Dalam artikel sebelumnya, kita telah membahas apa itu IdM, bagaimana memahami apakah organisasi Anda membutuhkan sistem seperti itu, tugas apa yang dipecahkannya, dan bagaimana menjustifikasi anggaran implementasi kepada manajemen. Hari ini kita akan berbicara tentang langkah-langkah penting yang harus dilalui oleh organisasi itu sendiri untuk mencapai tingkat kematangan yang tepat sebelum menerapkan sistem IdM. Bagaimanapun, IdM dirancang untuk mengotomatisasi proses, dan tidak mungkin untuk mengotomatiskan kekacauan.
Sampai perusahaan tumbuh ke ukuran perusahaan besar dan mengakumulasi sejumlah sistem bisnis yang berbeda, biasanya perusahaan tidak memikirkan kontrol akses. Oleh karena itu, proses untuk memperoleh hak dan kendali atas kekuasaan di dalamnya tidak terstruktur dan tidak bisa menerima analisis. Karyawan mengisi aplikasi untuk akses sesuka mereka, proses persetujuan juga tidak diformalkan, dan kadang-kadang tidak ada. Tidak mungkin untuk dengan cepat mengetahui akses apa yang dimiliki seorang karyawan, siapa yang mengoordinasi mereka, dan atas dasar apa.
Mengingat bahwa proses otomatisasi akses memengaruhi dua aspek utama - data personel dan data sistem informasi yang akan diintegrasikan, kami akan mempertimbangkan langkah-langkah yang diperlukan untuk memastikan bahwa implementasi IdM berjalan dengan lancar dan tidak menyebabkan penolakan:
- Analisis proses personalia dan optimalisasi dukungan database untuk karyawan dalam sistem personalia.
- Analisis data pengguna dan hak, serta memperbarui metode kontrol akses di sistem target yang direncanakan akan terhubung ke IdM.
- Kegiatan organisasi dan keterlibatan staf dalam proses mempersiapkan implementasi IdM.
Data SDM
Sumber data personel dalam organisasi mungkin satu, atau mungkin beberapa. Misalnya, suatu organisasi dapat memiliki jaringan cabang yang cukup luas, dan setiap cabang dapat menggunakan basis personelnya sendiri.
Pertama-tama, Anda perlu memahami data dasar apa tentang karyawan yang disimpan dalam sistem manajemen personalia, peristiwa apa yang dicatat, dan mengevaluasi kelengkapan dan strukturnya.
Sering terjadi bahwa tidak semua peristiwa personel dicatat dalam sumber personel (dan bahkan lebih sering dicatat dari waktu dan tidak dengan benar). Berikut adalah beberapa contoh khas:
- hari libur tidak dicatat, kategori dan ketentuannya (reguler atau panjang);
- pekerjaan paruh waktu tidak dicatat: misalnya, saat cuti panjang untuk merawat seorang anak, seorang karyawan dapat secara bersamaan bekerja paruh waktu;
- status aktual dari kandidat atau karyawan telah berubah (masuk / transfer / pemberhentian), dan pesanan untuk acara ini tertunda;
- karyawan dipindahkan ke posisi penuh waktu baru melalui pemecatan, sementara sistem personalia tidak mencatat informasi bahwa ini adalah pemecatan teknis.
Penting juga memberi perhatian khusus untuk menilai kualitas data, karena setiap kesalahan dan ketidakakuratan yang diterima dari sumber tepercaya, yaitu sistem SDM, dapat mahal di masa depan dan menyebabkan banyak masalah saat menerapkan IdM. Misalnya, petugas sumber daya manusia sering mengisi posisi karyawan dalam sistem kepegawaian dalam format yang berbeda: huruf besar dan kecil, singkatan, jumlah ruang yang berbeda dan sejenisnya. Akibatnya, posisi yang sama dapat diperbaiki dalam sistem personalia dalam variasi berikut:
- Manajer senior
- manajer senior
- manajer senior
- Seni manajer ...
Seringkali Anda harus berurusan dengan perbedaan dalam pengejaan nama Anda:
- Shmelyova Natalia Gennadyevna,
- Shmeleva Nataliya Gennadievna ...
Untuk otomatisasi lebih lanjut, kekacauan seperti itu tidak dapat diterima, terutama jika atribut ini merupakan tanda kunci identifikasi, yaitu, data tentang karyawan dan kredensial dalam sistem dibandingkan dengan nama dan nama keluarga.
Selain itu, kita tidak boleh lupa tentang kemungkinan kehadiran di perusahaan senama dan senama. Jika suatu organisasi memiliki seribu karyawan, mungkin ada beberapa kebetulan seperti itu, dan jika 50 ribu, maka ini bisa menjadi hambatan penting untuk operasi yang benar dari sistem IdM.
Merangkum semua hal di atas, kami menyimpulkan: format untuk memasukkan data ke dalam basis personel organisasi harus distandarisasi. Parameter input dari nama lengkap, posisi dan unit harus didefinisikan dengan jelas. Pilihan terbaik adalah ketika pekerja personalia tidak mengemudi dalam data secara manual, tetapi memilihnya dari direktori struktur departemen dan pos yang dibuat sebelumnya menggunakan fungsi "pilih" yang tersedia di pangkalan personel.
Untuk menghindari kesalahan lebih lanjut dalam sinkronisasi dan tidak berurusan dengan koreksi manual perbedaan dalam laporan, cara yang
paling disukai untuk mengidentifikasi karyawan adalah dengan memasukkan ID untuk setiap karyawan organisasi. Pengidentifikasi seperti itu akan diberikan kepada setiap karyawan baru dan akan muncul baik dalam sistem personalia maupun dalam sistem informasi organisasi sebagai atribut wajib dari akun tersebut. Tidak masalah jika terdiri dari angka atau huruf - yang utama adalah unik untuk setiap karyawan (misalnya, banyak yang menggunakan nomor personel karyawan). Di masa depan, pengenalan atribut ini akan sangat memudahkan menghubungkan data tentang karyawan dalam sumber personel dengan akun dan kredensial dalam sistem informasi.
Jadi, semua langkah dan mekanisme untuk akuntansi personalia perlu dianalisis dan ditertibkan. Ada kemungkinan bahwa beberapa proses harus diubah atau dimodifikasi. Ini adalah pekerjaan yang melelahkan dan melelahkan, tetapi itu perlu, jika tidak, kurangnya data yang jelas dan terstruktur tentang kejadian personil akan menyebabkan kesalahan dalam pemrosesan otomatis mereka. Dalam kasus terburuk, proses tidak terstruktur tidak dapat diotomatisasi sama sekali.
Sistem target
Langkah selanjutnya adalah mencari tahu berapa banyak sistem informasi yang ingin kita integrasikan ke dalam struktur IdM, data apa tentang pengguna dan hak-hak mereka yang disimpan dalam sistem ini, dan bagaimana cara mengelolanya.
Di banyak organisasi, diyakini bahwa di sini kita akan menginstal IdM, mengkonfigurasi konektor ke sistem target, dan dengan gelombang tongkat sihir semuanya akan berfungsi, tanpa ada upaya tambahan dari pihak kita. Jadi, sayang sekali, itu tidak terjadi. Di perusahaan, lanskap sistem informasi berkembang dan meningkat secara bertahap. Setiap sistem dapat memiliki pendekatan yang berbeda untuk memberikan hak akses, yaitu, antarmuka kontrol akses yang berbeda dikonfigurasi. Di suatu tempat, kontrol terjadi melalui API (antarmuka pemrograman aplikasi), di suatu tempat melalui database menggunakan prosedur tersimpan, di suatu tempat antarmuka interaksi mungkin sama sekali tidak ada. Perlu disiapkan untuk fakta bahwa Anda harus meninjau banyak proses yang ada untuk mengelola akun dan hak dalam sistem organisasi: ubah format data, perbaiki antarmuka interaksi di muka dan alokasikan sumber daya untuk pekerjaan-pekerjaan ini.
Model peran
Anda mungkin akan menemukan konsep panutan bahkan pada tahap memilih penyedia solusi IdM, karena ini adalah salah satu konsep kunci di bidang manajemen hak akses. Dalam model ini, akses data disediakan melalui peran. Peran adalah serangkaian akses yang minimal diperlukan bagi karyawan dalam posisi tertentu untuk melakukan tugas fungsionalnya.
Kontrol akses berbasis peran memiliki sejumlah keunggulan yang tidak dapat disangkal:
- penugasan yang sederhana dan efisien atas hak yang sama untuk sejumlah besar karyawan;
- perubahan operasional akses untuk karyawan dengan hak yang sama;
- penghapusan redundansi hak dan pembatasan kekuasaan yang tidak kompatibel untuk pengguna.
Matriks peran pertama kali dibangun secara terpisah di setiap sistem organisasi dan kemudian ditingkatkan ke seluruh lanskap TI, di mana peran Bisnis global dibentuk dari peran masing-masing sistem. Sebagai contoh, peran Bisnis "Akuntan" akan mencakup beberapa peran terpisah untuk masing-masing sistem informasi yang digunakan di departemen akuntansi suatu perusahaan.
Baru-baru ini, dianggap sebagai "praktik terbaik" untuk membuat model peran bahkan pada tahap pengembangan aplikasi, database dan sistem operasi. Pada saat yang sama, situasi tidak jarang terjadi ketika peran tidak dikonfigurasi dalam sistem atau mereka tidak ada. Dalam hal ini, administrator sistem ini harus memasukkan informasi akun di beberapa file, perpustakaan, dan direktori yang berbeda yang memberikan izin yang diperlukan. Menggunakan peran yang telah ditentukan memungkinkan Anda untuk memberikan hak istimewa untuk melakukan seluruh jajaran operasi dalam sistem dengan data komposit yang kompleks.
Peran dalam sistem informasi, sebagai suatu peraturan, didistribusikan untuk pos dan unit sesuai dengan struktur staf, tetapi juga dapat dibuat untuk proses bisnis tertentu. Misalnya, dalam organisasi keuangan beberapa karyawan departemen penyelesaian menempati posisi yang sama - operator. Tetapi di dalam departemen ada juga distribusi ke dalam proses terpisah untuk berbagai jenis operasi (eksternal atau internal, dalam mata uang yang berbeda, dengan segmen organisasi yang berbeda). Agar masing-masing bidang bisnis dari satu departemen untuk menyediakan akses ke sistem informasi sesuai dengan spesifik yang diperlukan, perlu untuk memasukkan hak dalam peran fungsional yang terpisah. Ini akan memberikan seperangkat kekuasaan minimum yang cukup, tidak termasuk kelebihan hak, untuk masing-masing bidang kegiatan.
Selain itu, untuk sistem besar dengan ratusan peran, ribuan pengguna, dan jutaan izin, merupakan praktik yang baik untuk menggunakan hierarki peran dan pewarisan hak istimewa. Misalnya, peran induk, Administrator, akan mewarisi hak istimewa peran anak: Pengguna dan Pembaca, karena Administrator dapat melakukan hal yang sama seperti Pengguna dan Pembaca, ditambah lagi ia akan memiliki hak administrator tambahan. Menggunakan hierarki, tidak perlu menentukan kembali hak yang sama dalam beberapa peran satu modul atau sistem.
Pada tahap pertama, Anda dapat membuat peran dalam sistem tersebut di mana kemungkinan jumlah kombinasi hak tidak terlalu besar dan, akibatnya, mudah untuk mengelola sejumlah kecil peran. Ini mungkin hak-hak khas yang diperlukan oleh semua karyawan perusahaan dalam sistem yang tersedia untuk umum seperti Active Directory (AD), sistem surat, Manajer Layanan dan sejenisnya. Kemudian, matriks peran yang dibuat untuk sistem informasi dapat dimasukkan dalam model peran umum, menggabungkannya ke dalam peran Bisnis.
Menggunakan pendekatan ini, di masa depan, ketika menerapkan sistem IdM, akan mudah untuk mengotomatiskan seluruh proses pemberian hak akses berdasarkan peran yang dibuat pada tahap pertama.
NB Jangan mencoba untuk segera memasukkan sebanyak mungkin sistem dalam integrasi. Pada tahap pertama, sistem dengan arsitektur yang lebih kompleks dan struktur manajemen hak akses paling baik terhubung ke IdM dalam mode semi-otomatis. Artinya, berdasarkan peristiwa personil, untuk mewujudkan hanya generasi otomatis aplikasi untuk akses, yang akan diterima oleh administrator, dan ia akan mengkonfigurasi hak secara manual.
Setelah berhasil menyelesaikan tahap pertama, Anda dapat memperluas fungsionalitas sistem ke proses bisnis baru yang canggih, otomatisasi lengkap dan penskalaan dengan penambahan sistem informasi tambahan.
Dengan kata lain, untuk mempersiapkan implementasi IdM, perlu untuk menilai kesiapan sistem informasi untuk proses baru dan untuk maju mengembangkan antarmuka interaksi eksternal untuk mengelola akun pengguna dan hak pengguna, jika antarmuka seperti itu tidak tersedia dalam sistem. Masalah pembuatan peran secara bertahap dalam sistem informasi untuk kontrol akses terintegrasi juga harus diatasi.Kegiatan organisasi
Jangan abaikan masalah organisasi. Dalam beberapa kasus, mereka dapat memainkan peran yang menentukan, karena hasil dari seluruh proyek seringkali tergantung pada interaksi yang efektif antar departemen. Untuk melakukan ini, kami biasanya merekomendasikan membuat tim peserta proses dalam organisasi, yang akan mencakup semua unit yang terlibat. Karena ini merupakan beban tambahan bagi orang-orang, cobalah untuk menjelaskan di muka kepada semua peserta di masa depan tentang peran dan signifikansi mereka dalam struktur interaksi. Jika Anda "menjual" ide IdM pada tahap ini kepada kolega Anda, Anda dapat menghindari banyak kesulitan di masa depan.
Seringkali, keamanan informasi atau departemen TI adalah "pemilik" proyek implementasi IdM di perusahaan, dan pendapat unit bisnis tidak diperhitungkan. Ini adalah kesalahan besar, karena hanya mereka yang tahu bagaimana dan di mana proses bisnis setiap sumber daya digunakan, siapa yang perlu diberi akses ke sana, dan siapa yang tidak. Oleh karena itu, pada tahap persiapan, penting untuk menunjukkan bahwa itu adalah pemilik bisnis yang bertanggung jawab untuk model fungsional, atas dasar yang set hak pengguna (peran) dalam sistem informasi dikembangkan, dan juga bahwa peran ini terus diperbarui. Model peran bukanlah matriks statis yang telah dibangun satu kali dan Anda dapat menenangkannya. Ini adalah "organisme hidup" yang harus terus-menerus berubah, memperbarui dan mengembangkan, mengikuti perubahan dalam struktur organisasi dan fungsi karyawan. Jika tidak, masalah yang terkait dengan keterlambatan dalam menyediakan akses akan dimulai, atau akan ada risiko keamanan informasi terkait dengan hak akses yang berlebihan, yang bahkan lebih buruk.
Seperti yang Anda ketahui, "ada tujuh pengasuh anak tanpa mata", oleh karena itu, perusahaan harus mengembangkan metodologi yang menggambarkan arsitektur model peran, interaksi dan tanggung jawab peserta proses khusus untuk tetap mendapatkan informasi terkini. Jika perusahaan memiliki banyak bidang kegiatan bisnis dan, karenanya, banyak divisi dan departemen, maka untuk setiap bidang (misalnya, pinjaman, operasi, layanan jarak jauh, kepatuhan, dll.), Kurator yang terpisah harus ditunjuk sebagai bagian dari proses kontrol akses berbasis peran. Melalui mereka, dimungkinkan untuk dengan cepat menerima informasi tentang perubahan dalam struktur unit dan hak akses yang diperlukan untuk setiap peran.
Pastikan untuk meminta dukungan dari kepemimpinan organisasi untuk menyelesaikan situasi konflik antara departemen - peserta dalam proses. Dan konflik saat memperkenalkan proses baru tidak dapat dihindari, percayalah pengalaman kami. Oleh karena itu, kita membutuhkan arbiter yang akan menyelesaikan kemungkinan konflik kepentingan, agar tidak kehilangan waktu karena kesalahpahaman dan sabotase orang lain.
NB Awal yang baik dalam meningkatkan kesadaran adalah pelatihan staf. Sebuah studi terperinci tentang berfungsinya proses di masa depan, peran setiap peserta di dalamnya akan meminimalkan kesulitan beralih ke solusi baru.
Daftar periksa
Untuk meringkas, kami merangkum langkah-langkah utama yang harus diambil oleh organisasi yang merencanakan implementasi IdM:
- membersihkan data personel;
- masukkan parameter identifikasi unik untuk setiap karyawan;
- menilai kesiapan sistem informasi untuk implementasi IdM;
- untuk mengembangkan antarmuka interaksi dengan sistem informasi untuk kontrol akses, jika tidak ada, dan mengalokasikan sumber daya untuk pekerjaan ini;
- untuk mengembangkan dan membangun model peran;
- membangun proses manajemen model peran dan memasukkan kurator dari setiap lini bisnis di dalamnya;
- pilih beberapa sistem untuk koneksi awal ke IdM;
- membuat tim proyek yang efektif;
- Mintalah dukungan manajemen perusahaan;
- untuk melatih staf.
Proses persiapan bisa sulit, oleh karena itu, jika memungkinkan, melibatkan konsultan.
Menerapkan solusi IdM bukanlah langkah yang mudah dan krusial, dan untuk implementasi yang sukses, baik upaya masing-masing pihak secara individu - karyawan departemen bisnis, layanan keamanan informasi dan TI, dan interaksi seluruh tim secara keseluruhan adalah penting. Tetapi upaya itu sepadan: setelah pengenalan IdM di perusahaan, jumlah insiden yang terkait dengan kekuatan yang berlebihan dan hak yang tidak sah dalam sistem informasi menurun; downtime karyawan menghilang karena kurang / lama menunggu hak yang diperlukan; karena otomatisasi, biaya tenaga kerja berkurang dan produktivitas TI dan layanan keamanan informasi meningkat.