen“, können Sie in Zukunft viele Schwierigkeiten vermeiden.
Informationssicherheits- oder IT-Abteilungen sind häufig die „Eigentümer“ eines IdM-Implementierungsprojekts in einem Unternehmen, und die Meinungen der Geschäftsbereiche werden nicht berücksichtigt. Dies ist ein großer Fehler, da nur sie wissen, wie und in welchen Geschäftsprozessen jede Ressource verwendet wird, wer Zugriff darauf erhalten muss und wer nicht. In der Vorbereitungsphase ist es daher wichtig anzugeben, dass der Geschäftsinhaber für das Funktionsmodell verantwortlich ist, auf dessen Grundlage Sätze von Benutzerrechten (Rollen) im Informationssystem entwickelt werden, und dass diese Rollen auf dem neuesten Stand gehalten werden. Ein Vorbild ist keine statische Matrix, die einmal erstellt wurde, und Sie können sich darauf beruhigen. Dies ist ein „lebender Organismus“, der sich ständig ändern, aktualisieren und weiterentwickeln muss, nachdem sich die Struktur der Organisation und die Funktionalität der Mitarbeiter geändert haben. Andernfalls treten entweder Probleme auf, die mit Verzögerungen bei der Bereitstellung des Zugriffs verbunden sind, oder es bestehen Informationssicherheitsrisiken im Zusammenhang mit übermäßigen Zugriffsrechten, was noch schlimmer ist.
Wie Sie wissen, „gibt es sieben Babysitter ohne Auge“, sollte das Unternehmen daher eine Methodik entwickeln, die die Vorbildarchitektur, die Interaktion und die Verantwortung bestimmter Prozessteilnehmer für die Aktualisierung beschreibt. Wenn ein Unternehmen viele Geschäftsbereiche und dementsprechend viele Abteilungen und Abteilungen hat, müssen für jeden Bereich (z. B. Kreditvergabe, Betrieb, Remote-Services, Compliance und andere) separate Kuratoren als Teil des rollenbasierten Zugriffskontrollprozesses ernannt werden. Durch sie wird es möglich sein, schnell Informationen über Änderungen in der Struktur der Einheit und die für jede Rolle erforderlichen Zugriffsrechte zu erhalten.
Stellen Sie sicher, dass Sie die Unterstützung der Unternehmensleitung in Anspruch nehmen, um Konfliktsituationen zwischen Abteilungen - Teilnehmern am Prozess - zu lösen. Und Konflikte bei der Einführung eines neuen Prozesses sind unvermeidlich, glauben Sie unserer Erfahrung. Deshalb brauchen wir einen Schiedsrichter, der mögliche Interessenkonflikte löst, um keine Zeit aufgrund von Missverständnissen und Sabotage anderer zu verlieren.
NB Ein guter Anfang für die Sensibilisierung ist die Schulung der Mitarbeiter. Eine detaillierte Untersuchung der Funktionsweise des zukünftigen Prozesses und der Rolle jedes Teilnehmers wird die Schwierigkeiten beim Wechsel zu einer neuen Lösung minimieren.
Checkliste
Zusammenfassend fassen wir die wichtigsten Schritte zusammen, die von der Organisation unternommen werden sollten, die die Implementierung von IdM plant:
- Personaldaten bereinigen;
- Geben Sie für jeden Mitarbeiter einen eindeutigen Identifikationsparameter ein.
- Bewertung der Bereitschaft von Informationssystemen zur Implementierung von IdM;
- Entwicklung von Interaktionsschnittstellen mit Informationssystemen für die Zugangskontrolle, falls diese nicht vorhanden sind, und Bereitstellung von Ressourcen für diese Arbeiten;
- ein Vorbild zu entwickeln und aufzubauen;
- Aufbau eines Vorbild-Management-Prozesses und Einbeziehung von Kuratoren aus jedem Geschäftsbereich;
- Wählen Sie mehrere Systeme für die Erstverbindung mit IdM aus.
- ein effektives Projektteam aufbauen;
- Unterstützung der Unternehmensleitung in Anspruch nehmen;
- Personal schulen.
Der Vorbereitungsprozess kann schwierig sein, daher sollten nach Möglichkeit Berater hinzugezogen werden.
Die Implementierung einer IdM-Lösung ist kein einfacher und entscheidender Schritt. Für die erfolgreiche Implementierung sind sowohl die Bemühungen jeder Seite einzeln - Mitarbeiter von Geschäftsbereichen, IT- und Informationssicherheitsdiensten als auch die Interaktion des gesamten Teams als Ganzes wichtig. Die Bemühungen lohnen sich jedoch: Nach der Einführung von IdM im Unternehmen nimmt die Anzahl der Vorfälle im Zusammenhang mit übermäßigen Befugnissen und nicht autorisierten Rechten in Informationssystemen ab. Ausfallzeiten der Mitarbeiter verschwinden aufgrund mangelnder / langer Wartezeiten auf die erforderlichen Rechte. Durch die Automatisierung werden die Arbeitskosten gesenkt und die Produktivität von IT- und Informationssicherheitsdiensten erhöht.